Desde hace unos meses, las transferencias
comerciales de datos personales entre la UE y EEUU están
bajo el punto de mira. El 6 de octubre de 2015, el Tribunal de
Justicia Europeo declaraba inválidos los acuerdos previos
que regulaban estas transferencias después de la denuncia de
un ciudadano. Eran los acuerdos de Puerto Seguro o Safe
Harbour. En su día os lo contamos en este
artículo: «Puerto
seguro: privacidad vs negocio».
El pasado 2 de febrero, La Comisión
Europea llegó a un acuerdo marco (Escudo de
privacidad EU-EEUU) para regular el intercambio de datos
comerciales entre la UE y EEUU. Este nuevo acuerdo
protegerá los derechos de privacidad de los ciudadanos de
la Unión Europea cuando sus datos se transfieran a los
Estados Unidos y aportará seguridad jurídica a las
empresas.
El último día de febrero se ha
dado un paso más y la Comisión Europea ha publicado
los documentos que forman el «Escudo de la Privacidad
UE-EEUU» con los requisitos
establecidos por el Tribunal de Justicia Europeo tras invalidar los
acuerdos de Puerto Seguro. Se ha publicado:
- el borrador de la
«decisión de conformidad»; - los principios del
Escudo de Privacidad que las compañías deben
acatar; - las medidas que
tomará el Gobierno de EEUU para hacer cumplir estos
principios.
Estos acuerdos serán publicados por
el Gobierno de EEUU e incluirán las garantías sobre
las salvaguardas y limitaciones relativas al acceso de las
autoridades públicas a los datos.
¿Qué es una «decisión de
conformidad»?
Una «decisión de
conformidad» es una decisión adoptada por la
Comisión Europea que establece que un país no
perteneciente a la Unión garantiza un adecuado nivel de
protección de los datos de carácter personal en
virtud de su legislación propia y los acuerdos
internacionales.
Con esta «decisión de
conformidad» los datos personales podrán transferirse
desde los 28 Estados Miembro (y los tres miembros del Espacio
Económico Europeo: Noruega, Liechtenstein e Islandia) a un
tercer país, que obtenga esta «decisión de
conformidad», sin más restricciones.
¿En qué se diferencia el Escudo de Privacidad
del Puerto Seguro?
Estos acuerdos obligan a las empresas de los
EEUU de forma más estricta en lo relativo a la
protección de datos personales de los ciudadanos de la
Unión Europea. Por ello, son necesarios nuevos mecanismos
de control y cumplimiento por parte de las autoridades de los
EEUU y una mayor cooperación con las autoridades de
protección de datos europeas.
También se incluyen compromisos y
garantías de parte de los EEUU de que las competencias
legislativas para el acceso a los datos personales por parte de las
autoridades públicas estarán sujetas a condiciones
claras, limitaciones y supervisión, evitándose un
acceso generalizado.
Se crea además la figura del
Mediador, que resolverá las quejas o solicitudes de
los ciudadanos de le UE en relación con los posibles accesos
a sus datos de los servicios nacionales de inteligencia.
¿Cómo afecta a las empresas
españolas?
Si tu empresa tiene sede y opera en España, recoge datos
personales y los transfiere internacionalmente, debe cumplir la
LOPD.
La AEPD es la encargada de inspeccionar y aprobar estas
transferencias internacionales. En esta página
de la AEPD tienes toda la información. Con estos nuevos
acuerdos las empresas tienen mayores garantías
jurídicas en estas transferencias, equiparables a las
existentes en la Unión Europea.
Para más detalle sobre los mecanismos
de garantía de los nuevos acuerdos consulta la comunicación
de la UE.
Si tengo contratados servicios (cloud, alojamiento
web, correo electrónico, backup, big
data…) en los que realizo transferencia de datos
personales a empresas de EEUU, ¿me afecta?
En este caso, y con estos acuerdos,
tendrás mayores garantías en cuanto a la
protección de datos de tus clientes y empleados.
Siempre que realices la contratación
de servicios externos que incluyan transferencia de datos
personales, revisa que se cumple la LOPD en la transferencia.
También es recomendable conocer la ubicación de los
servidores del proveedor para asegurarte que están en un
país cuya legislación ofrezca las mismas
garantías que la española. En general cuando
contrates servicios a terceros debes seguir estos consejos:
«Buenas
prácticas en ciberseguridad para la contratación de
servicios TIC».
Próximas etapas
Ahora se abre una consulta a un
Comité compuesto de representantes de los Estados Miembros y
las autoridades de protección de datos de la UE, que
emitirán su dictamen.
Mientras tanto, los socios estadounidenses
harán los preparativos necesarios para establecer el nuevo
marco, los mecanismos de control y la nueva figura del
mediador.
Tras la reciente adopción por el
Congreso de los Estados Unidos de la
Ley de recurso judicial, promulgada por el presidente Obama el
24 de febrero, la Comisión propondrá la firma del
acuerdo marco. El Consejo adoptará la decisión por la
que se celebra el acuerdo, previa aprobación por el
Parlamento Europeo.
Ya que no podemos llegar a Puerto Seguro,
esperamos que pronto nos resguarde este Escudo de
Privacidad.
Source: Adiós Puerto Seguro, bienvenido Escudo de Privacidad (1/2)