Ya tenemos nueva criatura, nueve meses después de la derogación vía judicial de los acuerdos de Safe Harbor, que desde el año 2000 venían regulando las relaciones en materia de protección de datos entre las empresas de los EE.UU. y las de la U.E., ha quedado aprobado por la Comisión Europea el Escudo de Privacidad E.U. – EE.UU. o Privacy Sheild, con fecha 12 de julio de 2016.
Tras unos meses de incertidumbre y requerimientos informativos de la AEPD a aquellas empresas que tenían preceptivamente notificadas las relaciones con proveedores de servicios de EE.UU., las cosas pueden volver a su cauce natural en pro del funcionamiento empresarial que la Tercera Revolución Industrial ha venido a instaurar: el uso intensivo de herramientas tecnológicas.
Este periodo ha destapado la enorme dependencia que la empresa europea tiene de los proveedores tecnológicos “made in USA” (o mejor “located at USA”). Pocas opciones de similar funcionalidad y prestaciones existen en Europa para sustituir a los Goolgle, DropBox, Microsoft o MailChimp, por citar algunas de las más recurrentes, lo cual, pide a gritos que el entorno macroeconómico europeo se focalice en no quedar al margen y en papel de sumisión respecto del desarrollo tecnológico que otros países y/o zonas de confluencia económica están llevando a cabo desde hace tiempo, pero este es asunto de otros alcances,…
¿Qué supone este nuevo Escudo de Privacidad?
En el momento de escribir este artículo, está pendiente la publicación del nuevo acuerdo en el Registro Federal del Departamento de Comercio de los EE.UU. El pasado día 12 de julio la Comisión comunicó a los Estados Miembros la Decisión de Adecuación, por lo que a partir de esa fecha es de aplicación para la empresas europeas, que tendrán que esperar a que se abra el Registro al otro lado de lAtlántico para que sea efectivo.
¿Es un mero cambio de denominación?
La sustitución del Safe Habor por el Privacy Sheild efectivamente es un cambio de denominación, ya que el espíritu de ambas regulaciones es el mismo: las empresas norteamericanas, receptoras de datos personales procedentes de ciudadanos europeos, establecen una declaración de parte, a modo de autocertificación, por la cual, se comprometen a implementar un tratamiento acorde a los principios de protección de datos imperantes en la Unión Europea y las autoridades Norteamericanas pueden atender quejas de los ciudadanos europeos respecto del efectivo cumplimiento de tales declaraciones. Claro está, los Principios y su aplicación, durante la vigencia del Safe Habor se venían interpretando desde la concepción de la privacidad norteamericana, mucho más laxa que la concepción continental.
Entonces, ¿qué cambios supone el nuevo acuerdo Privacy Sheild?
Contando que el esquema de funcionamiento es el mismo que para el Safe Habor, es decir, las empresas norteamericanas que quieran o tengan que realizar tratamientos de datos personales procedentes de ciudadanos europeos tienen que hacer la autodeclaración de adhesión al Escudo de Privacidad, comprometiéndose a cumplir los estándares (que no medidas) de seguridad que viene obligado cualquier encargado de tratamiento situado en territorio U.E.. Una vez hecho esto, del Departamento de Comercio de los EE.UU. procederá a su inclusión en el “Privacy Shield List”, para su publicación y control. Toda empresa europea que desee contratar los servicios de una empresa norteamericana, deberá consultar previamente este listado y verificar su inclusión o no. De no estar incluida, deberá tramita una solicitud de transferencia internacional, con todos los requisitos establecidos para ello.
El Departamento de Comercio de los EE.UU. continúa como encargado de verificar la aplicación de las medidas y procesos derivados del cumplimiento del Privacy Shield. Además, como novedad, se realizará una revisión anual conjunta entre la Comisión Europea y el Departamento de Comercio delos Estados Unidos para seguir y verificar el cumplimiento del Acuerdo, el cual, estará sujeto a constante revisión y caso de detectar la Comisión algún incumplimiento que afecte a la normativa europea, podrá adoptar las medidas necesarias en protección de la privacidad de los datos de los ciudadanos europeos.
Aparte de esta revisión periódica conjunta, los acuerdos de Privacy Shield incluyen, respecto del Safe Harbor:
- Un compromiso de mayor rigor en el control por el Departamento de Comercio de los Estados Unidos del cumplimiento de las declaraciones realizadas por las empresas adheridas y, por tanto, un control mayor del efectivo cumplimiento de los estándares de seguridad equivalentes a los de la U.E. Una evidencia de incumplimiento debe llevar a a salida de la empresa de la lista.
- Cualquier cambio de aplicación en los procesos de seguridad debe ser comunicado al Departamento de Comercio.
- La conservación de los datos debe limitarse al tiempo necesario para la prestación de los servicios como encargado del tratamiento.
- Los servicios de seguridad de los EE.UU. también se involucran en estos acuerdos y toman parte, nombrando una figura que denominan “Ombudsperson” que se encargará de canalizar las quejas de ciudadanos europeos que puedan ver comprometida su privacidad por actuación de los servicios de seguridad norteamericanos. Así mismo, el Director de Inteligencia de los EE.UU. se compromete a que el tratamiento masivo de datos personales solo se realice bajo estrictas condiciones.
- Se crea un mecanismo de resolución de conflicto para todo aquel que pueda ser perjudicado por un tratamiento inadecuado de sus datos personales, conculcándose los acuerdos de Privacy Shield. El mecanísmo se establece en tres vías:
- Ante la propia empresa que realiza el tratamiento de datos afectado
- A través de la Agencia de Protección de Datos del país correspondiente al de residencia del afectado
- A través de un mecanismo de arbitraje.
Con todo ello las empresas europeas obtienen la significativa de ventaja de no verse comprometidas por una transferencia internacional, tanto por su procedimiento de solicitud, como por posibles e indeseados incumplimientos de la norma, con toda las ventajas que para la competividad supone. El ciudadano europeo, al menos sobre el papel, ve incrementado la protección de sus datos respecto de la situación anterior. Así que, ¡bienvenido Privaty Shield!
David García
Abogado TIC