Del Safe Harbor al US-EU Privacy Shield, un proceso revestido de inseguridad jurídica

Escrito por: media el 19/04/16 9:00

ES_Privacy_Shield.jpg

El 28 de enero se publicó en este mismo blog el artículo denominado Safe Harbor: ¿cómo afecta su revocación a las empresas europeas? donde se explicaba la situación de inseguridad jurídica que afrontan los ciudadanos europeos frente a la privacidad de sus datos en los escenarios de transferencia internacional de datos entre la UE y los EE.UU., indicando algunas recomendaciones para las empresas europeas, con el objetivo de mitigar dicha situación de inseguridad.

Han transcurrido dos meses y medio desde que se hizo la publicación del artículo en mención y, pese a que la Comisión Europea anunció el 02 de febrero la intención de un acuerdo entre los EE.UU. y la UE,  denominado "US-EU Privacy Shield" (en adelante el acuerdo), a fecha de hoy se continúa con el mismo escenario de inseguridad jurídica, dado que no existe una normativa aplicable a un asunto tan complejo, como la transferencia internacional de datos personales de los ciudadanos europeos a empresas ubicadas en los EE.UU.  

A continuación se detallan algunos aspectos relevantes que servirán de apoyo al análisis de la situación descrita en el párrafo anterior.

¿Por qué no se ha publicado todavía el contenido del US-EU Privacy Shield?

Este post también está disponible en inglés.


Lo que se publicó el 02 de febrero fue un simple
acuerdo de intención del denominado "US-EU Privacy Shield" y actualmente el Departamento de Comercio de los EE.UU, y la Comisión Europea se encuentran negociando y redactando el contenido y los aspectos aplicables a dicho acuerdo.

Lo cierto es que actualmente no existe un fundamento legal para la transferencia internacional de datos entre las empresas ubicadas en los EE.UU y la UE. Al respecto, las agencias de protección de datos europeas sólo podrían considerar como legales aquellas transferencias que se realicen en base a cláusulas tipo de protección de datos o en base a normas corporativas vinculantes, siendo ilegales las que se realicen por fuera del mencionado escenario.


¿Cuál
será el contenido del US-EU Privacy Shield?

No se conoce realmente el texto firmado entre los EE.UU y la UE. A fecha de hoy sólo se ha divulgado un texto borrador (versión en inglés) que refleja los posibles aspectos que acordaran las partes, pues establece el marco general que regulará el pacto final entre los EE.UU y la UE. Un FactSheet publicado por la Comisión Europea reseña de forma esquemática los diferentes elementos que conformarán dicho acuerdo. A continuación resaltamos sus aspectos más importantes:

a) A nivel de sector comercial se incluirán obligaciones estrictas, relacionadas con:

  • Una mayor transparencia
  • Mecanismos de supervisión para garantizar que las empresas cumplan con las normas.
  • La exclusión de las empresas por incumplimiento
  • Condiciones más estrictas aplicables a transferencias datos posteriores.


b) Garantías y obligaciones de transparencia en el acceso a los datos por parte del gobierno de los EE.UU., relacionadas con:

  • El acceso de las autoridades públicas americanas a los datos personales de ciudadanos europeos estará sujeto a limitaciones claras y a mecanismos de supervisión.
  • El acceso a datos por parte de las autoridades públicas americanas no podrá realizarse de forma indiscriminada.
  • La emisión de un reporte que contenga el número aproximado de solicitudes de acceso.
  • La creación de la figura de un "Ombudsperson" o defensor del afectado, quien actuará de forma independiente a las autoridades de inteligencia americana y se encargará de la defensa de los derechos de los afectados, resolviendo las quejas que le sean formuladas.


c) Recursos que deberán implementar las empresas:
 

  • A responder en un plazo no superior de 45 días a las quejas presentada por los ciudadanos o individuos.
  • A implementar métodos alternativos de solución de conflictos o quejas,  sin que ello genere coste alguno para el ciudadano.
  • Trabajar con la autoridad de protección de datos en la búsqueda soluciones a las quejas presentada por los ciudadanos de la UE.
  • A implementar un mecanismo de arbitraje para asegurar una resolución ejecutiva.

d) Mecanismo de revisión anual conjunta:

  • Se implementará un mecanismo de seguimiento del funcionamiento del Privacy Shield y los compromisos adquiridos por Estados Unidos, incluyendo lo relativo al acceso a los datos para fines de seguridad nacional.
  • Se realizará una cumbre de privacidad anual con las ONG's y las partes interesadas sobre los acontecimientos de la ley de privacidad de EE.UU. y su impacto en la normativa europea.
  • La Comisión Europea  realizará y presentará un informe ante el Parlamento Europeo y el Consejo, relacionado con la revisión conjunta anual del Acuerdo y otras fuentes de información pertinentes (por ejemplo, informes de transparencia por parte de las empresas).

¿Qué incidencia tiene el US-EU Privacy Shield en el futuro Reglamento General de Protección de Datos?

Al apartado de transferencias internacionales del futuro Reglamento de Protección de Datos --The General Data Protection Regulation-- le será aplicable el Acuerdo, es por ello que el US-EU Privacy Shield debe ser concordante con el reglamento de protección de datos, aprobado recientemente.

El Reglamento y la Decisión que implemente el contenido del Reglamento, forman parte del paquete de medidas normativas requeridas en la UE para garantizar el tratamiento y la protección de datos de los ciudadanos europeos.

¿Qué observaciones presentó el Grupo de Trabajo del artículo 29 sobre el contenido del US-EU Privacy Shield?

El Grupo de Trabajo del artículo 29, --denominado GT-29-- (en adelante GT-29) es un órgano independiente que desarrolla funciones de consultoría y  asesoría a las entidades de la Unión Europea en asuntos relacionados con la privacidad, el tratamiento y la protección de datos.  El GT-29 es una entidad muy importante en el proceso de expedición del US-EU Privacy Shield, ya que esta integrado por las 28 agencias de protección de datos europeas quienes conocen de forma practica la resolución de los asuntos de privacidad y protección de datos. En este caso, el GT-29 ha tenido la función de revisar con imparcialidad el contenido del US-EU Privacy Shield y presentar observaciones sobre el cumplimiento efectivo del Acuerdo conforme a la normativa europea y los principios aplicables.

El miércoles 13 de abril, el GT-29 a través de su presidenta Isabell Falque-Pierrotin se pronunció sobre el contenido del Acuerdo, indicando que aunque éste significa un gran avance frente al Safe Harbor, existen aspectos sustanciales que deberán ser revisados y aclarados por parte de la Comisión Europea y el Departamento de Comercio de los EE.UU.

Falque-Pierrotin indicó entre otros aspectos, los siguientes:

  1. el Acuerdo es complejo y difícil de entender,

  2. no es concordante con los principios indicados en la legislación europea de protección de datos,

  3. no se tienen suficientes garantías del defensor del pueblo o "ombudsperson", ni de que sea una autoridad realmente independiente,

  4. es importante que se aclaren las reglas aplicables al terrorismo, espionaje y ciberseguridad, tres de las seis excepciones aplicadas por los EE.UU.,

  5. hay una creciente tendencia a recoger datos por parte de las autoridades americanas de forma masiva e indiscriminada con fundamento en la lucha contra el terrorismo.

Los pronunciamientos emitidos por el GT-29 no son vinculantes para la Comisión Europea ni para los EE.UU. No obstante, en los próximos meses dichas entidades buscarán una solución que permita adecuar el US-EU Privacy Shield a los lineamientos y observaciones presentadas por el GT-29. Mientras se efectúan dichas revisiones, transcurrirán un par de meses y los ciudadanos europeos seguiremos sin un acuerdo definitivo que regule las transferencias transatlánticas de datos.

Consecuencias y recomendaciones

El pronunciamiento del GT-29 confirma la inseguridad jurídica que ha provocado la invalidez del Safe Harbor y el intento de regulación del US-EU Privacy Shield, una situación que ha generado una incertidumbre sectorial, toda vez que los ciudadanos europeos actualmente no gozan de garantías jurídicas en la transferencia internacional de datos a los EE.UU., y dichas transferencias se siguen realizando en tales circunstancias.

De igual forma, el pasado miércoles 13 de abril el GT-29 indicó que, mientras se tramita el Acuerdo, se recomienda realizar la transferencia internacional de datos entre los EE.UU. y la UE con base a las cláusulas tipo de protección de datos o a normas corporativas vinculantes.  Al respecto se debe mencionar que las autoridades de protección de datos europeas están facultadas para iniciar en cualquier momento las investigaciones que consideren pertinentes contra las empresas que incumplan la normativa europea de protección de datos.

Existe un "borrador de acuerdo" que debe ser revisado y adaptado en próximos meses por la Comisión Europea y el Departamento de Comercio de los EE.UU., en conformidad a las obsrvaciones comentadas por el GT-29. En este contexto, se sugiere a las empresas europeas tener en cuenta las recomendaciones realizadas en la parte final del post publicado en ese blog el pasado 28 de enero.

Este post también está disponible en inglés.


Ana_Maritza_Vega_Suarez_AVATIC.jpg Este es un post invitado por Ana Martiza Vega Suárez y también está disponible en inglés.

Ana Maritza es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@AnaVegaSuarez
@AvaticAbogados


New Call-to-action


POSTS RELACIONADOS


Etiquetas: Legalidad

Subscríbete al blog

Últimos posts