Los efectos de la aprobación del Privacy Shield

Posted by media on 21/07/16 9:00

ES_Efectos_aprobacion_Privacy_Shield.jpg

El pasado martes 12 de julio la Comisión Europea anunciaba la aprobación del Escudo de la privacidad UE-EE.UU., o Privacy Shield, poniendo así fin a unos meses de incertidumbre e inseguridad jurídica para las empresas europeas, relacionada con las transferencias transatlánticas de datos.

¿Qué implicaciones tiene el acuerdo Privacy Shield para las empresas europeas? En este post abordamos éstas y otras cuestiones relevantes en torno a este nuevo marco cuya aprobación responde a la intención de  proteger los datos personales de los ciudadanos europeos y aportar claridad a las empresas.

Este post también está disponible en inglés.


Cuestiones más relevantes en torno a la aprobación del acuerdo Privacy Shield

1. ¿A partir de cuándo se aplicará el Privacy Shield?

En Europa desde el 12 de julio de 2016, fecha en la que fue aprobado por parte de la Comisión Europea y en la que se notificó la decisión de adecuación a los Estados miembros. En Estados Unidos entrará en vigor a partir del día en que se publique en el Registro Federal o "Federal Register".

2. ¿Qué novedades incluye respecto al Safe Harbor?

El Safe Harbor se fundamentaba en siete principios básicos, o “principios de puerto seguro”, adoptados en Europa por la Decisión de la Comisión, de 26 de Julio de 2000, en virtud de la cual, las empresas norteamericanas que fuesen receptoras de datos personales transferidos desde Europa declaraban de forma inequívoca y pública que se comprometían a aplicar los mencionados  principios. Esta declaración era entendida como una autocertificación de adhesión,  mediante la cual  la entidad certificada quedaba sujeta a la jurisdicción de organismos públicos estadounidenses cuando se presentasen quejas respecto a su incumplimento por parte de ciudadanos europeos afectados.

Los siete principios estaban relacionados con las siguientes aspectos:

  • Notificación - relacionada con la información a los afectados.
  • Opción - relacionada con la posibilidad de oposición por parte de los afectados.
  • Finalidad y proporcionalidad en las transferencias a terceras empresas - con la finalidad de mantener la seguridad e integridad de los datos.
  • Derecho de acceso y aplicación de los procedimientos - para la satisfacción de los derechos de los afectados.

Por su parte, el Privacy Shield incluye:

  • Las recomendaciones hechas por la Comisión en noviembre de 2013.
  • Los requerimientos exigidos por el Tribunal de Justicia de la Unión Europea el 06 de octubre de 2015 en el fallo que dejó sin validez el Safe Harbor.
  • Las observaciones hechas por el Grupo de trabajo del articulo 29 el 13 de abril de 2016.

Basicamente, el sistema y funcionamiento del Privacy Shield sigue siendo el mismo que el del Safe Harbor: las empresas americanas hacen una autodeclaración de adhesión al “Escudo de Privacidad”, quedando así obligadas a cumplir con las medidas de seguridad que en él se exigen y sujetas al control y vigilancia por parte del Departamento de Comercio de los Estados Unidos.  Los elementos, garantías e instrumentos adicionales están relacionados con mecanismos de control, implantación de obligaciones rigurosas exigidas a las empresas que procesan datos, y mecanismos de supervisión a las empresas norteamericanas, tal como se detalla en el siguiente apartado.


"The EU-U.S. Privacy Shield is a robust new system to protect the personal data of Europeans and ensure legal certainty for businesses. It brings strong data protection standards that are better enforced, safeguards on government access, and easier redress for individuals in case of complaints. The new framework will restore the trust of consumers when their data is transferred across the Atlantic. We have worked together with the European data protection authorities, the European Parliament, the Member States and our U.S. counterparts to put in place an arrangement with the highest standards to protect Europeans' personal data."

- Vĕra Jourová,  European Union's Commissioner for Justice, Consumers and Gender Equality

3. ¿Qué aspectos regula el Privacy Shield?

El Privacy Shield se estructura en torno a cuatro principios relevantes:

  • Obligaciones rigurosas aplicables a las empresas que trabajan con datos
    Las empresas norteamericanas estarán sujetas a inspecciones periódicas. El Departamento de Comercio de los Estados Unidos implementará mecanismos de control para validar que dichas empresas cumplen con las normas de protección de datos aplicables. En caso de que se evidencie un incumplimiento, estás empresas serán eliminadas de la lista del Escudo de Privacidad. De igual forma, se establecen condiciones más estrictas para las empresas norteamericanas que realicen transferencias de datos, pues deberán aplicar el mismo nivel de protección que ha implementado el Responsable de los Datos en Europa. En el caso de que no lo apliquen, deberán notificarlo al Departamento de Comercio de los Estados Unidos. Por otra parte, la conservación de los datos sólo se podrá efectuar durante el tiempo que sea necesario para llevar a cabo las funciones o servicios encomendados al Encargado del Tratamiento.
  • Obligaciones en materia de transparencia y salvaguardia en el acceso de la administración estadounidense
    Se han incorporado compromisos estrictos de acceso a los datos personales por parte del Director de Inteligencia de los Estados Unidos. La recolección masiva de datos sólo se efectuará bajo condiciones específicas. Se crea la figura independiente del “Ombudsperson” de los servicios de seguridad americanos, quien se encargará de canalizar todas las quejas de los ciudadanos europeos que resulten afectados por las actuaciones de las entidades de seguridad americanas.
  • La protección eficaz de los derechos individuales
    El ciudadano europeo que se resulte afectado como consecuencia de un inadecuado esquema de privacidad y/o seguridad implementado por la empresa norteamericana, podrá accionar el mecanismo de resolución de conflicto que considere más conveniente, entre ellos:
  1. La resolución del conflicto de forma directa con la empresa.
  2. La resolución del conflicto a través de la Agencia de Protección de Datos del país que corresponda a la Unión Europea, quien se encargará de hacer llegar la queja al Departamento de Comercio de los Estados Unidos.
  3. La resolución del conflicto a través de un mecanismo de arbitraje.
  • Mecanismos de revisión conjunta anual
    Se realizará una revisión conjunta anual por parte de la Comisión Europea y el Departamento de Comercio de los Estados Unidos, junto con expertos en seguridad nacional de los Estados Unidos  y las Autoridades Europeas de Protección de Datos, quienes evaluarán los resultados y efectividad del Escudo de Privacidad. El Privacy Shield será un mecanismo sujeto a constate revisión y evaluación, y en el caso de que sea detectado un nivel no adecuado de protección, la Comisión Europea podrá adoptar las medidas pertinentes para asegurar la privacidad de los ciudadanos europeos y exigir el cumplimiento de la normativa euopea de Protección de Datos.

4. ¿Cómo funcionará el Privacy Shield?

El Departamento de Comercio de los Estados Unidos continuará como encargado de la aplicación de las garantías y procesos derivados de la aplicación del Acuerdo de Privacy Shield o Escudo de Privacidad.

Tal como se ha indicado en el punto 2, el sistema es similar al que se realizaba con el Safe Harbor pero con mayores garantías.  Las empresas norteamericanas que ofrezcan servicios en Europa, en los que se transfieran datos personales, deberán estar inscritas en un listado del Acuerdo Privacy Shield - "Privacy Shield List"- que controlará y publicará el Departamento de Comercio de los Estados Unidos. 

Las empresas españolas que deseen contratar servicios de empresas norteamericanas deberán validar que éstas últimas se encuentran en el listado mencionado en el apartado anterior, por lo que dichas empresas estarán obligadas y/o comprometidas a cumplir los mismos estándares de seguridad exigidos a los Encargados del Tratamiento ubicados en la Unión Europea. Es decir, que las empresas norteamericanas que procesen datos personales en representación del Responsable del fichero con ocasión de la prestación de un servicio, deberán cumplir las exigencias de seguridad requeridas en la Unión Europea

Estados Unidos y la Unión Europea revisarán periódicamente la efectividad del acuerdo, estando obligados a ajustarlo en el momento en el que se detecte algún riesgo o incumplimiento parcial o total de las obligaciones que de él se deriven.

5. ¿Qué beneficios traerá la aplicación del Privacy Shield a las empresas españolas y a la Unión Europea en general?

Las empresas españolas y europeas en general que contraten a empresas americanas que aparezcan en el listado del Acuerdo del Escudo de Privacidad publicado por el Departamento de Comercio de los Estados Unidos, y cuya prestación de servicios incluya la transferencia transatlántica de datos, podrán ofrecer a sus clientes y/o usuarios mayores garantías en materia de privacidad de datos derivadas de la efectiva implementación de los principios mencionados en el punto 2.   

A nivel procedimental, las empresas españolas no estarán obligadas a obtener autorización, por parte de la Agencia Española de Protección de Datos, para contratar a empresas americanas. Del mismo modo, tampoco estarán obligadas a solicitar el consentimiento inequívoco al titular de los datos para efectuar la transferencia transatlántica de los mismos.

Finalmente se tiene que advertir que el Privacy Shield, aunque sea un acuerdo político suscrito entre Estados Unidos y la Unión Europea, está sujeto a el control de la autoridades europeas y de los mismos ciudadanos europeos, ya que su incumplimiento puede ser demandado y/o revisado en cualquier momento como sucedió con el Safe Harbor.

Este post también está disponible en inglés.


Ana_Maritza_Vega_Suarez_AVATIC.jpg Este es un post invitado por Ana Maritza Vega Suárez y también está disponible en inglés.

Ana Maritza es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados.

@AnaVegaSuarez
@AvaticAbogados

New Call-to-action


POSTS RELACIONADOS


Tags: Legalidad

Subscríbete al blog

Últimos posts