1

EU-US Privacy Shield

euuspuzzle

En el primer post que escribí sobre la privacidad, comenté muy poco sobre la legislatura referente a ésta en Estados Unidos y en España. [1] Hoy, como os dije en aquel post, voy a adentrarme en el tema y veréis la situación en la que nos encontramos, nosotros como parte de la EU, con US en cuanto a privacidad de datos.

Después de unos dos años de idas y venidas en torno alcontrovertido y complicado acuerdo EU-US Privacy Shield [2], el 12 de julio de 2016 la Comisión Europea adoptó oficialmente este nuevo marco y se puso en vigor. Este marco protege los derechos fundamentales de cualquier persona en la EU cuyos datos personales se transfieran a los Estados Unidos y aporta claridad jurídica para las empresas que dependen de transferencias transatlánticas de datos. En definitiva, básicamente es un acuerdo entre ambas regiones para que las transferencias de datos comerciales sean más fáciles y seguras. [3]

new-sh-bannerEste acuerdo no algo nuevo entre estos dos. El EU-US Privacy Shield (Escudo de Privacidad de la Unión Europea y los Estados Unidos) sucede al anterior acuerdo Safe Harbor [4]Safe Harbor se trataba de un sistema voluntario de autocertificación del cumplimiento que garantizaba una protección adecuada de la información personal de los ciudadanos de la EU. Este programa de protección de datos fue negociado por el Departamento de Comercio de los Estados Unidos y la Comisión Europea. Las empresas estadounidenses que se adherían a los requisitos de Safe Harbor se consideraba que tenían un «nivel adecuado de protección» y, por lo tanto, estaban en conformidad con la Directiva 95/46 / EC [5] sobre protección de datos personales. Safe Harbor permitía a las compañías estadounidenses recibir datos personales de Europa sin experimentar interrupciones en sus tratos comerciales con la EU o en juicio por parte de las autoridades europeas.

AAEAAQAAAAAAAAQ3AAAAJGQ3OWVmMTllLTc2ZTMtNDQ5OS05ODU3LTk2NjU5NGJlNTVlOALa legislación sobre el Safe Harbor en aplicación se remonta a 1998, pero se invalidó hace un par de años. Y tal vez os preguntéis: “Si la Comisión Europea y Estados Unidos lo firmaron en aquella época, ¿por qué se invalidó hace poco tiempo, más de 15 años después?” La respuesta: Snowden. Más concretamente, un ciudadano austriaco que demandó a la Agencia de Protección de Datos irlandesa, por la que se rige Facebook, después de que las filtraciones de Snowden demostraran que la red social no hizo nada por evitar la vigilancia de la NSA durante años y que el Safe Harbor era de todo menos seguro. [6]

Dejando atrás los antecedentes, sigamos hablando del nuevo tratado. ¿Qué le diferencia del anterior?

Hasta ahora sabemos de cuatro elementos principales del Privacy Shield que son diferentes del precursor Safe Harbor: [7]

  • Obligaciones rigurosas para las empresas que trabajan con datos: Si las empresas no cumplen con lo establecido, se enfrentan a sanciones y a ser retiradas de la lista. El endurecimiento de las condiciones para las transferencias de datos a terceros garantizará el mismo nivel de protección en caso de transferencia desde una empresa adherida al Privacy Shield.
  • Obligaciones en materia de transparencia y salvaguardias claras para el acceso de la administración estadounidense: los Estados Unidos han dado a la EU garantías de que el acceso de las autoridades públicas a efectos de aplicación de la ley y de seguridad nacional está sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros.
  • Protección eficaz de los derechos individuales: cualquier ciudadano que considere que sus datos se han utilizado de forma indebida en el nuevo sistema del Privacy Shield se beneficiarán de varios mecanismos de resolución de litigios accesibles y asequibles.
  • Mecanismo de revisión conjunta anual: el mecanismo hará un seguimiento del funcionamiento del Privacy Shield, incluidos los compromisos y garantías en lo que se refiere al acceso a los datos a efectos de aplicación de la ley o de seguridad nacional.

us_eu_handshake-100654413-primary.idge

Habrá que ver si estas mejoras que introducen son realmente efectivas y que haya, sobretodo, una voluntad de La Comisión Europea y el Departamento de Comercio de los Estados Unidos para que todo esto se cumpla.

Será difícil evaluar su impacto total hasta que haya pasado cierto tiempo. No obstante, durante los próximos 12 meses estará bajo estricta vigilancia, evaluándose su eficacia, si está bien implementado y qué tan seguro es.

 

REFERENCIAS

[1] Aldama Notario, M. (2016). Invadiendo la privacidad. Blogs.deusto.es. Disponible en: https://blogs.deusto.es/master-informatica/invadiendo-la-privacidad/ [Consulta 6 Nov. 2016].

[2] Privacyshield.gov. (2016). Privacy Shield. Disponible en: https://www.privacyshield.gov/EU-US-Framework [Consulta 6 Nov. 2016].

[3] Azkarate, J. (2016). DECLARACIÓN DE LAS AUTORIDADES EUROPEAS DE PROTECCIÓN DE DATOS SOBRE LA DECISIÓN DEL ‘Privacy Shield’. Blog de Pribatua. Disponible en: http://pribatua.org/?p=3331 [Consulta 6 Nov. 2016].

[4] Knowledgeleader.com. (2016). The Global Privacy and Information Security Landscape: Frequently Asked Questions | KnowledgeLeader. Disponible en: https://www.knowledgeleader.com/KnowledgeLeader/Content.nsf/Web+Content/PBTheGlobalPrivacyandInformationSecurityLandscapeFAQs!OpenDocument [Consulta 6 Nov. 2016].

[5] Agencia Española de Protección de Datos. (2016). Directiva 95/46/CE. Disponible en: https://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/union_europea/directivas/common/pdfs/B.4-cp–Directiva-95-46-CE.pdf [Consulta 6 Nov. 2016].

[6] Nuevoreglamentoprotecciondatos.es. (2016). Safe Harbour anulado: puerto no seguro. Disponible en: http://www.nuevoreglamentoprotecciondatos.es/p/safe-harbour-anulado-puerto-no-seguro.html [Consulta 6 Nov. 2016].

[7] Europa.eu. (2016). European Commission – PRESS RELEASES – Press release – La Comisión Europea pone en marcha el Escudo de la privacidad UE-EE.UU.: más protección para los flujos de datos transatlánticos. Disponible en: http://europa.eu/rapid/press-release_IP-16-2461_es.htm [Consulta 6 Nov. 2016].