El pasado viernes 5 de julio el Parlamento Europeo aprobó la Resolución 2018/2645fijando  una fecha límite (1 de septiembre 2018) para que Estados Unidos realice un importante número de modificaciones en el acuerdo de Privacy Shield (Escudo de Privacidad) y con ello cumplir con el Reglamento General de Protección de Datos (UE) 2016/679.

Recordemos que el acuerdo Privacy Shield sustituyó al antiguo Safe Harbour, el cual autorizaba la transferencia de datos personales al país norteamericano y que fue anulado por el Tribunal de Justicia de la Unión Europea. La llegada del Privacy Shield promulgó nuevas obligaciones a las empresas y limitaba el acceso a los datos a las autoridades estadounidenses.

Sin embargo, y pese al buen camino, desde Europa se fueron solicitando una serie de reformas para que Estados Unidos garantizase el mismo nivel de protección que existe en Europa.

En concreto, el Parlamento Europeo en su Resolución de 6 de abril de 2017 indicó que el Privacy Shield tenía importantes carencias en cuanto a los aspectos institucionales, comerciales y aplicación de las leyes.

Sin embargo, tras el dictamen emitido por el Grupo de Trabajo del Artículo 29 se detectó que las cuestiones que preocupaban al Parlamento Europeo no habían sido resueltas, fijándose el 25 de mayo de 2018 como fecha límite para corregir todas las cuestiones pendientes.

Pero tras cumplirse la fecha límite, el Parlamento Europeo detectó, entre otras, las siguientes cuestiones pendientes de resolver.

CUESTIONES INSTITUCIONALES:

  1. Actualmente, el Consejo de Supervisión de la Privacidad y de las Libertades Civiles de los Estados Unidos (PCLOB) se encuentra limitado para cumplir sus obligaciones dado que aún faltan miembros que nombrar y ni siquiera existe un presidente. Debido a ello la Directiva de Política Presidencial 28 (texto básico del Privacy Shield) aún no ha podido salir adelante dado que es necesario que PCLOB pueda publicar un informe al respecto.
  2. Se ha comprobado que la figura del Defensor del Pueblo no es independiente ni se encuentra dotada de suficientes recursos y poderes para poder atender las vías de recursos que provengan de ciudadanos de la Unión Europea.

CUESTIONES COMERCIALES:

En este ámbito desde Europa se han detectado las siguientes irregularidades:

  1. Las vías habilitadas para que los ciudadanos europeos pueden presentar recursos por el tratamiento de sus datos son excesivamente complejas.
  2. El Departamento de Comercio no realiza un control efectivo sobre el cumplimiento que hacen las empresas de las normas y requisitos del Privacy Shield
  3. Los principios del Privacy Shield no siguen el modelo de tratamiento de la Unión Europea, basado en el consentimiento./li>

Además de lo anterior, las prácticas irregulares detectadas en Facebook(miembro del Privacy Shield) es un ejemplo del estado mejorable que tiene el acuerdo de Privacy Shield. No es entendible que el haber utilizado de forma irregular los datos de 2,7 millones de usuarios europeos, no conlleve la expulsión de Facebook del Privacy Shield, ni tampoco se le haya aplicado un control para el cumplimiento de los principios del Privacy Shield.

CUESTIONES DE APLICACIÓN DE LA LEY

Sobre este aspecto, la Comisión Europea no está siendo informada desde Estados Unidos sobre las numerosas normas que afectan al tratamiento de datos de ciudadanos, siendo como ejemplo más notorio la Ley de Aclaración del Uso Legítimo de Datos en el Extranjero (CLOUD) que permite a las fuerzas de seguridad norteamericanas y extranjeras buscar y acceder a datos de personas a través de las fronteras internacionales sin ningún tipo de proporción o garantía.

Por otro lado, tampoco se entiende por qué los ciudadanos europeos se encuentran excluidos de las garantías expuestas en el artículo 702 de la Ley de Vigilancia de Inteligencia Exterior(FISA) las cuales son igualmente insuficientes.

Por lo anterior, desde Europa existe una gran preocupación por la falta de compromisos jurídicos vinculantes que garanticen que la recogida de datos no sea indiscriminada y libre.

CONCLUSIONES

A raíz de la resolución emitida por el Parlamento Europeo de 5 de julio de 2018, el actual acuerdo de Privacy Shield sigue sin proporcionar un nivel adecuado de protección exigido por la legislación de protección de datos de la Unión Europea.

De hecho, desde Europa no han visto bien que las autoridades competentes de los Estados Unidos no hayan reanudado las conversaciones sobre el acuerdo del Privacy Shield y tampoco hayan establecido ningún plan de acción para tratar lo antes posible las deficiencias detectadas, como pedía el Grupo de Trabajo del Artículo 29.

En consecuencia, el Parlamento pide a Estados Unidos que adopte todas las medidas necesariaspara garantizar que el Escudo de la privacidad cumpla plenamente el Reglamento (UE) 2016/679, de modo que la adecuación no produzca lagunas o una ventaja competitiva para las empresas de los Estados Unidos.

El Parlamento considera que, a menos que los Estados Unidos cumplan plenamente el 1 de septiembre de 2018, Estados Unidos habrá dejado de actuar de conformidad con el artículo 45, apartado 5, del Reglamento General de Protección de Datos; en consecuencia, tras la fecha indicada, el Tribunal de Justicia de la Unión Europea podría suspender el acuerdo de Privacy Shield.