El 12 de Julio de 2016, la Comisión Europea aprobó el Nuevo Acuerdo (Privacy Shield) que permite realizar transferencias internacionales de datos ciudadanos europeos a los Estados Unidos.

El Privacy Shield es necesario desde que, en octubre del año pasado, el Tribunal de Justicia de la Unión Europea invalidase el Acuerdo anterior (el Acuerdo de Safe Harbour) por no considerarse adecuado para proteger los derechos fundamentales de los europeos.

Contenido del Acuerdo 

  • Obligaciones rigurosas para las empresas que trabajan con datos: al amparo del nuevo sistema, el Departamento de Comercio de los Estados Unidos llevará a cabo actualizaciones y revisiones periódicasde las empresas participantes, con el fin de garantizar que sigan las normas que ellas mismas han suscrito. Si las empresas no cumplen en la práctica, se enfrentan a sanciones y a ser retiradas de la lista. El endurecimiento de las condiciones para las transferencias ulteriores de datos a terceros garantizará el mismo nivel de protección en caso de transferencia desde una empresa adherida al Privacy Shield.
  • Obligaciones en materia de transparencia y salvaguardias claras para el acceso de la administración estadounidense: los Estados Unidos han dado a la UE garantíasde que el acceso de las autoridades públicas a efectos de aplicación de la ley y de seguridad nacional está sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros. También por primera vez, cualquier persona en la UE tendrá a su disposición vías de recurso en la materia. Los Estados Unidos han descartado una vigilancia masiva indiscriminada de los datos personales transferidos hacia ese país en el marco del acuerdo de Privacy Shield. La Oficina del Director de Inteligencia Nacional explica además que la recopilación en bloque de datos solo podrá utilizarse en condiciones específicas predeterminadas y tiene que ser lo más concreta y precisa posible. Detalla las salvaguardias existentes para la utilización de los datos en esas circunstancias excepcionales. El secretario de Estado estadounidense ha establecido un mecanismo de recurso en el ámbito de la inteligencia nacional para los europeos a través de la figura del Defensor del Pueblo dentro del Departamento de Estado.
  • Protección eficaz de los derechos individuales: cualquier ciudadano que considere que sus datos se han utilizado de forma indebida en el nuevo sistema de Privacy Shield se beneficiarán de varios mecanismos de resolución de litigios accesibles y asequibles. Lo ideal es que las reclamaciones las resuelva la propia empresa; o se ofrecerán gratuitamente mecanismos de resolución alternativa de litigios. Los particulares también podrán dirigirse a sus autoridades nacionales de protección de datos, que colaborarán con la Comisión Federal de Comercio para garantizar que las reclamaciones de los ciudadanos de la UE se investiguen y resuelvan. Si un asunto no se resuelve por un medio u otro, estará previsto, en última instancia, un mecanismo de arbitraje. El mecanismo de recurso en el ámbito de la seguridad nacional para los ciudadanos de la UE será gestionado por un Defensor del pueblo.
  • Mecanismo de revisión conjunta anual: Se hará un seguimiento del funcionamiento del Privacy Shield, incluidos los compromisos y garantías en lo que se refiere al acceso a los datos a efectos de aplicación de la ley o de seguridad nacional.

Aplicación del Acuerdo

Cuando una empresa española realice una transferencia internacional de datos a EE.UU porque haya contratado unos servicios como por ejemplo de correo electrónico, de recogida de datos o de cloud computing, con una empresa de EE.UU, lo podrá hacer siempre y cuando, la empresa americana se encuentre adherida al Acuerdo de Privacy Shield. Si no lo está, será necesario buscar mecanismos alternativos que otorguen las garantías necesarias para justificar la transferencia.

Para saber si una empresa americana se encuentra adherida al Acuerdo de Privacy Shield será necesario consultar el listado que publicará el Departamento de Comercio de EE.UU., una vez hayan sido certificadas la empresas americanas, que lo soliciten, a partir del 1 de agosto de 2016.

No se necesitará autorización por parte de la Directora de la Agencia Española de Protección de Datos cuando la empresa americana importadora de los datos en EE.UU. esté incluida en ese listado, pero si deberá notificar la transferencia al Registro de la Agencia.

El Departamento de Comercio de Estados Unidos ha anunciado que realizará revisiones periódicas para comprobar si las empresas cumplen con la normativa de protección de datos a la que se han sometido. Hay que recordar que la adopción del Acuerdo Privacy Shield es voluntaria para las empresas, por lo que, las empresas que lo firmen, si no lo cumplen, se enfrentarán a sanciones.

Próximos Pasos

En Europa, el Acuerdo de Privacy Shield entra en vigor de manera inmediata. En cuanto a Estados Unidos, el Acuerdo tendrá que publicarse en el Registro Federal y así, el Departamento de Comercio de EE.UU aplicará el Acuerdo. Una vez que las empresas americanas se adapten al Acuerdo, podrán ser certificadas a partir del 1 de agosto por el Departamento de Comercio de EE.UU y adherirse a este nuevo Acuerdo.

Letslaw es un despacho de abogados especializado en protección de datos, derecho digital y reputación online.