No, aún no tenemos Privacy Shield

¿A que cuando te comes una paella te gusta que tenga arroz? (La fideua no es paella). Pues pareciera, según qué noticias, que nos quieren servir paella sin arroz. Y además hacernos creer que ha venido un gran chef a consagrarla con el puntito final del socarrat.

Nos referimos a una noticia que conocíamos ayer a través de Twitter, gracias al compañero Fernando Ramos Suárez, según la cual “Microsoft respalda el pacto de protección de datos entre EE.UU. y UE” en referencia al denominado Privacy Shield, futurible sustituto (que no sustituto ya) del acuerdo Safe Harbor por el que, hasta que fue invalidado por el Tribunal de Justicia de la Unión Europea el pasado mes de octubre de 2015, se regían gran parte de las transferencias de datos personales de UE a EEUU.

En nuestra opinión, la noticia, tal cual se encuentra redactada, puede dar a entender varias cosas que inducirían a error a muchos, tales como:

  • Que Privacy Shield ya ha sido aprobado.
  • Que resultaba necesario el apoyo o visto bueno de Microsoft (así puede entenderse cuando se dice que “respalda el pacto”).
  • Que Microsoft se ha adherido ya a este nuevo marco.
  • Que las empresas europeas ya pueden operar con las estadounidenses, sin ningún problema ni requisito adicional, aún cuando ello implique que se tenga que facilitar a éstas datos personales de los que aquéllas son responsables.

Entonces, ¿esto no es así?

No, aún no tenemos a Privacy Shield vigente. Reconociéndole a Microsoft los esfuerzos que ha hecho en el pasado y parece quiere seguir haciendo en esta materia, ni se precisa su respaldo para que Privacy Shield salga adelante, ni, por ahora, puede adherirse a nada efectivo, ya que aún no existe plenamente Privacy Shield. Y, lamentándolo mucho, de momento aquellas empresas europeas que necesiten transferir datos personales a Estados Unidos (para ceder los datos a un tercero o para que se les preste a ellas un servicio), a falta de lo que era el paraguas de Safe Harbor, deberán recurrir al resto de mecanismos existentes en nuestra normativa.

¿ Y por qué se habla tanto de un acuerdo Privacy Shield?

Las negociaciones UE – EEUU se iniciaron con prontitud una vez se conoció la Sentencia del TJUE que invalidaba Safe Harbor. Como fruto de ello, lo que tenemos es un primer acuerdo sobre el contenido del documento que deberá ser finalmente aprobado.

La Comisión Europea declara a un destino como seguro, a efectos de poder transferir allí datos personales, mediante un tipo de acto jurídico llamado decisiones. Hasta ayer mismo, lo que teníamos era un esquema sobre lo que debía contener el acuerdo, un primer borrador o Proyecto de Decisión sobre el carácter adecuado de la protección y unos Anexos (1, 23, 4, 5, 6, y 7).

Y ayer, 13 de abril de 2016, el Grupo del Artículo 29 (GT29), órgano consultivo encargado, entre otras cosas, de emitir dictámenes sobre el nivel de protección de los países en materia de protección de datos personales, se ha pronunciado respecto a ese proyecto o borrador de Privacy Shield. En resumen lo que dice es que existen notables avances respecto a Safe Harbor, pero le preocupan ciertas cuestiones que considera deben superarse o de lo contrario Privacy Shield no garantizará un adecuado nivel de protección.

En conclusión: toca seguir esperando.

 

Más información.
Imagen destacada: Bandera EEUU, por Charles Fettinger | Bandera europea, por Nicolas Raymond | Composición final: Ruth Benito Martín