“Privacy Shield” aprobado.

El pasado 12 de julio, la Comisión Europea ha aprobado el nuevo marco de flujos transatlánticos de datos, esto es el nuevo régimen bajo el cual las empresas estadounidenses podrán tratar datos de carácter personal que les sean facilitados desde Europa.

Recordemos que en octubre de 2015 una sentencia del Tribunal de Justicia de la Unión Europea anuló el Acuerdo de Puerto Seguro (Safe Harbor Agreement) alcanzado entre EEUU y UE, gracias al cual las organizaciones norteamericanas que se adhirieran a los principios en dicho acuerdo establecidos pasaban a ser consideradas como destino con nivel de protección equivalente al existente en Europa al objeto de que pudieran tratar datos de carácter personal que tenían su origen en Europa.

Desde entonces y hasta ahora, dicho de modo muy simplificado, las empresas europeas que quisieran tener o mantener ese flujo de información hacia EEUU, debían acogerse al resto de mecanismos legales existentes para ello, en general mucho más farragosos y costosos.

Por este motivo urgía construir un nuevo instrumento que garantizara que esas transferencias de datos se realizarían con un nivel de garantías adecuado. Y siendo las actividades de espionaje masivo llevadas a cabo por la inteligencia estadounidense el principal motivo por el que el TJUE anuló “Safe Harbor”, la cuestión era muy delicada.

¿Qué mejoras tiene Privacy Shield respecto a Safe Harbor?

El mecanismo utilizado de base es el mismo en ambos casos: Una serie de principios fundamentales en protección de datos, que las empresas estadounidenses deben declarar cumplir para acogerse a “Privacy Shield”. No obstante, parece que en esta ocasión habrá un mayor control sobre este sistema de autocertificación y se exigirá mayor transparencia e información por parte de las entidades americanas.

Asimismo se arbitran unos compromisos por parte de las autoridades nacionales de EEUU tendentes a asegurar que “Privacy Shield” operará de manera efectiva y que se contemplarán unos límites y unas garantías en el acceso a la información personal transferida desde Europa y su uso por parte de las autoridades públicas estadounidenses. En este sentido, se crea el “Defensor Privacy Shield” (Privacy Shield Ombudsperson), una figura independiente que deberá velar por que se cumplan tales compromisos.

Además, se arbitran una serie de vías por medio de las cuales los afectados podrán realizar sus reclamaciones en relación con el tratamiento de sus datos de carácter personal:  1) dirigiéndose a la propia compañía adherida a “Privacy Shield”, 2) mediante entidades independientes de resolución de conflictos (que deben ser designadas por las propias compañías adheridas), 3) a través la propia autoridad nacional de protección de datos del país del afectado,  4) comunicándolo las respectivas autoridades nacionales al Departamento de Comercio de EEUU, 5) la Comisión Federal de Comercio en virtud de comunicados de las entidades independientes de resolución de conflictos, el Departamento de Comercio y/o las autoridades nacionales de protección de datos, 6) mediante un panel de arbitraje vinculante, formado por 20 árbitros designados por el Departamento de Comercio y la Comisión en virtud de su independencia e integridad, así como de su experiencia en privacidad y protección de datos personales. y 7) por vía judicial a través de los tribunales de justicia.

Entonces ¿ya no tengo que hacer nada para seguir funcionando con las empresas estadounidenses?

En primer lugar habrá que esperar al 1 de agosto, fecha a partir de la cual, según informa la propia Comision Europea, las compañías americanas podrán empezar a certificarse ante el Departamento de Comercio de EEUU y, a partir de ahí, comprobar que la entidad estadounidense con la que mantenemos relaciones se ha certificado y figura en la lista de empresas adheridas a “Privacy Shield” en el sitio web que disponga para ello el Departamento de Comercio.

Conviene también comprobar que la organización norteamericana ha hecho pública (suponemos que esto se hará normalmente a través de sus webs corporativas) toda la información que ahora deberá proporcionar en virtud del principio de información que rige “Privacy Shield”:  sus políticas de privacidad, que deberán ajustarse a los principios “Privacy Shield”, mencionando los tipos de datos recabados, la finalidad del tratamiento, derechos que asisten a los afectados, las condiciones para las transferencias posteriores, así como enlaces a la web del Departamento de Comercio, a la Lista “Privacy Shield” (mencionada en el párrafo anterior), y al sitio web de la entidad de resolución de conflictos que designe para posibles controversias en materia de protección de datos con los afectados.

Además, es importante resaltar que, si la empresa estadounidense va a tratar datos de carácter personal de los que nosotros somos responsables, a petición nuestra y con el fin de prestarnos un servicio (es decir, que actúa como encargado del tratamiento), con independencia de que evitemos cualquier otro requisito para la transferencia de los datos, seguiremos necesitando demostrar la existencia de un contrato con esa entidad americana, contrato que debe contener una serie de compromisos específicos en relación con el tratamiento de los datos personales. Esto se aplica, con carácter general, a cualquier proveedor estadounidense y con independencia de que sus servicios sean de pago o gratuitos (Mailchimp, Dropbox, Google Drive, etc.).

Más información.
Imagen destacada: Freepik