Velázquez, 109. Madrid (Spain - Europe)

+34.915649345 info@abanlex.com

5 claves para entender el #PrivacyShield aprobado hoy por la Comisión Europea

CnJ3lDXW8AAr8Ov

Artículo elaborado por Pablo Corrales (@pablocorralesEU)

La Comisión Europea acaba de aprobar el Escudo de Privacidad (o Privacy Shield). Se abre de nuevo la puerta para que las empresas españolas (y europeas) puedan volver a usar servicios estadounidenses como Mailchimp, Google Drive, Facebook o Twitter para subir datos personales.

Puedes leer la nota de prensa de la Comisión o descargar el texto del Privacy Shield.

1.- ¿Cuál era la situación anterior al Privacy Shield?

Hace unos meses, la industria europea se revolucionó cuando se declaró inválido el Puerto Seguro (Decisión 2000/520/CE) a través de la publicación de la Sentencia C-362/14 del TJUE. Desde ese momento, operaciones tan sencillas para las empresas como usar Mailchimp para enviar newsletters o subir fotos hechas en eventos a la cuenta corporativa en Twitter significaba realizar una transferencia internacional a un país no seguro que, de no ser consentida inequívocamente por las personas fotografiadas, podía derivar en una infracción muy grave con sanción de multa de entre 300.001 a 600.000 euros.

No hay que confundir la figura del responsable del tratamiento, que se da cuando una empresa gestiona los datos de usuarios que deciden asociar a una página de empresa en una red social, con la figura del responsable del fichero, que es la que encontramos en el caso de que una empresa suba datos personales a una red social con la posibilidad de tratarlos y gestionar, sobre ellos, los derechos ARCO de los afectados. El primer caso (responsable del tratamiento) lo vemos en la lista de seguidores que tiene una empresa en Twitter; mientras que el segundo caso lo vemos en las galerías de fotos que la empresa sube a Facebook o en los datos que agrega a sus tweets en Twitter.

La declaración de invalidez del Acuerdo de Puerto Seguro ha afectado gravemente a los responsables españoles del fichero en las transferencias que hacían hacia, por ejemplo, servidores alojados en Estados Unidos. Estas se revelaban ilegales salvo que se contase con la autorización de la Agencia Española de Protección de Datos (AEPD) o salvo que lograsen encajarlas en alguna de las excepciones del artículo 34 de la LOPD como, por ejemplo, el consentimiento inequívoco del afectado. Tanto el Grupo de Trabajo del Artículo 29, que emitió una nota de prensa, como la propia AEPD, que envió requerimientos a un gran número de empresas españolas, pusieron de manifiesto la situación, previniendo de la posibilidad de iniciar procedimientos de inspección y sancionadores.

2.- ¿Cuándo se aprobó el Privacy Shield?

La Comisión Europea acaba de aprobar, el 12 de julio de 2016, el nuevo acuerdo de privacidad con Estados Unidos, llamado Privacy Shield o Escudo de Privacidad, que sustituirá al anterior fallido Safe Harbor, declarado nulo por el Tribunal de Justicia de la Unión Europa en el procedimiento C-362/14 del 6 de octubre de 2015, conocida como Sentencia del caso Schremes.

Este nuevo acuerdo, tiene como objetivo una protección más efectiva de cualquier individuo cuyos datos personales sean transferidos desde la Unión Europea a Estados Unidos, así como arrojar luz sobre la legalidad en estas transferencias por parte de empresas. El artículo 25 de la Directiva europea de Protección de Datos solo permite que las transferencias de datos desde el territorio de la Unión se hagan a aquellos países que garanticen un nivel adecuado en la protección de esos datos.

Artículo 25 de la Directiva europea de Protección de Datos

1. Los Estados miembros dispondrán que la transferencia a un país tercero de datos personales que sean objeto de tratamiento o destinados a ser objeto de tratamiento con posterioridad a su transferencia, únicamente pueda efectuarse cuando, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la presente Directiva, el país tercero de que se trate garantice un nivel de protección adecuado.

2. El carácter adecuado del nivel de protección que ofrece un país tercero se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular, se tomará en consideración la naturaleza de los datos, la finalidad y la duración del tratamiento o de los tratamientos previstos, el país de origen y el país de destino final, las normas de Derecho, generales o sectoriales, vigentes en el país tercero de que se trate, así como las normas profesionales y las medidas de seguridad en vigor en dichos países.

Andrus Ansip
Andrus Ansip, European Commission Vice-President for the #DigitalSingleMarket (ver tweet)
Vera
Věra Jourová, Commissioner for @EU_Justice, Consumers and Gender Equality @EU_Commission. (ver tweet)

3.- Tres puntos esenciales para entender el Privacy Shield

Este acuerdo pretende devolver la confianza de los ciudadanos europeos en la seguridad de sus datos cuando estos vayan a ser tratados en Estados Unidos, confianza que fue seriamente dañada a raíz de las revelaciones de Edward Snowden en las que mostraba como los servicios secretos accedían de forma totalmente arbitraria a los datos de los extranjeros que se encontraban alojados por empresas estadounidenses.

Con Privacy Shield:

  1. Las empresas estadounidenses deberán cumplir con obligaciones más estrictas a la hora de manejar datos provenientes de Europa. El Departamento de Comercio de los Estados Unidos llevará a cabo revisión y actualizaciones para asegurar que las empresas mantienen sus obligaciones. Aquellas que incumplan, serán sancionadas y podrán ser eliminadas de la lista de empresas que pueden recibir datos provenientes de Europa. Además, cuando estas empresas compartan los datos con terceros, deberán asegurarse que estos cumplen con el mismo nivel de protección.
  2. Se establecerán límites y la obligación de más transparencia al acceso que el gobierno de los Estados Unidos tenga a los datos de los europeos que se encuentren en suelo americano. El gobierno de EE.UU., se compromete a cesar en sus programas de vigilancia masiva. La información recabada por los servicios de inteligencia norteamericanos solo podrá ser utilizada bajo condiciones preestablecida y siempre con una finalidad y objetivo concretos.
  3. Se implementa una protección efectiva de los derechos de los individuos. Aquellos que consideren que sus derechos recogidos en el Privacy Shield han sido vulnerados dispondrán de los mecanismos necesarios para la resolución de la disputa. Las quejas podrán resolverse con las mismas compañías, mediante alternativas de resolución de disputas o a través de la agencia de protección de datos correspondiente.

Privacy Shield será monitorizado y revisado anualmente. Tanto la Comisión Europea como el Departamento de Comercio de EE.UU. llevarán a cabo estas revisiones junto con expertos en protección de datos provenientes de ambas partes. La Comisión publicará informes y reportará al Consejo y al Parlamento europeos.

4.- ¿Cuándo entrará en vigor el Privacy Shield?

El nuevo acuerdo será presentado el 12 de julio de 2016, mismo día en que lo ha aprobado la Comisión Europea, a los Estados miembros. Con esta notificación entra en vigor en la Unión Europea.

En Estados Unidos, esta entrada en vigor se producirá cuando Privacy Shield sea publicado en el “Official Journal” (similar al B.O.E.). A partir del 1 de agosto de este año (2016), las empresas americanas podrán comenzar a obtener la clarificación que las permita comenzar a manejar datos provenientes de la Unión Europea.

La Comisión publicará en breve una guía para ciudadanos europeos explicando las opciones disponibles para aquellos casos en los que el individuo consideré que sus datos han sido utilizados sin las medidas adecuadas en materia de protección de datos.

5.- Soy empresa española. ¿Cómo me puedo beneficiar del Privacy Shield?

El Acuerdo de Escudo de la Privacidad o Privacy Shield permitirá a las empresas españolas contar con servicios ofrecidos por empresas estadounidenses de forma más rápida y sencilla, sin necesidad de contar con el consentimiento inequívoco del afectado y sin tener que esperar a la autorización por escrito de la Directora de la Agencia Española de Protección de Datos.

La forma para beneficiarse de este acuerdo es sencilla: cuando la empresa española quiera comenzar a usar los servicios de una empresa estadounidense que suponga el tratamiento de datos en aquel país, tan solo tendrá que revisar que dicha empresa americana está en el listado del Acuerdo del Escudo de Privacidad. Esto querrá decir que la americana, encargada del tratamiento, se ha comprometido a seguir las reglas del acuerdo y someterse a ellas.

Las empresas estadounidense que podrán empezar a usarse de esta forma tan sencilla serán las que ofrecen servicios como Google Drive, MailChimp, servicios de hosting, Páginas de empresa en Facebook, cuentas corporativas en Twitter… en la medida en que estas sociedades acepten el Acuerdo, lo cumplan y pasen a formar parte de la Privacy Shield List.

Estamos asistiendo a la reapertura del puente de transmisión de datos entre Estados Unidos y Europa.

One thought on “5 claves para entender el #PrivacyShield aprobado hoy por la Comisión Europea”

Deja un comentario