Solicite un presupuesto
Elaboraremos una propuesta adecuada a sus necesidades
SOLICITAR SOLICITAR

Aprobación del nuevo acuerdo Privacy Shield

 In Notícias

Finalmente, ha sido aprobada la decisión de adecuación del Privacy Shield para las transferencias internacionales de datos a EE.UU., que viene a sustituir al anterior acuerdo Safe Harbor.

Pero, para entender este nuevo acuerdo, empecemos por el principio:

En numerosas ocasiones, las empresas tratan datos personales que acaban siendo almacenados en EE.UU., lo que implica una transferencia internacional de Datos a este país. Como regla general, para realizar dicha transferencia, se necesita la autorización de la Directora de la Agencia Española de Protección de Datos, salvo una serie de excepciones. Una de estas excepciones es que el destinatario garantice la aplicación de un nivel de protección adecuado.

Pues bien, las empresas de EE.UU. que disponían de Certificado de Puerto Seguro (Safe Harbor) se entendía que garantizaban la aplicación de un nivel de protección adecuado, por lo que no se requería la autorización de la Directora de la Agencia Española de Protección de Datos para realizar la transferencia internacional de datos. No obstante, el 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea dictó una sentencia por la que declaró inválida la Decisión de la Comisión que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EE.UU ofrecidas por el acuerdo de Puerto Seguro, justificando esta decisión, sobre todo, en que EE.UU accedía, de manera generalizada y sin motivos justificados, a datos personales, hecho que quedó acreditado como consecuencia de los últimos casos de espionaje de este país a sus aliados europeos destapados por Snowden. Es decir, ha venido a decir que aunque las empresas de EEUU dispongan de Puerto Seguro eso no garantiza que apliquen un nivel de protección adecuado.

Esto hace que todas las transferencias internacionales de datos basadas en la existencia de dicho Puerto Seguro sean, a día de hoy, ilegales y que la Agencia Española de Protección de Datos esté solicitando a las empresas que han declarado transferencias internacionales de datos a EEUU, justificándolas en que las empresas destinatarias disponen de Certificado de Puerto Seguro, para que regularicen dichas transferencias. Es decir, que como el Puerto Seguro ya no significa que las empresas de EEUU aplican las medidas de seguridad adecuadas hay que justificar esa transferencia en alguna otra excepción de las recogidas en la Ley o pedir la autorización de la Directora de la Agencia.En este último supuesto, que era el que más se estaba manejando, la autorización se obtiene mediante la firma de un contrato tipo entre el exportador e importador de datos que debe remitirse posteriormente a la Agencia para que acepte dicha transferencia. La firma de este contrato supone unos trámites burocráticos que en la práctica resultan muy complicados de cumplir. Además de lo anterior, no basta con entregar dicho contrato (original o copia compulsada y traducción jurada al español, en su caso) sino que además es necesario entregar los poderes suficientes de los firmantes y, en su caso, traducción jurada al español, lo que supone, en muchos casos, un requisito muy difícil de cumplir.

Como consecuencia de esta situación, y dado el clima de inseguridad jurídica existente, EEUU y la Unión Europea han estado negociando un nuevo acuerdo para sustituir al derogado Safe Harbor. Este nuevo acuerdo se ha denominado PRIVACY SHIELD (Escudo de Privacidad).

Este acuerdo ya ha sido aprobado y la decisión de adecuación se ha comunicado el 12 de julio a los Estados miembros, entrando en vigor inmediatamente. Por otra parte, en relación con los Estados Unidos, el marco del Escudo de la privacidad se publicará en el Federal Register (Registro Federal), el equivalente a nuestro Diario Oficial. El Departamento de Comercio de los Estados Unidos comenzará a operar el Escudo de la privacidad. Una vez las empresas hayan tenido ocasión de revisar el marco y de actualizar su cumplimiento, podrán certificarse ante el Departamento de Comercio a partir del 1 de agosto. Es decir, que sí la empresa de EE.UU. a la que se van a comunicar datos personales se adhiere a partir del 1 de agosto al nuevo acuerdo Privacy Shield se entiende que aplica unas medidas de seguridad adecuadas y, por tanto, no haría falta firmar el contrato indicado anteriormente para regular dichas transferencias.

Antes de dar el sí definitivo al nuevo Privacy Shield, la Comisión ha tenido en cuenta el dictamen del Grupo de Trabajo Artículo 29, organismo que agrupa a las autoridades europeas de protección de datos, y ha acordado con el gobierno estadounidense introducir aclaraciones adicionales sobre la recopilación de datos en bloque, reforzar el mecanismo del Defensor del Pueblo e introducir obligaciones más explícitas para las empresas respecto a los límites de conservación y transferencia de datos.

Pero, ¿cuáles son los puntos más importantes de este nuevo Privacy Shield?:

El Departamento de Comercio de Estados Unidos llevará a cabo actualizaciones y revisiones periódicas para garantizar el cumplimiento del Privacy Shield en las empresas que se hayan adherido a este acuerdo, el cual es voluntario.
EE.UU ha garantizado que los accesos a información de ciudadanos europeos que lleve a cabo se hará con limitaciones claras, no de manera generalizada.
Se facilitan mecanismos a los ciudadanos que consideren que se ha producido una vulneración de su derecho a la protección de datos. En este caso, la Comisión publicará una breve guía para los ciudadanos en la que explica las vías de recurso disponibles en caso de que un particular considere que sus datos personales se han utilizado sin tener en cuenta las normas de protección de datos.

Jorge De Diego

Abogado

Recent Posts