“Privacy Shield”: de la marejada del “Caso Schrems” a la resaca del “Safe Harbor”

Con Privacy Shield se ha visto reducida la incertidumbre jurídica en relación con las transferencias internacionales de datos de ciudadanos europeos.

Tras la tempestad, siempre vuelve la calma al igual que tras la polvareda levantada por la sentencia del Tribunal de Justicia de la Unión Europea en el Caso Schrems y la anulación del Protocolo del Safe Harbor (Puerto Seguro), las aguas vuelven a su cauce por causa del nuevo protocolo recién negociado: el Privacy Shield (Escudo de Privacidad).

“Privacy Shield”: de la marejada del “Caso Schrems” a la resaca del “Safe Harbor”

© maxsim – Fotolia.com

Si el nuevo Privacy Shield es bueno o malo, el tiempo y los fallos judiciales lo dirán pero, al menos de momento, la incertidumbre jurídica en relación con las transferencias internacionales de datos de ciudadanos europeos se ha visto reducida y, por lógica consecuencia, las relaciones comerciales se aseguran y refuerzan.

Sin embargo, el detonante principal de la caótica situación que hemos vivido entre octubre del 2015 y febrero de 2016 por cuanto se refiere a la seguridad de los datos personales, y especialmente protegidos, de los ciudadanos europeos (entre los cuales, no olvidemos, nos encontramos) sigue sin ser resuelta. Al efecto, la investigaciones masivas en datos de ciudadanos europeos desarrolladas por las autoridades estadounidenses parece que no han terminado ni que vayan a concluir en un futuro próximo.

Ahora bien, ¿en qué consiste el US-EU Privacy Shield?

Como lo fue en su día el “Safe Harbor”, podemos calificar el Privacy Shield de acuerdo internacional, al menos, en tanto en cuanto EEUU se ha comprometido a implementar un cierto protocolo y la UE, por su parte, ha dicho aquello de “aceptamos pulpo como animal de compañía”.

Concretamente, si recordáis el funcionamiento del “Safe Harbor”, en su día EE.UU. publicó un conjunto de principios que toda empresa estadounidense que quisiese operar en el ámbito de las transferencias internacionales de datos provenientes de la Unión Europea debía comprometerse a acatar e implementar. Estos principios le parecieron a la Comisión Europea “adecuados a efectos de la protección de datos”. Y así fuimos tirando muchos años.

Con el paso del tiempo, salieron a la luz una serie de informaciones que ponían de manifiesto que las Agencias de Seguridad estadounidenses se habían dedicado durante bastante tiempo a investigar esos datos que se transmitían desde Europa a EEUU, con el beneplácito y aquiescencia de las empresas que se habían comprometido a salvaguardar los datos de ciudadanos europeos.

Tras un largo proceso judicial, el TJUE señaló, en definitiva y de forma simplificada, que el “Safe Harbor” no era suficiente garantía de seguridad, habida cuenta la intromisión realizada por el Gobierno estadounidense.

Como reza el proverbio, el hombre es el único animal capaz de tropezar dos veces con la misma piedra, así que os podréis hacer una idea del funcionamiento del nuevo “Privacy Shield”: EEUU ha dicho que va a publicar unos nuevos principios de privacidad que las empresas estadounidenses deben comprometerse a acatar (y que van a certificar que acatan mediante una mera comunicación al Departamento de Comercio estadounidense).

¿Cuáles son los Principios de Privacidad del Privacy Shield?

Si las plagas de Egipto fueron 10, en este apartado se han quedado solamente en 7:

1.- Notice Principle (principio de advertencia o aviso): las empresas se comprometen a informar al titular de los datos del tratamiento que se les dará a esos datos. Como medida de seguridad, las empresas han de hacer públicas sus políticas de privacidad y poner links en sus páginas tanto hacia el Departamento de Comercio estadounidense para que se pueda comprobar que se encuentran en la lista de empresas que cumplen con los principios (lista de cuya corrección o actualización el Departamento de Comercio no se hace responsable, según la información disponible en su sitio web) como hacia la misma lista y, además, a una web especializada en arbitraje (un medio de resolución de conflictos extrajudicial).

2.- Choice Principle (principio de elección): las empresas se comprometen a que cualquier ciudadano pueda optar por permitirles o no ceder los datos a terceros o emplearlos para cosa diferente a la originalmente pretendida. Además, se supone que deben recabar el consentimiento expreso para el tratamiento en caso de datos especialmente protegidos.

3.- Security Principle (principio de seguridad): las empresas tienen que tener “razonables y apropiadas” medidas de seguridad; concepto jurídico indeterminado que dará que hablar.

4.- Data Integrity and Purpose Limitation Principle (principio de integridad y limitación de la finalidad de los datos): este mandamiento se divide en dos realmente. De una parte, el principio de integridad de los datos supone que las empresas se comprometen a que los datos con los que operen serán relevantes y adecuados, fiables, completos y actuales en relación con lo que se pretenda hacer con ellos. Por otro lado, se comprometen también a que no usarán los datos de forma incompatible a la inicialmente pretendida y autorizada por el titular.

5.- Access Principle (principio de acceso): se otorga a los titulares de los datos el derecho a tomar conocimiento de si una concreta empresa está operando con sus datos y, además, a que se le comuniquen al titular esos datos objeto de procesamiento, sin necesidad de justificarse y por un módico precio que no ha de ser excesivo. También se otorgan los derechos a corregir, subsanar y eliminar los datos en determinados supuestos.

6.- Accountability for Onward Transfer Principle (principio de responsabilidad por transferencia posterior): se admite la transferencia de datos a terceros en supuestos determinados pero la empresa original será responsable del daño que pueda producirse al titular si no demuestra que ha obrado correctamente.

7.- Recourse, Enforcemente and Liability Principle (Principio de recurso, ejecutividad y obligatoriedad): las empresas que decidan auto-certificarse deben crear mecanismos efectivos y robustos para asegurar el cumplimiento de los principios señalados e instaurar un mecanismo de recurso para los ciudadanos europeos en aquellos casos en que los datos no se traten de la forma debida. Además, una ver que las empresas se auto-certifican el cumplimiento de los principios es obligatorio y plenamente exigible. Todos los años deberán volver a declarar que cumplen con estos principios.

¿Para qué sirven estos principios?

El objetivo fundamental de los principios de seguridad es garantizar que existe seguridad en el tratamiento de los datos, de forma que las empresas no se vean impedidas por las autoridades europeas.

No obstante, el peso de la seguridad se hace recaer en las empresas, que se auto-certifican y establecen sus propios mecanismos sin supervisión ni control estatal alguno. Por poner un ejemplo, imaginad que este sistema se implementase en el ámbito de los impuestos y que fuese bastante para las empresas decir eso de “yo pago mis impuestos” para cumplir con la ley. ¿Cuántos pagarían los impuestos si no hay consecuencia alguna cuando no se pagan?

La Gran Excepción

Partiendo de que los principios son buenos y de que se cumplen, pues en la regulación hay que partir desde algún punto, en el nuevo Privacy Shield se reconoce la posibilidad de que, por causa de la seguridad nacional y el interés público, las Agencias de Seguridad estadounidenses accedan a los datos de los ciudadanos europeos.

El Gobierno norteamericano ha ofrecido garantías acerca de que estas investigaciones inquisitorias no se van a realizar de forma indiscriminada y de que realmente afectan a los datos de muy pocos individuos en relación al montante total de datos transferidos.

Lógicamente, creerse o no lo que dice un Gobierno en materia de su seguridad nacional lo dejo a juicio del consumidor. Pero diera la impresión de que antes investigaban sin conocimiento ni consentimiento de los afectados y ahora se crea un sistema en el que sabemos de antemano que esas investigaciones pueden, al menos, tener lugar y las consentimos frente a su eventualidad.

Como sistema de garantizar que estas investigaciones no se nos vayan de las manos, se implementan diversas medidas, destacando la creación del Privacy Shield Ombudsperson (para que nos entendamos y a falta de mejor definición, un Defensor del Pueblo específico para la supervisión del Privacy Shield) dentro del Departamento de Estado norteamericano, con funciones variadas. En primer lugar, se constituye como oficina de reclamación internacional para los Estados, es decir, aquel Estado que crea que Estados Unidos se está extralimitando en sus investigaciones ya tiene a quien quejarse. En segundo lugar, servirá también como oficina de reclamación para los particulares, aunque con efectos reales limitados, que se podrán cursar vía las agencias nacionales (al efecto, nuestra AEPD).

En realidad, como conclusión, sea como fuere y lo que el futuro nos deparare, el nivel de protección de datos europeo es inalcanzable por los EE.UU., fundamentalmente porque no existe intención de alcanzarlo ni de supeditar a la protección de datos otros intereses públicos (y, esto último, partiendo de que EE.UU. considere la protección de datos de los ciudadanos europeos como un interés público, lo cual, al menos, es cuestionable).

En definitiva, para el caso de que finalmente la Comisión Europea le reconozca el “nivel de protección adecuado” a este Privacy Shield, y el asunto apunta a que así será, tendremos unos años más de tranquilidad en los que se podrá desarrollar aún más el mercado online. No me resulta ajena la posibilidad, sin embargo, de que este nuevo protocolo nazca con fecha de caducidad: lo que tarde un nuevo procedimiento ante el TJUE en llegar a término.

 

José HernándezJosé Hernández Director de Penal en Dyr Abogados , tutor en la UNED de Zamora y escritor en el blog de Te Lo Cuenta Tu Abogado, blog de divulgación del derecho que trata temas de actualidad jurídica, derecho cotidiano, derecho para estudiantes o derecho especializado. 

 

 

  1. ¿Está ya firmado este nuevo acuerdo? Al Privacy Shield, me refiero.
    (muy bien redactado el post)

  2. ¿Hola? ¿Alguien sabe si ya está firmado el Privacy Shield?

Comments are closed.

Shares
Share This

Share This

Share this post with your friends!