“Safe Harbor” es el nombre del acuerdo que hasta el año pasado regulaba la transferencia internacional de datos personales entre Estados Unidos y la Unión Europea. Este consistía en una serie de principios que establecían el nivel adecuado de garantías en la protección de la privacidad de los ciudadanos europeos, en el manejo de datos personales por parte de las empresas estadounidenses. El 6 de octubre de 2015, como consecuencia del juicio “Europa v. Facebook”, la Corte de Justicia de la Unión Europea declaró este marco regulatorio inválido, por considerar que el derecho a la privacidad se encontraba absolutamente limitado por la seguridad nacional y el interés público de los Estados Unidos, sin otorgar medios para una tutela efectiva de los derechos de privacidad de los ciudadanos europeos en ese país; además de no tener criterios claros que permitieran a los países miembros de la UE suspender la transferencia de datos personales, si consideraban que los derechos de sus ciudadanos estaban siendo vulnerados.
Tras esta decisión de la Corte de Justicia de la Unión Europea, la expectativa por un nuevo marco regulatorio creció, toda vez que un sinnúmero de compañías buscaban alternativas para satisfacer sus necesidades comerciales de transferencia internacional de datos personales, esenciales para muchos negocios, implementando figuras como las normas corporativas vinculantes o modelos de cláusulas contractuales.
La Comisión Europea, el pasado mes de febrero, anunció un acuerdo con el Departamento de Comercio de los Estados Unidos con miras a elaborar un estatuto legal, en que este último otorgue mayor protección a la información de carácter personal de los ciudadanos de la UE. Este acuerdo tomó como nombre “Privacy Shield” (o escudo protector en su traducción) y fue adoptado el 12 de julio del presente año.
En palabras de la Comisión Europea, este nuevo acuerdo impone obligaciones más estrictas a las compañías norteamericanas con el objetivo de proteger los datos personales de los ciudadanos europeos y fortalece la vigilancia y el cumplimiento de estas normas por parte del Departamento de Comercio y la Comisión Federal de Comercio (FTC) de los Estados Unidos, incluso creando mecanismos de cooperación con las autoridades europeas de protección de datos. El Privacy Shield incluye también la garantía por parte de los Estados Unidos, de que cualquier acceso de las autoridades públicas a los datos personales transferidos en el marco de este acuerdo, por razones de seguridad nacional, estará sometido a claras condiciones, limitaciones y estricta supervisión, que impedirán el acceso generalizado a la información de carácter personal de los europeos.
¿Cuál es el contenido más relevante del Privacy Shield?
En línea con lo dispuesto por la Comisión Europea, el contenido del Privacy Shield, y los puntos que marcan la diferencia con su antecesor, se pueden resumir en lo siguiente:
- Obligaciones estrictas para las compañías norteamericanas y exigencia de cumplimiento exhaustivo. La nueva disposición contiene mecanismos de supervisión eficaces para garantizar que las empresas respeten las obligaciones establecidas por el nuevo acuerdo, como la certificación anual, la exhibición de la política de privacidad en sus páginas web, responder prontamente a las quejas, etc. Además, se establecen sanciones e incluso la exclusión de las empresas incumplidoras. Las nuevas normas también incluyen condiciones más estrictas para la transferencia de datos personales entre compañías miembros del Privacy Shield.
- Garantías y obligaciones de transparencia del gobierno de Estados Unidos en el acceso a los datos. El gobierno norteamericano ha asegurado a la UE, que cualquier acceso de las autoridades públicas con fines de seguridad nacional estará sujeto a limitaciones claras, salvaguardias y mecanismos de supervisión. Se estableció un mecanismo de reparación a los ciudadanos europeos en el área de la inteligencia nacional, mediante el establecimiento de un Ombudsman dentro del Departamento de Estado estadounidense, que es independiente de los servicios de Seguridad Nacional norteamericanos. El Ombudsman dará seguimiento a las reclamaciones y consultas de los individuos y les informará si las leyes pertinentes se han cumplido.
- La protección efectiva de los derechos de los ciudadanos de la UE, con varias posibilidades de recurso. Las reclamaciones de los ciudadanos podrán tramitarse por varias vías de resolución, efectivas y gratuitas, según detallamos más adelante.
- Mecanismo de revisión conjunta anual, para supervisar el funcionamiento del Privacy Shield, incluyendo la evaluación del cumplimiento de los compromisos tomados y la seguridad en relación con el acceso a los datos para fines represivos y de seguridad nacional. Los encargados de estas evaluaciones serán la Comisión Europea y el Departamento de Comercio de EE.UU. junto con expertos de seguridad nacional de los Estados Unidos y de las autoridades de protección de datos de la UE. Sobre la base de esta revisión anual, la Comisión emitirá un informe público al Parlamento Europeo y al Consejo.
Ahora bien, ¿cómo funcionará en la práctica la implementación de este acuerdo?
Las empresas estadounidenses una vez hayan adaptado sus políticas pueden registrarse, desde el pasado 1 de agosto en el Departamento de Comercio de este país, para estar en la lista del Privacy Shield, y de esta manera certificar que cumplen con los requisitos establecidos en este documento. Este procedimiento deberá realizarse cada año.
El Departamento de Comercio de EE.UU. tendrá el deber de supervisar y verificar activamente que las políticas de privacidad de las compañías sean concordantes y cumplan con los principios del Privacy Shield, junto con ser fácilmente accesibles.
EE.UU. se ha comprometido a mantener una lista actualizada de los miembros del Privacy Shield y asegurar que las empresas que salgan de la lista deban continuar aplicando los principios del acuerdo respecto de aquellos datos personales recibidos durante el periodo en que eran miembros vigentes. Esta extensión de aplicación de los principios deberá mantenerse durante todo el tiempo que retengan los mencionados datos.
¿Cuáles son los Mecanismos de tutela de los ciudadanos europeos’
Cualquier ciudadano europeo que considere que ha sido vulnerado en el tratamiento de sus datos personales transferidos en el marco de este acuerdo, tiene varias posibilidades de acción, a saber:
- Presentar una reclamación ante la propia empresa: Las empresas se comprometen a responder a las quejas dentro de 45 días.
- Llevar su queja a su autoridad de protección de datos (DPA) local: La DPA remitirá la queja al Departamento de Comercio, que responderá dentro de 90 días, o a la Comisión Federal de Comercio, si el Departamento de Comercio no es capaz de resolver el asunto.
- Resolución alternativa de conflictos: Las empresas suscriptoras deberán incluir en sus políticas de privacidad publicadas, un organismo independiente de resolución de conflictos donde los individuos puedan dirigir sus quejas. Deben proporcionar un enlace a la página web de su proveedor de solución de controversias elegido. El Departamento de Comercio verificará que las empresas hayan puesto en práctica esta obligación.
- Si un caso no se resuelve por cualquiera de los medios anteriores, como último recurso, habrá un mecanismo de arbitraje. Los individuos serán capaces de recurrir al Privacy Shield Panel, un mecanismo de resolución de disputas que podrá tomar decisiones vinculantes contra las empresas certificadas estadounidenses.
El Privacy Shield entró a regir para la Unión Europea el pasado 12 de julio, cuando se notificó a los estados miembros de su adopción por parte de la Comisión. Por su parte, en Estados Unidos rige desde que fue publicado en el Registro Federal. Con todo, desde el 1 de agosto pasado las empresas pueden auto-certificarse y registrarse en el Departamento de Comercio para así adherirse a la lista del Privacy Shield.