La Comisión Europea aprueba oficialmente el 12 de julio de 2016 el acuerdo Privacy Shield, un sustituto del mecanismo del Safe Harbor para poder transferir datos a empresas norteamericanas y que fue anulado el 6 de octubre de 2015 por el Tribunal de Justicia de la Unión Europea. En este post vamos a explicar cómo funciona Privacy Shield y cómo trabajar con servicios digitales en EEUU con garantías legales.
Creemos que es una gran noticia, pues aporta seguridad jurídica a las empresas y autónomos europeos, que podrán seguir utilizando servicios como gmail, dropbox, evernote, mailchimp, facebook, twitter,… en sus procesos empresariales sin necesidad de establecer complejos y costosos protocolos en la gestión de datos cuando intervengan proveedores establecidos en EEUU.
Antecedentes del Privacy Shield
Recordamos que la normativa europea de protección de datos de carácter personal limita la transmisión de datos a países que no garanticen un cumplimiento similar al de la Unión Europea. Estados Unidos es uno de esos países cuya legislación en materia de privacidad no está considerada como suficiente según los parámetros europeos. Es por ello que en el 2000 se estableció un sistema para que las empresas norteamericanas pudieran “auto-certificarse” en un cumplimiento normativo voluntario que se equiparase a Europa.
Pero el Safe Harbor o Acuerdo Seguro acabó fallando puesto que las autoridades norteamericanas podían acceder a datos de ciudadanos que habían sido transferidos por empresas europeas a proveedores de servicios acogidos al Safe Harbor. Esta falta de garantías para la privacidad supuso a la postre la anulación del acuerdo y el inicio de unos meses de incertidumbre sobre el uso empresarial de grandes servicios de internet: (Google, redes sociales, cloud computing, hosting,… En este post analizamos las implicaciones de la anulación de Safe Harbor y las medidas que debían adoptar las empresas europeas hasta nueva orden. Nosotros en su momento ya apuntábamos que acabaría gestándose un nuevo mecanismo dado los enormes intereses comerciales y sociales en juego.
Qué es el Privacy Shield
Privacy Shield o Escudo de Privacidad es el nuevo acuerdo entre Unión Europea y Estados Unidos para permitir la transferencia internacional de datos a empresas norteamericanas acogidas al acuerdo. Este acuerdo permitirá a las empresas, startups y autónomos españoles (y europeos) poder seguir trabajando con servicios como gmail, google drive, dropbox, evernote, mailchimp, facebook, twitter, instagram,… (damos por hecho que se acogerán al acuerdo) y, en general, servicios de hosting y cloud computing prestados por empresas norteamericanas o con servidores en suelo estadounidense. Todos los servicios anteriores suponen en mayor o menor medida un tratamiento de datos personales de clientes, proveedores, usuarios,… como, por ejemplo, envío de mailing, guardar en la nube bases de datos, perfil empresarial en redes sociales en el que publican fotos, los usuarios que se registran en nuestra web, bases de datos en sistemas CRM o ERP en la nube, y todo un largo etcétera.
Cómo funciona Privacy Shield
Es evidente que cualquier empresa estadounidense del sector digital que quiera seguir teniendo relaciones económicas en Europa adoptará los compromisos del Privacy Shield. Las empresas españolas y europeas sólo tienen que verificar que su proveedor se ha acogido al acuerdo para poder trabajar con ellos como si fuera un encargado del tratamiento establecido en Europa.
Pero, ¿cómo funciona Privacy Shield? El acuerdo Privacy Shield establece supone varios compromisos tanto para las autoridades norteamericanas como para las empresas de ese país que se acojan al acuerdo:
- Revisiones periódicas de las empresas acogidas al Privacy Shield para verificar que respetan las normas que ellas mismas han suscrito. Estos controles serán realizados por el Departamento de Comercio de los Estados Unidos. Las empresas que no superen las verificaciones podrán ser sancionadas y retiradas del listado Privacy Shield. También se endurecen las condiciones para las transferencias posteriores de datos a terceros.
- Nuevos mecanismos de resolución de litigios accesibles y asequibles. En un primer momento, las propias empresas recibirán y podrán resolver las reclamaciones, u ofrecer mecanismos de resolución alternativa de litigios gratuitos. Los ciudadanos también podrán dirigirse a sus autoridades nacionales de protección de datos (en nuestro caso, la Agencia Española de Protección de Datos), que colaborarán con la Comisión Federal de Comercio para vigilar que las reclamaciones de los ciudadanos de la UE sean investigadas y resualtas. Cómo última instancia, se prevé un mecanismo de arbitraje. Así mismo, los ciudadanos de la Unión Europea dispondrán de vías de recurso en el ámbito de la inteligencia nacional a través de la figura del Defensor del Pueblo dentro del Departamento de Estado pero independiente de los servicios de inteligencia de los Estados Unidos.
- Mayores garantías en el posible acceso por parte de autoridades estadounidenses: el acceso a efectos de la ley y de seguridad nacional está sujeto a limitaciones, garantías y mecanismos de supervisión más claros. La recopilación en bloque de datos solo podrá utilizarse en condiciones específicas predeterminadas y tiene que ser lo más concreta y precisa posible.
- Mecanismo de revisión conjunta anual: está previsto un seguimiento del funcionamiento del Privacy Shield por parte de la Comisión Europea y el Departamento de Comercio de los Estados Unidos. La Comisión presentará un informe público al Parlamento Europeo y al Consejo.
Tras el acuerdo definitivo, Privacy Shield fue presentado el pasado 12 de julio de 2016 a los Estados Miembros y entra en vigor de manera inmediata en Europa. Muchas empresas norteamericanas ya están adaptándose al nuevo marco y desde el 1 de agosto podrán certificarse ante el Departamento de Comercio. Puedes acceder al contenido íntegro del acuerdo de Privacy Shield en este enlace.
*Imagen: Viktor Hanacek. picjumbo.com
Una pregunta: en definitiva, los autónomos podemos utilizar estos sistemas dentro de la legalidad, pero es necesario tener algún tipo de contrato con el proveedor (dropbox, por poner un caso concreto) o es suficiente con mantener el resto de requisitos de la LOPD (comunicación archivos, doc. seguridad, etc… )
muchas gracias!
Hola Juan. Muchas gracias por leer nuestro blog. El contrato con el proveedor de cloud computing o de hosting siempre es necesario porque actúa como encargado del tratamiento de datos. Con las grandes empresas y con servicios al gran público (aunque sea para uso empresarial) lo que nos encontraremos es que las condiciones de uso que aceptamos al registrarnos actuarán como ese contrato. Es el caso de dropbox o evernote. Son condiciones generales en las que poco margen tendremos para negociar; sin embargo, es recomendable leerlas detenidamente para comprobar que el uso empresarial que vamos a realizar respeta la política del servicio y la normativa que pueda ser de aplicación.
Esperamos haber resuelto tus dudas. Un saludo