En un post anterior comentábamos las alternativas legales al Safe Harbor que debían implantar las empresas antes del 29 de enero de 2016. Pues bien, el martes 2 de febrero por la tarde se hizo pública la noticia de un nuevo acuerdo entre la Unión Europea y los Estados Unidos, el Privacy Shield, que pretende servir de cobertura legal a las transferencias internacionales de datos realizadas por empresas europeas que trabajan con proveedores estadounidenses de servicios de cloud computing, hosting, redes sociales,… La anulación de la fórmula legal que permitía el tratamiento de datos de carácter personal por empresas como Google, Facebook, Dropbox o Mailchimp (datos que, a su vez, hubieran sido proporcionadas por empresas europeas), esto es, el conocido como acuerdo Safe Harbor o Puerto Seguro, supuso una convulsión en la economía digital internacional. Las alternativas legales para que las empresas europeas pudieran seguir utilizando dichos servicios (consultar el enlace del inicio) son poco ágiles o no ofrecen demasiada seguridad jurídica. Es por ello que o se alcanzaba un nuevo acuerdo, o el volumen de facturación de los gigantes de Internet disminuiría notablemente.

El acuerdo conocido como Privacy Shield (escudo de privacidad) tiene una fundamentación similar a su predecesor, aunque en este caso incorpora mecanismos de rendición de cuentas por parte de Estados Unidos y compromisos de las empresas para asegurar un mayor respeto a los derechos de intimidad y privacidad, así como evitar un acceso indiscriminado por parte de las agencias federales de inteligencia a datos personales de ciudadanos europeos que se encuentren en servidores ubicados en su territorio. La efectividad del acuerdo deberá ser revisada anualmente, para evitar que el acuerdo se convierta en una formalidad sin alcance real como lo era el Safe Harbor.

Las empresas norteamericanas que se acojan al acuerdo deberán colaborar activamente con las autoridades europeas de protección de datos y deberán publicar sus propios códigos vinculantes sobre el tratamiento de datos. Los puntos principales del acuerdo comentados en la nota de prensa emitida por la Comisión Europea sobre el acuerdo Privacy Shield:

  • Obligaciones más exigentes para las empresas de EEUU que traten datos personales: deberán comprometerse a cumplir una serie de obligaciones sobre el tratamiento de datos y el respeto a la privacidad. El Departamento de Comercio estadounidense se ocupará de supervisar esos códigos de conducta, que serán legalmente vinculantes para las empresas.
  • Garantías del gobierno de EEUU, que se compromete por escrito a limitar el acceso de sus autoridades y agencias, adoptando procedimientos con mayores salvaguardas para los derechos de los ciudadanos, y reduciendo las excepciones de seguridad para el acceso o control de datos.
  • Las empresas acogidas al acuerdo deben respetar las decisiones y resoluciones de las autoridades europeas en materia de protección de datos.
  • Diversos canales para las reclamaciones de los usuarios ante un abuso de su privacidad: podrán dirigirse a las empresas deben atender obligatoriamente esas reclamaciones dentro de unos plazos máximos; las agencias europeas de protección de datos podrán dirigirse directamente al Departamento de Comercio para solucionar reclamaciones; habrá un mecanismo de resolución de disputas gratuito; y se creará una figura defensora para recibir quejas ante accesos de agencias de inteligencia.

Esto es todavía un acuerdo. Es necesario ponerlo por escrito y que sea aprobado por los estados miembros de la UE. Se habla de un plazo aproximado de 3 meses para que el acuerdo empiece a desplegar sus efectos como verdadero sustituto del Safe Harbor. Mientras tanto, las empresas europeas deberán adoptar alguna de las fórmulas legales vigentes a la fecha si quieren seguir realizando transferencias internacionales de datos con seguridad. 

 

*Imagen: Viktor Hanacek. picjumbo.com