Privacy Shield: nuevo acuerdo Europa – USA sobre datos personales

Tras unos meses de de inseguridad jurídica debido a la anulación del anterior marco de relaciones sobre datos personales entre Europa y Estados Unidos, la Comisión anuncia un nuevo acuerdo denominado Privacy Shield.

Fases de la anulación del Safe Harbour

• El 6 de octubre de 2015, el Tribunal de Justicia declaró en el caso Schrems que el marco jurídico conocido como Safe Harbour (puerto seguro) para permitir el tráfico de datos entre la Unión Europea y Estados Unidos no era seguro. La sentencia confirmaba el planteamiento de la Comisión desde noviembre de 2013 para analizar la disposición de puerto seguro, para garantizar en la práctica un nivel suficiente de protección de datos como lo requiere la legislación de la UE.
• El 15 de octubre, el vicepresidente Ansip, y los comisarios Oettinger y Jourová se reunieron con representantes empresariales e industriales que pidieron una interpretación clara y uniforme de la jurisprudencia, así como una mayor claridad en los instrumentos que podrían utilizar para transferir datos.
• El 16 de octubre, las 28 autoridades de protección de datos nacionales (artículo 29) del Grupo de Trabajo emitieron un comunicado sobre las consecuencias de la sentencia.
• El 6 de noviembre, la Comisión publicó una guía para las empresas sobre las posibilidades de transferencias de datos transatlánticos después de la sentencia hasta que un nuevo marco se pone en su lugar.
• El 2 de diciembre, el Colegio de Comisarios debatió el avance de las negociaciones. Comisionado Jourová recibido un mandato para seguir las negociaciones sobre un marco renovado y seguro con los EE.UU..

Nota de Prensa de la Comisión europea

La Comisión señala que el nuevo Privacy Shield refleja los requisitos establecidos por el Tribunal de Justicia en su sentencia del 6 de octubre de 2015, en la que se anuló el anterior acuerdo denominado Safe Harbour. El nuevo acuerdo proporcionará obligaciones más estrictas a las empresas en los EE.UU. para proteger los datos personales de los europeos y más fuerte vigilancia y el cumplimiento por el Departamento de Comercio y la Comisión Federal de Comercio (FTC) de Estados Unidos, incluso a través de una mayor cooperación con las autoridades europeas de protección de datos. El nuevo acuerdo incluye compromisos por parte de los EE.UU. de que las posibilidades permitidas por la ley estadounidense para las autoridades públicas para acceder a los datos personales transferidos en virtud de la nueva disposición será objeto de aclarar las condiciones, limitaciones y supervisión, evitando el acceso generalizado. Los europeos tendrán la posibilidad de plantear cualquier consulta o queja en este contexto con un nuevo Defensor dedicado.

El acuerdo fue presentado por el Vicepresidente de la Comisión Europea Andrus Ansip y la Comisaria Vera Jourova en una rueda de prensa a cuyos detalles se puede acceder en estos enlaces:

• http://ec.europa.eu/avservices/video/player.cfm?ref=I115847
• http://ec.europa.eu/avservices/video/player.cfm?ref=I115848
• http://ec.europa.eu/avservices/video/player.cfm?ref=I115849

Qué es Privacy Shield

El nuevo acuerdo incluirá los siguientes elementos:

• Fuertes obligaciones a las empresas sobre tratamiento de datos personales de los europeos : las empresas estadounidenses que deseen importar los datos personales de Europa tendrán que comprometerse a obligaciones fiables sobre la cantidad de datos personales que se procesan y se garanticen los derechos individuales. El Departamento de Comercio vigilará que las empresas publican sus compromisos, lo que los hace cumplir bajo las leyes de Estados Unidos por los EE.UU.. Comisión Federal de Comercio. Además, cualquier empresa de manejo de datos de recursos humanos de Europa tiene que comprometerse a cumplir con las decisiones de las autoridades de control europeas.
• Garantías claras y las obligaciones de transparencia en el acceso gobierno de Estados Unidos: Por primera vez, los EE.UU. ha dado garantías por escrito a la UE que el acceso de las autoridades públicas para la aplicación de la ley y la seguridad nacional será siempre que estén claramente marcadas las limitaciones, garantías y mecanismos de supervisión. Estas excepciones deben ser utilizados sólo en la medida necesaria y proporcional. Los EE.UU. han descartado la vigilancia masiva indiscriminada de los datos personales transferidos a los EE.UU. en virtud de la nueva disposición. Para vigilar periódicamente el funcionamiento de la disposición habrá una revisión conjunta anual, que incluirá también la cuestión del acceso de seguridad nacional. La Comisión Europea y el Departamento de Comercio de Estados Unidos llevará a cabo la revisión y invitar a expertos nacionales de inteligencia de las autoridades de protección de datos de Estados Unidos y Europa a la misma.
• La protección efectiva de los derechos de los ciudadanos de la UE con varias posibilidades de recurso: Cualquier ciudadano que considere que sus datos han sido mal utilizada en virtud de la nueva disposición tendrá varias posibilidades de reparación. Las empresas tienen plazos para responder a las quejas. DPA europeas pueden derivar las quejas al Departamento de Comercio y la Comisión Federal de Comercio. Además, la resolución alternativa de conflictos será gratuita. Para quejas sobre la posible acceso de las autoridades nacionales de inteligencia, se creará un nuevo Defensor.

Próximos pasos

El vicepresidente Ansip y el comisionado Jourová prepararán un proyecto de “decisión de adecuación” en las próximas semanas, lo que podría ser adoptada  después de obtener el asesoramiento del Grupo del artículo 29 y previa consulta a un comité compuesto por representantes de los Estados miembros. Mientras tanto, la parte estadounidense hará los preparativos necesarios para poner en marcha el nuevo marco, mecanismos de seguimiento y nuevo Defensor del Pueblo.

En breve veremos la postura que adoptan en este periodo intermedio  las Autoridades de Protección de Datos acerca del nuevo acuerdo, en forma de prórroga de la situación actual o alguna instrucción similar, puesto todo lo expresado ayer por las autoridades es la plasmación de un acuerdo político que aún debe ser transformado en una herramienta jurídica efectiva.