¿Entonces, ya puede mi empresa enviar datos a EEUU?

Como más de uno habrá escuchado o leído, los negociadores de la Unión Europea y Estados Unidos acordaron hace unos días un pacto para la transferencia de datos entre ambas orillas del Atlántico, el acuerdo tiene por nombre: EU-US Privacy Shield” (escudo de privacidad).

Este nuevo marco pretende convertirse en el sucesor de la Declaración de Puerto Seguro (“Safe Harbor”), anulada por el Tribunal de Justicia de la Unión Europea el pasado octubre al considerar que algunas de las disposiciones de dicha Declaración no son compatibles con el Derecho de la Unión y, que EEUU, no ofrecía garantías equivalentes a las ofrecidas por la Unión Europea para la realización de transferencias internacionales de datos. (Ver aquí post sobre la cuestión).

Las negociaciones no han sido fáciles y ha costado alcanzar un acuerdo que, de momento, no deja de ser un acuerdo político de buenas intenciones entre ambas partes. Debemos esperar por lo tanto a que el mismo se refleje en un texto jurídico y será entonces cuando realmente podamos comprobar la efectividad y seguridad jurídica que aporta al complejo mundo de las transferencias internacionales de datos.

Alberto

  • Los aspectos más significativos del acuerdo son los siguientes:

1.- EE UU, por primera vez en la historia, se somete a unas normas vinculantes en cuanto a la protección de datos de ciudadanos extranjeros.

2.- Se introduce la figura del Defensor en materia de datos personales. Será una especie de Defensor del Pueblo (Ombudsman), que recibirá quejas de los ciudadanos respecto al trato dado a sus datos personales. Esta figura dependerá del Departamento de Estado de EE.UU, pero será independiente de los servicios de seguridad nacionales. Este Defensor dará seguimiento a las reclamaciones y consultas de los ciudadanos de la UE para acceder a la seguridad nacional e informar a la persona si las leyes se han cumplido.

3.- Existirá un marco sancionador para aquellas empresas que incumplan los compromisos asumidos, que contempla incluso la expulsión de dicho acuerdo.

4.- Se creará un mecanismo de resolución de conflictos. Posiblemente existirá sumisión a arbitraje.

5.- El acuerdo “Privacy Shield” se proyecta como un acuerdo dinámico, activo y/o cambiante. La finalidad es que permanezca actualizado ante novedades futuras, a diferencia de lo que ocurrió con “Safe Harbor” (es decir, parecido a lo que los auditores/abogados de protección de datos recomendamos con persistencia a nuestros clientes en relación al Documento de Seguridad LOPD: “actualícenlo y adáptenlo a la realidad de su entidad, por favor”…).

El nuevo acuerdo con EEUU, implica que la Comisión Europea considera que las medidas y garantias ofrecidas por EEUU son suficientes para decidir declarar que el nuevo esquema y, las empresas que se adhieran a él, ofrecen un nivel de protección adecuado.

En las próximas semanas se preparará un borrador de “Decisión de adecuación”. Ese texto será objeto de dictamen de las Autoridades europeas de protección de datos, y se someterá a un comité compuesto por representantes de los Estados miembros.

  • Entonces, ¿ya puede mi empresa enviar datos a EE.UU?

El negocio de los proveedores de servicios en la nube, donde compiten gigantes como Amazon®, Microsoft®, Google®, Dropbox® o IBM® está de enhorabuena. Con este acuerdo las empresas que tratan datos de ciudadanos europeos podrán seguir contratando servicios de hosting con entidades estadounidenses como las citadas. No han existido sanciones por parte de la Agencia Española de Protección de Datos durante estos meses de inseguridad jurídica desde que conocimos la sentencia del Tribunal de Justicia de la Unión Europea el pasado octubre. Ahora, con el acuerdo logrado y, a falta de la “Decisión de adecuación”, no se prevé que las autoridades europeas de protección de datos comiencen a sancionar.

Por consiguiente, y con todas las cautelas a la espera de la “Decisión de adecuación”, una vez que las empresas de EE.UU se vayan adhiriendo al nuevo acuerdo denominado “Escudo de Privacidad”, la certeza y seguridad jurídica regresará al sector de los proveedores de hosting, sobretodo, a los empresarios que desean contratar un hosting competitivo técnica y económicamente hablando.

En todo caso, como empresarios que somos radicados en Europa, para cumplir con la normativa de protección de datos no debemos olvidar que no es suficiente comprobar que nuestro proveedor de hosting esté adherido al nuevo acuerdo “Privacy Shield”, además debemos de implementar nuestra entidad a la normativa europea, en el caso de España a la L.O.P.D. (Ley Orgánica de Protección de Datos, a la espera de la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos de aplicación directa en el ordenamiento jurídico español, que se prevé entre en vigor antes del verano). Asimismo, al contratar el hosting estamos obligados a remitirles un acuerdo de protección de datos o acuerdo de encargado del tratamiento (artículo 12 LOPD) para su firma a dicho proveedor. Mediante el mismo, se comprometerá principalmente y, entre otras cosas, a: cumplir con la normativa de privacidad; a seguir nuestras instrucciones en el tratamiento de datos personales; y, por último, a que en caso de incumplimiento por su parte, nosotros quedaremos exentos de responsabilidad.

Como conclusión, debo decir que EE.UU se ha comprometido contractualmente a “olvidar” la vigilancia masiva e indiscriminada bajo el amparo de la seguridad nacional, hecho del que tuvimos conocimiento en 2013 gracias al extrabajador de la Agencia de Seguridad Nacional (NSA) Edward Snowden, en la actualidad asilado en Moscú (Rusia). Veremos hasta que punto EE.UU cumple con su compromiso en defensa de los derechos fundamentales de ciudadanos que vivimos a miles de kilómetros de distancia y sin derecho al voto el próximo 8 de noviembre de 2016…

Para aquellos interesados, consultar: European Commission – Press release/Nota de Prensa.

Acerca de Alberto Cuesta

Abogado-Director en URECA-Legal (nº32.435) Vocal Sección TIC y Propiedad Intelectual del Ilustre Colegio de Abogados de Barcelona. Miembro Registro AULETEC – Abogados auditores de entornos tecnológicos (Lic.nº33). Miembro del Observatorio Iberoamericano de Protección de Datos.
Esta entrada fue publicada en Derecho Civil, Derecho Mercantil. Guarda el enlace permanente.

Deja un comentario