U.E-EE.UU, Nuevo Acuerdo de Protección de Datos
Como
más de uno habrá escuchado o leído, los
negociadores de la Unión Europea y Estados Unidos acordaron hace unos días un
pacto para la transferencia de datos entre ambas orillas del Atlántico, el
acuerdo tiene por nombre:
“EU-US Privacy Shield” (escudo de
privacidad).
Este nuevo marco pretende
convertirse en el sucesor de la
Declaración de Puerto Seguro (Safe Harbor), anulada por el Tribunal de Justicia de la Unión Europea el pasado octubre al considerar
que algunas de las disposiciones de dicha Declaración no son compatibles con el
Derecho de la Unión y, que EEUU, no ofrecía garantías equivalentes a las
ofrecidas por la Unión Europea para la realización de transferencias
internacionales de datos.
Las
negociaciones no han sido fáciles y ha costado alcanzar un acuerdo que, de
momento, no deja de ser un acuerdo
político de buenas intenciones entre ambas partes. Debemos esperar por lo tanto a que el mismo se refleje en un texto
jurídico y será entonces cuando realmente podamos comprobar la efectividad y
seguridad jurídica que aporta al complejo mundo de las transferencias
internacionales de datos.
-
Los aspectos más significativos
del acuerdo son los siguientes -
1.-
EE UU, por primera vez en la
historia, se somete a unas normas
vinculantes en cuanto a la protección de datos de ciudadanos extranjeros.
2.-
Se introduce la figura del
Defensor en materia de datos
personales. Será una especie de Defensor
del Pueblo (Ombudsman), que recibirá quejas de los ciudadanos respecto
al trato dado a sus datos personales. Esta figura dependerá del Departamento de
Estado de EE.UU, pero será independiente de los servicios de seguridad
nacionales. Este Defensor dará seguimiento a las reclamaciones y consultas de
los ciudadanos de la UE para acceder a la seguridad nacional e informar a la
persona si las leyes se han cumplido.
3.-
Existirá un marco sancionador
para aquellas empresas que
incumplan los compromisos asumidos, que contempla incluso la expulsión de dicho
acuerdo.
4.-
Se creará un mecanismo de resolución
de conflictos. Posiblemente existirá sumisión a arbitraje.
5.-
El acuerdo “Privacy Shield” se proyecta como un acuerdo dinámico, activo y/o cambiante. La finalidad es que
permanezca actualizado ante novedades futuras, a diferencia de lo que ocurrió
con “Safe Harbor” (es decir, parecido a lo que los auditores/abogados de
protección de datos recomendamos con persistencia a nuestros clientes en
relación al Documento de Seguridad LOPD: “actualícenlo y adáptenlo a la
realidad de su entidad, por favor”…).
El nuevo acuerdo con EEUU, implica que la
Comisión Europea considera que las medidas y garantias ofrecidas por EEUU son
suficientes para decidir declarar que el nuevo esquema y, las empresas que se
adhieran a él, ofrecen un nivel de protección adecuado.
En las próximas semanas se preparará un
borrador de "Decisión de adecuación". Ese texto será objeto de
dictamen de las Autoridades europeas de protección de datos, y se someterá a un
comité compuesto por representantes de los Estados miembros.
-
¿entonces, ya puede mi empresa enviar datos a EE.UU? -
El negocio de los proveedores de servicios en
la nube, donde compiten gigantes como Amazon, Microsoft, Google o IBM está de enhorabuena.
Con este acuerdo las empresas que tratan
datos de ciudadanos europeos podrán
seguir contratando servicios de hosting con entidades estadounidenses como
las citadas. No han existido sanciones por parte de la Agencia Española de
Protección de Datos durante estos meses de inseguridad jurídica desde que
conocimos la sentencia del Tribunal de Justicia de la
Unión Europea el pasado octubre. Ahora, con el acuerdo logrado y, a falta de la
"Decisión de adecuación”, no se prevé que las autoridades europeas de
protección de datos comiencen a sancionar.
Por consiguiente, y con todas las cautelas a la
espera de la "Decisión de adecuación”, una vez que las empresas de EE.UU se vayan adhiriendo al nuevo acuerdo
denominado “Escudo de Privacidad”, la certeza y seguridad jurídica regresará
al sector de los proveedores de hosting, sobretodo, a los empresarios que
desean contratar un hosting competitivo técnica y económicamente hablando.
En todo caso, como empresarios que somos radicados
en Europa, para cumplir con la
normativa de protección de datos no debemos olvidar que no es suficiente comprobar
que nuestro proveedor de hosting esté adherido al nuevo acuerdo “Privacy
Shield”, además debemos de implementar
nuestra entidad a la normativa europea, en el caso de España a la L.O.P.D. (Ley
Orgánica de Protección de Datos, a la espera de la entrada en vigor del
nuevo Reglamento Europeo de Protección de Datos de aplicación directa en el
ordenamiento jurídico español, que se prevé entre en vigor antes del verano).
Asísmismo, al contratar el hosting estamos
obligados a remitirles un acuerdo de
protección de datos o acuerdo de encargado del tratamiento (artículo 12
LOPD) para su firma a dicho proveedor.
Mediante el mismo, se comprometerá principalmente y, entre otras cosas, a:
cumplir con la normativa de privacidad; a seguir nuestras instrucciones en el
tratamiento de datos personales; y, por último, a que en caso de incumplimiento
por su parte, nosotros quedaremos exentos de responsabilidad.
Como
conclusión, debo decir que EE.UU se ha comprometido contractualmente a
“olvidar” la vigilancia masiva e indiscriminada bajo el amparo de la seguridad
nacional, hecho del que tuvimos conocimiento en 2013 gracias al extrabajador de
la Agencia de Seguridad Nacional (NSA) Edward Snowden, en la actualidad asilado
en Moscú (Rusia). Veremos hasta que punto EE.UU cumple con su compromiso en
defensa de los derechos fundamentales de ciudadanos que vivimos a miles de kilómetros
de distancia y sin derecho al voto el próximo 8 de noviembre de 2016…
http://europa.eu/rapid/press-release_IP-16-216_en.htm (European Commission - Press release/Nota de
Prensa)
ALBERTO CUESTA
Abogado-Director en
URECA-Legal (nº32.435)
Vocal Sección TIC y Propiedad
Intelectual del Ilustre Colegio de Abogados de Barcelona
Miembro Registro AULETEC –
Abogados auditores de entornos tecnológicos (Lic.nº33)
Miembro del Observatorio
Iberoamericano de Protección de Datos
No hay comentarios:
Publicar un comentario
PROTECCIÓN DE DATOS
Le informo de que los datos facilitados por Ud.,
serán incluidos en un fichero cuyo titular
es Alberto Cuesta Ureña, y serán utilizados únicamente para la
gestión de los comentarios de esta bitácora y el seguimiento de las
estadísticas de acceso. Sus datos serán tratados de forma confidencial,
aplicándose las medidas técnicas u organizativas establecidas en la
legislación vigente para evitar su acceso, manipulación o eliminación
indebidas, sin que, salvo consentimiento expreso por su parte, vayan a
ser cedidos a otras entidades o terceras personas fuera de los casos
legalmente permitidos. No obstante, Ud. puede, en cualquier momento,
ejercer sus derechos de acceso, cancelación o rectificación en relación
con dichos datos, solicitándolo a la dirección
info@urecalegal.com.
Puede consultar la política de privacidad de datos completa en el siguiente enlace:
http://www.urecalegal.com/index.php/politica-de-privacidad