Sociedad de la información | Noticias | 03 FEB 2016

Del 'Safe Harbor Agreement' al 'Privacy Shield': nuevo acuerdo entre la UE y los EE.UU.

ciberespionaje seguridad
Miguel Recio

En menos de 24 horas el estado de “incertidumbre” sobre el futuro de los flujos transfronterizos de datos entre la Unión Europea (UE) y los Estados Unidos (EE.UU.) pasó de “estamos muy cerca, pero un esfuerzo adicional es necesario” a “hemos finalizado las negociaciones con los Estados Unidos sobre un marco renovado y seguro”. Y esto es de celebrar porque, aunque queda muchísimo por delante, un escenario sin acuerdo habría sido una pésima señal para todas las partes implicadas. No obstante, ser optimista no impide poder ser críticos, lo cual seguramente sea muy necesario una vez que el ahora conocido como Privacy Shield sea aplicable, empezando por el uso del término “shield” que puede ser traducido como escudo o armadura. Habrá que ver quién, cómo y cuándo lo utiliza en toda su extensión.

 

Que la UE y los EE.UU. hayan alcanzado un nuevo acuerdo significa también que vamos en buena dirección hacia futuros acuerdos más amplios sobre la protección de datos personales, la privacidad y la vida privada, proporcionando así seguridad jurídica a quienes tratan los datos personales como una protección efectiva a quienes se refieren los mismos.

Facilitar el flujo transatlántico de los datos personales es clave para la economía digital y el bienestar tanto personal como social, y además debería ser una oportunidad para que tanto Suiza, que también tiene un Acuerdo de Puerto Seguro con EE.UU., como otros países y regiones alrededor del mundo puedan beneficiarse de este tipo de marcos de referencia, sumando así partes a un todo común.

Sería prematuro pronunciarse categóricamente sobre el Privacy Shield, máxime cuando quedan todavía semanas y falta poder ver los documentos que servirán de base para éste, como por ejemplo opiniones, entre ellas del Grupo de trabajo del artículo 29 en la Unión Europea. Ahora bien, ello no impide apuntar algunas consideraciones previas sobre lo que ha transcendido hasta el momento. En concreto, queda claro ya que el nuevo acuerdo, según la nota de prensa de la Comisión Europea, se basa en tres elementos torales, que son:

 

  • Fuertes obligaciones para las empresas que tratan datos personales de europeos y una aplicación robusta: lo esencial es la responsabilidad (“accountability”) en protección de datos, más allá del mero cumplimiento, siendo necesario además entender en la práctica las diferencias entre la FTC y las autoridades europeas de protección de datos (APDS). Además, resulta llamativo que las compañías que traten datos personales de empleados desde Europa tengan que cumplir con las decisiones de las APDs europeas. Más que nunca es necesario que dichas APDs actúen en bloque, sin divergencias, porque de ello depende también una protección efectiva.

  • Salvaguardias claras y obligaciones de transparencia sobre el acceso por autoridades gubernamentales estadounidenses: en buena medida, aquí está la esencia de la garantía del derecho fundamental a la protección de datos personales ya que los principios de necesidad y proporcionalidad son claves tanto para garantizar dicho derecho como, por extensión, el derecho a la vida privada, dada la interrelación entre ambos. Si las autoridades gubernamentales y de protección de datos de ambos lados del Atlántico manejan adecuadamente esta cuestión, habrá muchas posibilidades de que el derecho fundamental a la protección de datos personales avance y que quienes tratan datos personales no tengan que lidiar con complejos dilemas. Además de que se evitaría, pensando en el futuro, el riesgo de que el instrumento jurídico que sirve de base para las transferencias internacionales en el ámbito comercial sea invalidado por “excesos” de autoridades públicas.

  • Protección efectiva de los derechos de los ciudadanos europeos y varias posibilidades de remedio (“redress”): habrá que ver si el hecho de que las APD europeas puedan referir quejas al Departamento de Comercio de los EE.UU. o a la Comisión Federal de Comercio (Federal Trade Commission, FTC) supone que la atención dada por éstas sea diferente a la que se obtiene cuando la persona se dirige por sí misma a la FTC. En cuanto a la figura del “Ombudsman” en el caso de quejas sobre el posible acceso de autoridades nacionales de inteligencia, la figura del Chief Privacy Officer no es nueva en Estados Unidos y fue también clave en las Decisiones sobre el acceso a datos de pasajeros (Passenger Name Record, PNR).

 

Por último, el nuevo acuerdo es también una nueva oportunidad para un engranaje adecuado y preciso entre las autoridades responsables del mismo, evitando cargar ciertas responsabilidades sobre quienes tratan datos personales, más allá de la responsabilidad que ya tienen y que les es exigible. Costó mucho generar confianza entre las empresas para adherirse al ya (casi) olvidado Acuerdo de Puerto Seguro, de manera que el pasado debe darnos las claves para haber aprendido de los errores y conseguir el éxito en el presente y futuro.

 

El autor de este artículo es Miguel Recio, abogado experto en privacidad de datos y nuevas tecnologías.


 

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información