Israel Mués y Toni Sánchez.

Cómo afecta la anulación del SAFE HARBOR en mi negocio y la posible aplicación del PRIVACY SHIELD

10 febrero 2016

El Tribunal de Justicia de la Unión Europea dictó sentencia el pasado 6 de octubre de 2015 declarando inválida del Decisión de la Comisión 2000/520/CE que habilitaba las transferencias de datos de carácter personal de Compañías Europeas a domiciliadas en la Unión Europea a los Estados Unidos de América (EE.UU), amparadas en el acuerdo de Puerto Seguro (Safe Harbor).

Esta decisión es de capital transcendencia para todas aquellas entidades que tengan acuerdos o tenga una directa relación con entidades sitas en los EEUU a la que se transmitan datos de carácter personal (p.ej datos de clientes o personal de la compañía).

Queremos transmitiros unos primeros comentarios sobre la misma que, seguro, merecerán de próximas reflexiones y consideraciones.

LA TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES

La Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de Octubre  de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los datos, dispone que en principio solo se pueden transferir  datos personales a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. En relación con este nivel adecuado de protección de datos en diferentes países no miembros Espacio Económico Europeo determinados países como Suiza, Canadá, Suiza, Argentina, Andorra, Israel, Uruguay o Nueva Zelanda, entre otros, garantizan el cumplimiento de los principios consagrados en la Directiva, no así los Estados Unidos que carece de una norma específica en la protección de los datos personales.

No obstante, conforme a la Directiva, la Comisión puede declarar que un país tercero, como el caso de los Estados Unidos, garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales.

safe_harbor

EL SAFE HARBOR ENTRA EN LIZA

La Comisión a través de la Decisión 2000/520/CE de 26 de julio de 2000, consideró que, en el marco del régimen denominado de “puerto seguro”, las entidades privadas situadas en los Estados Unidos garantizaban un nivel adecuado de protección de los datos transferidos, siempre y cuando, aquéllas hubieran manifestado ante la Oficina Federal de Comercio (u otra entidad por ella designada) su adhesión a los principios de Puerto Seguro y su compromiso de llevarlos a la práctica, adoptando para ello las medidas adecuadas.

CONSECUENCIAS POR LA INVALIDEZ DEL SAFE HARBOR

Pues bien, el Tribunal de Justicia de la Unión Europea ha declarado inválida la Decisión 2000/520/CE, reconociendo igualmente la habilitación a las autoridades de control de los países miembros (en España, la Agencia Española de Protección de Datos) para bloquear las transferencias internacionales de datos personales de los Estados miembros a Estados Unidos en el marco del denominado “Safe Harbor”.

La consecuencia inmediata de esta Sentencia es que las transferencias internacionales de datos de carácter personal de los Estados miembros a los EEUU ya no pueden realizarse al amparo de dicha Decisión.

Dado que la Ley Orgánica 15/1999 de protección de datos de carácter personal (LOPD), como la Directiva 95/46 inciden en la prohibición de transferencias de datos que tengan como destino un país que no proporcione un nivel de protección adecuado a dichas leyes, el fallo del Tribunal exige a las empresas que utilizaban el “puerto seguro” a revisar cómo aseguran que los datos transferidos a los EE.UU. se transfieren de acuerdo con la ley.

Dicho de otro modo, las empresas americanas adheridas al Safe Harbor, así como las sociedades europeas (y por tanto las españolas) que tengan relaciones con ellas se ven obligadas a regularizar sus procesos de transferencia internacional de datos, de cara a poder seguir tratando los datos personales, garantizando un nivel adecuado de protección.

ALTERNATIVAS AL SAFE HARBOR

Es importante tener en cuenta que el Puerto Seguro no es la única base sobre la cual se pueden hacer transferencias de datos personales a los EE.UU.

También, indicar que muchas otras transferencias ya se llevan a cabo sobre la base de diferentes disposiciones. En este sentido, la LOPD establece que para poder llevar a cabo transferencias internacionales de datos personales a estados sin nivel adecuado de protección, es necesario, contar bien con:

  1. La autorización del Director de la Agencia Española de Protección de Datos, siguiendo para ello el proceso de solicitud habilitado al efecto o;
  1. Poder acogerse a las excepciones expresamente previstas en el artículo 34 LOPD, entre las que destacamos las siguientes:
  • Que el afectado haya dado su consentimiento inequívoco a la transferencia prevista.
  • Que la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.
  • Que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

La reciente Sentencia también exigirá que las diferentes autoridades de control europeas, entre ellas la Agencia Española de Protección de Datos, trabajen en la manifestación de nuevas orientaciones sobre la reciente situación.

El fallo del Tribunal es claramente significativo y es importante que las autoridades de control europeas proporcionen una respuesta ágil, pero meditada y clara.

¿QUÉ ES EL PRIVACY SHIELD Y SU POSIBLE APLICACIÓN?

El 2 de febrero de 2016, después de tres meses de negociaciones entre la Comisión y los EE.UU., aparece la propuesta de un nuevo Safe Harbor 2.0 bajo el nombre de «UE-EEUU Privacy Shield».

El nuevo acuerdo todavía en revisión pretende lograr mayores y más estrictas obligaciones sobre las compañías estadounidenses que realicen tratamiento de datos personales de los europeos.

El acuerdo requerirá la aplicación en los EE.UU. Esto puede ser más difícil en un año electoral. Dada la diferencia en las actitudes hacia la privacidad en los EE.UU. en comparación con los de la UE. Por otro lado el PRIVACY SHIELD debe ser también aprobado por los órganos internos de la UE veladores de la privacidad denominado (Grupo del 29) y ya algunos defensores de la privacidad en Europa han dicho que este acuerdo no es probable que resista el análisis por el TJUE. Estaremos atentos a los nuevos acontecimientos y se los iremos contando.

¿Sabías que...?

Israel Mués y Toni Sánchez son docentes del Postgrado en Marketing Intelligence & Big Data de la Universidad de Barcelona que prepara para ocupar puestos de relevancia en departamentos como Marketing y Ventas, Customer Intelligence, Business Intelligence, etc. Está diseñado e impartido por profesionales en activo expertos en sectores referentes en Business Intelligence y Big Data, el bancario, el gran consumo y el asegurador, así como Agencias de Marketing y Comunicación.

Artículos relacionados

Envía un comentario

*