Luces y sombras de Privacy Shield: cinco claves para entender el acuerdo que reemplaza a Safe Harbor

Fumata blanca entre el Departamento de Comercio de Estados Unidos y la Comisión Europea tras la anulación del Safe Harbor,tras la anulación del Safe Harbor el acuerdo que regulaba la transferencia de datos entre ciudadanos de la Unión Europea y las compañías estadounidenses hasta hace unos meses. Bruselas y Washington han anunciado esta misma semana los detalles del nuevo pacto que afectará a miles de empresas de ambas orillas del Atlántico.

Los cambios arrancaron el pasado 6 de octubre cuando una sentencia del Tribunal de Justicia de la Europea puso punto final a Safe Harbor. El veredicto daba la razón a Max Schrems, un austriaco que, tras las revelaciones de Snowden, decidió llevar a Facebook ante los tribunales por transferir sus datos personales desde la sede europea en Irlanda a sus servidores en Estados Unidos. Finalmente, el TJUE anunció que la potencia norteamericana no ofrecía un nivel de protección adecuado para los datos personales y decidió que no era un puerto seguro, una decisión que afectaba a 4.500 compañías.

Tras la anulación del acuerdo, la Unión Europea permitió que las empresas adaptaran sus políticas hasta finales de enero para garantizar que los datos de los ciudadanos europeos se transfirieran de forma segura. Aunque a finales de noviembre solo el 3% de las empresas habían adoptado algún cambio en sus documentos legales, a medida que la fecha límite se acercaba grandes empresas como Twitter, Go Daddy o Starbucks movieron ficha, temerosas de posibles sanciones.

Hace un mes, Estados Unidos y la Unión Europea consiguieron llegar a un primer acuerdo para que las autoridades y empresas al otro lado del charco protegieran mejor la privacidad de los ciudadanos europeos como decidió el TJUE. Privacy Shield es el nuevo pacto que, pese a incluir algunas mejoras, ya está siendo criticado por algunos defensores de la privacidad. Lo resumimos en cinco claves.

Plazos para que las empresas contesten a los ciudadanos y alternativas para solucionar conflictos

El nuevo acuerdo recoge que si un ciudadano de la Unión Europea pone una queja sobre el tratamiento de su información personal a una compañía, la empresa tendrá que contestarle en menos de 45 días.

Si la respuesta no satisface al demandante, podrá recurrir gratuitamente a un sistema de resolución de litigios. También podrán dirigirse a sus autoridades nacionales de protección de datos y, en caso de que el problema no llegue a resolverse, un mecanismo de arbitraje garantizará una solución jurídica.

Las empresas también contarán con el asesoramiento de las agencias de protección de datos europeas. Eso sí, solo aquellas compañías que manejen datos “en materia de recursos humanos” estarán obligadas a cumplir con el asesoramiento de esas autoridades.

La Unión Europea ha señalado que se han habilitado nuevos mecanismos para que las empresas cumplan las obligaciones que contraen al adherirse a Privacy Shield, estableciendo nuevas sanciones o exclusión por incumplimiento. También se han adoptado nuevas condiciones específicas para los casos en los que las empresas que participan en el acuerdo realicen transferencias posteriores de datos a otros socios.

Revisión anual del acuerdo para que no quede en agua de borrajas

El propio Privacy Shield prevé la revisión anual de sus compromisos y garantías. Cada año, tanto Estados Unidos como la Unión Europea realizarán un examen. Si las autoridades estadounidenses no cumplen sus promesas, se podría suspender el acuerdo. Además, aquellas empresas que se unan a Privacy Shield y no cumplan las disposiciones podrán ser eliminadas de la lista.

Un Defensor para garantizar la transparencia del Gobierno estadounidense...

Las autoridades estadounidenses tendrán un acceso más limitado a los datos personales que provengan de Europa. Para ello, se habilitará la figura del Defensor dentro del Departamento de Estado estadounidense, independiente de las agencias nacionales de seguridad europeas. Los ciudadanos europeos podrán recurrir a él y el Defensor hará un seguimiento de las consultas de los particulares. Además, según destaca Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad, la firma del acuerdo está ligada a que Estados Unidos reforme algunos puntos de su propia legislación.

... aunque hay excepciones para que acceda a nuestros datos

Uno de los aspectos más criticados de Safe Harbor era que, aunque las empresas que voluntariamente se adhirieran a él estaban obligadas a cumplirlo, las autoridades estadounidenses podían seguir operando a sus anchas.

Si bien Privacy Shield establece limitaciones al Gobierno estadounidense, deja algunas puertas abiertas. El acuerdo incluye seis excepciones por las que la inteligencia estadounidense podría requerir esos datos, como la detección y lucha contra el terrorismo y contra las amenazas a Estados Unidos o a las fuerzas armadas afines. Otros casos excepcionales son el combate de las amenazas criminales internacionales o la ciberseguridad.

La decisión no ha gustado nada a Max Schrems, el abogado y activista que provocó el precipitado final de Safe Harbor. “Básicamente Estados Unidos confirma abiertamente que viola los derechos fundamentales de la Unión Europea en al menos seis casos. La Comisión afirma que no habrá una 'vigilancia a gran escala' nunca más, cuando sus propios documentos dicen lo contrario”.

Max Schrems tampoco piensa que este acuerdo satisfaga a la Tribunal de Justicia de la Unión Europea que le dio la razón. “Han puesto diez capas de pintalabios a un cerdo, pero dudo que la Corte y las Agencias de Protección de Datos quieran de repente a acurrucarse con él”, ha señalado en Twitter utilizando un dicho popular en Estados Unidos que equivale a nuestro “aunque la mona se vista de seda, mona se queda”. A su juicio, el acuerdo sigue permitiendo la vigilancia masiva por parte de Estados Unidos.

¿Cuándo entrará en vigor Privacy Shield?

La Unión Europea ha presentado este proyecto junto con un borrador para determinar si las disposiciones de Privacy Shield son idóneas para ser declaradas equivalentes a las de la legislación europea.

Eso sí, este acuerdo es ahora susceptible de recurso por parte de los 28 Estados miembros y sus autoridades de protección de datos antes de su adopción formal. El Grupo de Trabajo del Artículo 29, el órgano consultivo integrado por esas autoridades de los estados miembros, se reunirá en abril para emitir su opinión. En caso de que se modificara sustancialmente el acuerdo, se enviaría de nuevo al Departamento de Estado norteamericano, si bien desde la potencia no creen que vaya a haber muchos cambios.

De esta forma, habrá que esperar a ver si se incluyen modificaciones o el acuerdo se queda tal y como la Comisión Europea acaba de anunciar. Teniendo en cuenta que desde Bruselas pretenden que esté listo de forma definitiva a finales de juniofinales de junio, puede que la intención de las autoridades sea no demorar demasiado el proceso. Mientras tanto, según la propia Comisión Europea, Estados Unidos comenzará a preparar el nuevo marco, los mecanismos de control y el mecanismo mediador.

El limbo legal en que quedaron las compañías europeas que intercambian datos con Estados Unidos parece estar cada vez más próximo a su fin, aunque por el momento las empresas deban adoptar algunas de las fórmulas legales vigentes.

Cuando Privacy Shield se apruebe de forma definitiva, tendrán que demostrar anualmente que han cumplido su palabra. Eso sí, puede que algunos se decanten por el camino de en medio, como ya ha hecho Microsoft. Sin cambiar sus textos legales, los de Redmond ofrecerán sus servicios en la nube desde sus centros de datos en Alemania, garantizando así que la información de sus usuarios cuenta con todas las garantías de protección comunitarias. ¿Adoptarán otras empresas la misma medida?

---------------------------------------

Las imágenes son propiedad de Flickr (1), Wikimedia Commons (2, 4 y 5) y Pixabay (3)