Safe Harbor es el nombre de un acuerdo entre el Departamento de Comercio de Estados Unidos y la Unión Europea que reglamentó la forma en que las empresas estadounidenses podrían realizar la trasferencia de datos personales de los ciudadanos europeos. No obstante, ya no se encuentra vigente por consideraciones relativas a las leyes de protección de datos europeas.
Hasta ahora, la LOPD
Por si no lo sabías, la ley española que regula el tratamiento de datos de carácter personal es la LOPD (Ley Orgánica de Protección de Datos) y la normativa que regula este asunto en la Unión Europea es el Reglamento General de Protección de Datos, en vigor desde mayo de 2016 y en plena aplicación desde el próximo 25 de mayo de 2018.
Vigencia
El objetivo de Safe Harbor era proporcionar un conjunto de requisitos de protección de datos para transferir información a través de las fronteras de los países que se unieron a este acuerdo.
Se requería que las empresas que recopilaban datos personales informaran a sus titulares, les dijeran qué iban a hacer con ellos, obtuvieran permiso para transmitir la información a un tercero, permitieran a las personas acceder a los datos recopilados y garantizaran la integridad y seguridad.
Este acuerdo, que se estableció en 2000, fue originalmente un compromiso establecido en respuesta a la Directiva de la Comisión Europea sobre protección de datos.
En 2015, el Tribunal de Justicia de la UE (TJUE) anuló el acuerdo como consecuencia de una denuncia contra la red social Facebook, por fallos de privacidad, efectuada por un abogado de Austria.
El tribunal dictaminó que cada uno de los veintiocho países de la Unión Europea debería determinar cómo se puede recopilar y utilizar la información en línea de sus ciudadanos. Si bien la decisión no puso fin automáticamente a las transferencias de datos de Europa a Estados Unidos, sí permitió a los reguladores nacionales de cada país suspender las transferencias si las empresas estadounidenses no protegían adecuadamente los datos de los usuarios.
Nuevo marco para la trasferencia de datos
Hasta el 6 de octubre de 2015, si el destinatario de los datos personales tenía su sede en Estados Unidos y había certificado el destino como «puerto seguro», entonces la empresa en la UE podría transferirle datos personales.
Sin embargo, ese día el TJUE dictaminó que el marco de Safe Harbor no aseguraba adecuadamente que los datos personales de la UE estuvieran protegidos por las empresas estadounidenses suscritas.
Además, tampoco se proporcionaba a los individuos de la UE garantías efectivas de reparación si se violaban sus derechos. Esto llevó a negociaciones entre Estados Unidos y los órganos de la UE para llegar a una estructura de reemplazo que podría permitir la transferencia gratuita de datos de la UE a las empresas estadounidenses, pero que abordaría las preocupaciones del TJUE.
Entonces, la Comisión Europea y el Departamento de Comercio de Estados Unidos establecieron el denominado privacy shield o escudo de privacidad, un nuevo marco legal para los flujos de datos transatlánticos, implementado para reemplazar al anterior.
La puesta en marcha del privacy shield
El 12 de julio de 2016 nació el privacy shield o escudo de privacidad, un régimen similar al de Safe Harbor, que requiere que una empresa estadounidense certifique que acepta cumplir con un conjunto de principios de privacidad.
Si eres responsable de una empresa que trata con datos puedes estar más tranquilo, porque este es un marco mucho más sólido, con derechos específicos de reparación otorgados a los ciudadanos de la UE.
Sin embargo, poco más de dos meses después de la puesta en marcha de este nuevo marco normativo, el 16 de septiembre de 2016, un grupo de defensa de la privacidad ubicado en Irlanda presentó una demanda legal en el TJUE alegando que este acuerdo seguía siendo insuficiente, una denuncia sobre la que todavía no hay resolución.
¿Cómo afecta esto a tu negocio?
Las empresas en la UE deben ser conscientes de que cualquier transacción que requiera el envío de datos personales (o el acceso a ellos) de una empresa estadounidense debe tener en cuenta el cumplimiento necesario de las leyes locales de privacidad del país en el que se encuentran.
Ten cuidado con las transferencias de datos con tu proveedor de servicios de la UE que aloja datos en los Estados Unidos o que permite el acceso a aquel por parte de un subcontratista estadounidense.
Si el destinatario de tus datos personales sigue confiando en su certificación de puerto seguro, esto ya no es suficiente para cumplir con la normativa.
Si la empresa de Estados Unidos se ha unido al acuerdo de privacy shield (siempre que la certificación cubra el tipo de datos y la transferencia), no es necesario tomar medidas adicionales.
Pese a todo, esto puede cambiar, por ejemplo, si el desafío legal de la entidad irlandesa, llamada Digital Rights Ireland, tiene éxito. Ten en cuenta que las normas sobre transferencias internacionales de datos son solo un aspecto de la legislación de protección de datos de la UE que debe cumplirse.
Si la empresa receptora de Estados Unidos no tiene una certificación de privacy shield (o si el receptor tiene su base en otro país no perteneciente al Espacio Económico Europeo), la empresa de la UE deberá plantearse qué otras medidas puede implementar para cumplir con la normativa, tales como:
– Cláusulas contractuales estándar.
– Reglas corporativas vinculantes: la transferencia de datos entre empresas puede beneficiarse de tener este conjunto específico de reglas para proporcionar las protecciones de datos necesarias, una vez que hayan sido aprobadas por la autoridad de privacidad de datos pertinente.
– Consentimiento: para pequeñas transferencias de datos incidentales, es posible confiar en el consentimiento informado de la persona con la que se relacionan los datos.
Cambios rápidos en protección de datos
En esta área de rápidos cambios, vale la pena mantenerse al día sobre desarrollos, como los resultados de las causas legales pendientes y el efecto del nuevo Reglamento General de Protección de Datos que se aplicará plenamente a partir del 25 de mayo.
Acuerdos como el Safe Harbor demostraron ser insuficientes en Europa hace años. Por eso, cada día más, la trasferencia de datos y la protección de datos en la Unión Europea, son una fuente de reclamaciones legales y de sanciones a empresas que incumplen con la legislación vigente.