El papel del Safe Harbor en las transferencias de datos

Safe Harbor es el nombre de un acuerdo entre el Departamento de Comercio de Estados Unidos y la Unión Europea que reglamentó la forma en que las empresas estadounidenses podrían realizar la trasferencia de datos personales de los ciudadanos europeos. No obstante, ya no se encuentra vigente por consideraciones relativas a las leyes de protección de datos europeas.

Hasta ahora, la LOPD

Por si no lo sabías, la ley española que regula el tratamiento de datosCualquier operación o procedimiento técnico, sea o no auto... More de carácter personal es la LOPD (Ley Orgánica de Protección de Datos) y la normativa que regula este asunto en la Unión Europea es el Reglamento General de Protección de Datos, en vigor desde mayo de 2016 y en plena aplicación desde el próximo 25 de mayo de 2018.

Vigencia

El objetivo de Safe Harbor era proporcionar un conjunto de requisitos de protección de datos para transferir información a través de las fronteras de los países que se unieron a este acuerdo.

Se requería que las empresas que recopilaban datos personales informaran a sus titulares, les dijeran qué iban a hacer con ellos, obtuvieran permiso para transmitir la información a un tercero, permitieran a las personas acceder a los datos recopilados y garantizaran la integridad y seguridad.

Este acuerdo, que se estableció en 2000, fue originalmente un compromiso establecido en respuesta a la Directiva de la Comisión Europea sobre protección de datos.

En 2015, el Tribunal de Justicia de la UE (TJUE) anuló el acuerdo como consecuencia de una denuncia contra la red social Facebook, por fallos de privacidad, efectuada por un abogado de Austria.

El tribunal dictaminó que cada uno de los veintiocho países de la Unión Europea debería determinar cómo se puede recopilar y utilizar la información en línea de sus ciudadanos. Si bien la decisión no puso fin automáticamente a las transferencias de datos de Europa a Estados Unidos, sí permitió a los reguladores nacionales de cada país suspender las transferencias si las empresas estadounidenses no protegían adecuadamente los datos de los usuarios.

Nuevo marco para la trasferencia de datos

Hasta el 6 de octubre de 2015, si el destinatario de los datos personales tenía su sede en Estados Unidos y había certificado el destino como “puerto seguro”, entonces la empresa en la UE podría transferirle datos personales.

Sin embargo, ese día el TJUE dictaminó que el marco de Safe Harbor no aseguraba adecuadamente que los datos personales de la UE estuvieran protegidos por las empresas estadounidenses suscritas.

Además, tampoco se proporcionaba a los individuos de la UE garantías efectivas de reparación si se violaban sus derechos. Esto llevó a negociaciones entre Estados Unidos y los órganos de la UE para llegar a una estructura de reemplazo que podría permitir la transferencia gratuita de datos de la UE a las empresas estadounidenses, pero que abordaría las preocupaciones del TJUE.

Entonces, la Comisión Europea y el Departamento de Comercio de Estados Unidos establecieron el denominado privacy shield o escudo de privacidad, un nuevo marco legal para los flujos de datos transatlánticos, implementado para reemplazar al anterior.

La puesta en marcha del privacy shield

El 12 de julio de 2016 nació el privacy shield o escudo de privacidad, un régimen similar al de Safe Harbor, que requiere que una empresa estadounidense certifique que acepta cumplir con un conjunto de principios de privacidad.

Si eres responsable de una empresa que trata con datos puedes estar más tranquilo, porque este es un marco mucho más sólido, con derechos específicos de reparación otorgados a los ciudadanos de la UE.

Sin embargo, poco más de dos meses después de la puesta en marcha de este nuevo marco normativo, el 16 de septiembre de 2016, un grupo de defensa de la privacidad ubicado en Irlanda presentó una demanda legal en el TJUE alegando que este acuerdo seguía siendo insuficiente, una denuncia sobre la que todavía no hay resolución.

¿Cómo afecta esto a tu negocio?

Las empresas en la UE deben ser conscientes de que cualquier transacción que requiera el envío de datos personales (o el acceso a ellos) de una empresa estadounidense debe tener en cuenta el cumplimiento necesario de las leyes locales de privacidad del país en el que se encuentran.

Ten cuidado con las transferencias de datos con tu proveedor de servicios de la UE que aloja datos en los Estados Unidos o que permite el acceso a aquel por parte de un subcontratista estadounidense.

Si el destinatario de tus datos personales sigue confiando en su certificación de puerto seguro, esto ya no es suficiente para cumplir con la normativa.

Si la empresa de Estados Unidos se ha unido al acuerdo de privacy shield (siempre que la certificación cubra el tipo de datos y la transferencia), no es necesario tomar medidas adicionales.

Pese a todo, esto puede cambiar, por ejemplo, si el desafío legal de la entidad irlandesa, llamada Digital Rights Ireland, tiene éxito. Ten en cuenta que las normas sobre transferencias internacionales de datos son solo un aspecto de la legislación de protección de datos de la UE que debe cumplirse.

Si la empresa receptora de Estados Unidos no tiene una certificación de privacy shield (o si el receptor tiene su base en otro país no perteneciente al Espacio Económico Europeo), la empresa de la UE deberá plantearse qué otras medidas puede implementar para cumplir con la normativa, tales como:

– Cláusulas contractuales estándar.

– Reglas corporativas vinculantes: la transferencia de datos entre empresas puede beneficiarse de tener este conjunto específico de reglas para proporcionar las protecciones de datos necesarias, una vez que hayan sido aprobadas por la autoridad de privacidad de datos pertinente.

– Consentimiento: para pequeñas transferencias de datos incidentales, es posible confiar en el consentimiento informado de la persona con la que se relacionan los datos.

Cambios rápidos en protección de datos

En esta área de rápidos cambios, vale la pena mantenerse al día sobre desarrollos, como los resultados de las causas legales pendientes y el efecto del nuevo Reglamento General de Protección de Datos que se aplicará plenamente a partir del 25 de mayo.

Acuerdos como el Safe Harbor demostraron ser insuficientes en Europa hace años. Por eso, cada día más, la trasferencia de datos y la protección de datos en la Unión Europea, son una fuente de reclamaciones legales y de sanciones a empresas que incumplen con la legislación vigente.

 

Artículos relacionados

Ley de Cookies Uso de cookies en una página webSegún la Ley de Cookies... Los administradores de una página web están obligados a informar de forma clara y concisa del uso de este tipo de dispositivos ANTES de instalarlos en un navegador y obtener un conse...
Responsable de seguridad: funciones y necesidades de la empresa Una de las figuras de mayor importancia en la Ley de Protección de Datos (LOPD) es la del responsable de seguridadPersona o personas a las que el responsable del fichero ha a... More. Esta persona es una pieza clave en la preservación de los datos y en la correcta ejecución de la comunicación a los propietarios de lo...
Los derechos de los usuarios según la LOPD Cuando pensamos en la LOPD, tendemos a imaginar conceptos legales poco tangibles relacionados con la protección de datos. La realidad dista mucho de esta teoría ya que, si bien el asesoramiento de una consultoría de protección de datos es indispensab...
El nuevo RGPD y las empresas energéticas La entrada en vigor del nuevo RGPD es ya inminente, dado que está prevista para el próximo 25 de mayo de 2018. Para esa fecha, todas las empresas, incluidas las del sector de la energía, deberán estar debidamente preparadas para cumplir sus prescripc...
0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *