Con cierto retraso con respecto a la fecha fijada en un principio para la elaboración de un nuevo acuerdo (el plazo concedido expiró el pasado 29 de enero), el día 12 de julio, la Comisión Europea publicó finalmente una nota de prensa confirmando la aprobación definitiva del nuevo marco Privacy Shield entre Estados Unidos y la Unión Europea.
Recordemos que, desde que el pasado octubre de 2015 el Tribunal de Justicia de la Unión Europea invalidó el acuerdo de Safe Harbor, se han sucedido las negociaciones entre ambas partes para dar solución cuanto antes a esta situación de incertidumbre para todas las empresas afectadas.
El nuevo marco legal tiene una doble finalidad: por un lado, proteger los derechos fundamentales de cualquier ciudadano europeo cuyos datos sean transferidos a Estados Unidos, y por otro, favorecer la transparencia y estabilidad para que las empresas puedan continuar con su actividad ordinaria en lo que a transferencias internacionales se refiere.
Para ello, el Privacy Shield trae consigo una serie de obligaciones y principios para las empresas que quieran adherirse:
- Se prevé que el Departamento de Comercio de EEUU lleve a cabo revisiones y actualizaciones regulares de las compañías adheridas, con el fin de garantizar el correcto cumplimiento de las obligaciones asumidas.
- Se garantiza la no injerencia indiscriminada de las autoridades de seguridad americanas, puesto que el acceso a los datos se encuentra sujeto a limitaciones claras, salvaguardas y otros mecanismos de supervisión. Únicamente se prevén accesos a los datos bajo determinadas condiciones y necesidades específicas, previamente previstas.
- Se garantiza la protección efectiva de los derechos de los afectados, facilitando sistemas y mecanismos accesibles de resolución de conflictos, sistemas alternativos de arbitraje y poniendo a disposición de los ciudadanos la figura del Defensor del Pueblo.
- Se incluye un mecanismo de revisión anual, con el fin de supervisar y controlar el correcto funcionamiento del nuevo marco, y el grado de cumplimiento de los compromisos asumidos en cuanto al acceso a datos por razón de la seguridad nacional.
Mientras que el nuevo marco ha sido recibido con los brazos abiertos por muchas de las grandes compañías estadounidenses como Dropbox, Google o Apple, dispuestas a adecuarse al Privacy Shield cuanto antes, no todos muestran su total conformidad.
Existen algunos sectores aún recelosos con el nuevo marco, y algunas autoridades de protección de datos muestran sus inquietudes acerca de la estabilidad y durabilidad del acuerdo. Para los escépticos, el contenido del texto no varía excesivamente respecto del anterior Puerto Seguro, y aunque se han producido algunos avances en la previsión de garantías, existen aún demasiados agujeros y vacíos legales sin resolver, y los principios marcados no parecen ser suficientes para solucionar los verdaderos problemas que provocaron la invalidez de su marco predecesor.
En cualquier caso, tras la aprobación del marco Privacy Shield y su publicación tanto en el boletín oficial de la Unión Europea como en el Registro Federal de Estados Unidos, será necesario que las empresas estadounidenses que voluntariamente lo deseen analicen el nuevo marco, se comprometan a su cumplimiento, y se adhieran a él a partir del 1 de agosto. Sólo entonces podrán comenzar a efectuarse transferencias internacionales amparadas en el Privacy Shield al igual que se hacía entonces con el Puerto Seguro.
En las próximas semanas, y a medida que vayan aclarándose determinadas cuestiones, iremos informando de cómo adecuarse a este nuevo marco.
Loreto Jiménez Muñoz
Departamento Legal
Áudea Seguridad de la Información