Datos personales en EEUU tras el escudo de privacidad: Privacy Shield.

«Privacy Shield» es el nuevo acuerdo alcanzado entre Europa y Estados Unidos para la protección de datos de personas europeas en la prestación de servicios que suponen transferencia internacional.

Privacy Shield Privacy Protección de datosAyer se publicó la decisión de ejecución (UE) 2016/1250, de 12 de julio el año 2016, sobre la adecuación de la protección proporcionada por el acuerdo Privacy Shield o escudo privacidad entre Europa y Estados Unidos.

Este nuevo acuerdo viene a sustituir al de Safe Harbour que fue anulado por el Tribunal de Justicia de Unión Europea en octubre de 2015 por no garantizar el suficiente nivel de protección establecido.

Desde la anulación del Safe Harbour se han suscitado muchas dudas y temores en cuanto a la responsabilidad por el uso de aplicaciones y herramientas que almacenan y tratan datos de usuarios europeos en Estados Unidos (Mailchimp, Dropbox, Drive, Facebook, etc) y las consecuencias sancionadoras por el incumplimiento de la normativa europea de protección de datos personales.

¿Qué contempla este nuevo acuerdo?

Este nuevo acuerdo se fundamenta en establecer un sistema de auto-certificación mediante el cual las empresas de EEUU se comprometen a cumplir un conjunto de principios de privacidad, así como en su revisión conjunta entre la Comisión Europea y el Departamento de Comercio de EEUU, en colaboración con las entidades de control y protección de datos de los estados miembros de la Unión Europea.

Privacy Shield recoge las obligaciones que deben cumplir las empresas norteamericanas para conseguir la certificación del Departamento de Comercio de EEUU, así como las garantías ofrecidas por las autoridades de EEUU para evitar el tratamiento masivo e indiscriminado de datos de personas físicas europeas.

Esto quiere decir que las empresas europeas que transfieran datos de usuarios europeos a empresas en Estados Unidos no tendrán que solicitar autorización previa a la Agencia de Protección de Datos sino verificar que la empresa a la que transfieren datos se haya en adherida al acuerdo y comunicar la transferencia.

Dado que las empresas norteamericanas que realicen esta importación de datos personales de usuarios europeos tendrán que renovar anualmente su certificación de adhesión al acuerdo, verificando que sus políticas cumplen los principios establecidos en el acuerdo, será conveniente revisar la Lista Shield con regularidad para verificar que se continúa dentro de los parámetros de cumplimiento.

Y en la práctica, ¿Qué supone este acuerdo?.

Tras la anulación del Safe Harbour muchas empresas europeas vieron tambalearse sus acuerdos con entidades americanas prestadoras de servicios de comunicaciones electrónicas, email marketing, cloud computing, e incluso el almacenamiento gestionado por empresas cuyos servidores se hallaban fuera del territorio de los países miembros de la Unión Europea y, más concretamente en Estados Unidos, al declararse que no  se ofrecían las garantías de cumplimiento legal en materia de protección de datos de carácter personal.

Con el nuevo acuerdo, se establece un escudo de protección a la privacidad para los usuarios europeos, basado en que las transferencias internacionales de datos podrán realizarse siempre que la empresa norteamericana se encuentre adherida al acuerdo Privacy Shield.

Tal adhesión al acuerdo se debe realizar mediante la solicitud de certificación de las empresas norteamericanas al Departamento de Comercio de EEUU a partir de ayer, 1 de agosto de 2016.

Esto quiere decir que la empresa norteamericana con la que tengamos contratado algún servicio que conlleve la transferencia de datos de usuarios a EEUU deberá constar incluida en un listado que publicará el Departamento de Comercio de EEUU como certificada y adherida al acuerdo escudo de privacidad.

En ese caso la empresa europea no tendrá que solicitar otra autorización a la entidad de control (en nuestro caso Agencia Española de Protección de Datos) para realizar la transferencia de datos en uso del servicio contratado, pero sí deberán actualizarse o modificarse la comunicación de los ficheros al Registro de la Agencia de  Protección de Datos notificando la transferencia internacional.

¿Qué se exige a las empresas norteamericanas para garantizar el cumplimiento del acuerdo?.

Las empresas de Estados Unidos deberán poder probar que cumplen los principios establecidos en el acuerdo Privacy Shield, entre los cuales destacamos:

1. Principio de notificación y opción: Proporcionar información a los usuarios en sus políticas de privacidad sobre el tratamiento de los datos personales (tipo de datos recopilados, finalidad del tratamiento, el derecho de acceso y de oposición, las condiciones para las transferencias posteriores, el régimen de responsabilidad, etc).

Deberán además facilitar en sus políticas el enlace a la web del Departamento de Comercio en la que se tenga publicada la Lista Shield, así como la web de un proveedor adecuado para la solución de alternativa de controversias que puedan suscitarse en relación al tratamiento de datos transferidos.

Deberá además darse la opción a los interesados de elegir si su información personal se transfiere a una tercera parte o si su información se utiliza para un fin distinto al que se recabaron los datos inicialmente.

2. Limitar el almacenamiento y tratamiento de datos a lo estrictamente relevante y compatible con la finalidad para la que fueron recabados conforme al consentimiento prestado por el titular de los datos.

3. Garantizar la obtención del consentimiento expreso y explícito en sentido afirmativo a la finalidad concreta por parte del titular de los datos y, más concretamente en caso de tratamiento de datos sensibles (opt in), así como el principio de oposición (opt out) a los usuarios en el caso de que la finalidad con la que se recabaran los datos haya sido modificada .

4. Conservar los datos sólo durante el tiempo que sirve a la finalidad para la que fueron inicialmente recogidos o autorizados. El tratamiento de datos personales extra-limitado a dicho plazo sólo se permite en la medida que el tratamiento sirva para fines de archivo en interés público, periodismo, literatura y arte, ciencia e investigación histórica y análisis estadístico.

5. Tomar las medidas de seguridad técnicas y organizativas «razonables y adecuadas» a la recogida de datos, su almacenamiento y tratamiento, teniendo en cuenta los riesgos involucrados en el tratamiento y la naturaleza de los datos.

Entre estas medidas no debe olvidarse la necesaria firma de contrato con el encargado de tratamiento de datos en el caso de cesión de los mismos con dicha finalidad, obteniendo así el mismo nivel de compromiso a la protección y medidas de seguridad que garanticen el cumplimiento del acuerdo.

6. Garantizar el derecho de acceso al titular de los datos, así como a la corrección, modificación y eliminación de información personal inexacta o tratada en incumplimiento de los principios establecidos en el acuerdo.

7. Proporcionar mecanismos robustos para asegurar el cumplimiento de los principios y establecer las vías necesarias de recurso y reparaciones efectivas para los interesados de la Unión Europea cuyos datos personales sen tratados de forma contraria al acuerdo.

¿Qué sucede si la empresa con la que contrato no consta adherida al acuerdo escudo de privacidad?.

En caso de que la empresa norteamericana con la que tenemos contratados los servicios no conste adherida al acuerdo, será necesario obtener de la misma un contrato que establezca las garantías de cumplimiento de la normativa europea de protección de datos para poder justificar la transferencia internacional de datos de usuarios a EEUU. Caso contrario se deberá asumir el riesgo de sanciones y responsabilidades frente a los usuarios.

La Comisión Europea ha publicado una guía para los ciudadanos (305 kB)Guía Privacy Shield Comisión que explica cómo se garantizan los derechos de protección de datos de los individuos bajo el escudo de privacidad y qué recursos están disponibles si consideran que sus datos han sido mal utilizados o no han sido respetados sus derechos de protección de datos.

Más información sobre los términos del acuerdo.

By | 2016-10-22T12:04:49+00:00 agosto 2nd, 2016|Blog, Privacidad, Protección de Datos|2 Comments

About the Author:

Servicios de asesoramiento legal tecnológico - El soporte legal que aporta valor a su empresa - Cumplimiento legal y seguridad de la información es confianza, tranquilidad y reputación para su empresa - Corporate Compliance - Seguridad - Protección de Datos - SGSI - LOPD - GDPR - DPO Service - Ciberdelitos - Legal Web Compliance

2 Comments

  1. José Ramón noviembre 30, 2016 at 6:00 pm - Reply

    Hola Susana,
    Muy interesante el artículo. Me gustaría preguntarte si tienes conocimiento de si Mailchimp está adherida al acuerdo del escudo de privacidad.

    Gracias y Saludos.
    José Ramón

Leave A Comment