Confilegal
Confilegal
Menú
Portada / Firmas
Firmas

En qué consiste el nuevo escudo de la privacidad UE-EEUU

En qué consiste el nuevo escudo de la privacidad UE-EEUU
Javier Puyol es abogado y socio de ECIXGroup.
06/3/2016 11:20
|
Actualizado: 06/3/2016 11:20
|

En esta noticia se habla de:

Tal como se acaba de hacer público, la Comisión Europea ha emitido los textos jurídicos que establecerán el Escudo de la privacidad UE-EE UU y una Comunicación en la que se resumen las medidas tomadas a lo largo de los últimos años para recuperar la confianza en los flujos de datos transatlánticos desde las revelaciones hechas en 2013 sobre la vigilancia de las comunicaciones. En este sentido, la Comisión ha desarrollado las siguientes actividades:

a). Ha ultimado la reforma de las normas de la UE en materia de protección de datos, que se aplican a todas las empresas que prestan servicios en el mercado de la UE;

b). Ha negociado el acuerdo marco entre la UE y los Estados Unidos, que garantiza unos altos estándares de protección de datos para las transferencias transatlánticas de información con fines policiales; y

c), Ha logrado un sólido marco renovado para el intercambio de datos comerciales: el Escudo de la privacidad UE-EE UU.

La Comisión también ha hecho público el proyecto de «Decisión sobre el carácter adecuado de la protección» de la Comisión, además de los textos que constituirán el Escudo de la privacidad UE-EE UU, tales como los principios del Escudo de privacidad a los que deben atenerse las empresas y compromisos por escrito del Gobierno de los Estados Unidos, que se publicarán en su Registro Federal, sobre el cumplimiento del acuerdo, con garantías relativas a las salvaguardias y limitaciones en materia de acceso a los datos por parte de las autoridades públicas.

MECANISMOS GARANTIZADORES

Tal como refleja la correspondiente nota de prensa de la Comisión Europea, esto se tiene que garantizar mediante los siguientes mecanismos, que se tienen todavía que implementar:

a). Obligaciones estrictas para las empresas y aplicación rigurosa: el nuevo sistema será transparente e incluirá mecanismos eficaces de supervisión para velar por que las empresas observen sus obligaciones, con sanciones o exclusión si no lo hacen. Las nuevas normas contemplan también condiciones estrictas para las transferencias ulteriores a otros socios por las empresas participantes en el sistema.

b). Salvaguardias claras y obligaciones de transparencia en cuanto al acceso por parte de la administración estadounidense: por primera vez, el Gobierno de los Estados Unidos ha dado a la UE garantías por escrito de los servicios del Director de Inteligencia Nacional de que cualquier acceso de las autoridades públicas por motivos de seguridad nacional estará sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros, lo que impedirá un acceso generalizado a los datos personales. El secretario de Estado estadounidense, John Kerry, se ha comprometido a establecer la posibilidad de recurso en el ámbito de la inteligencia para los ciudadanos europeos a través de un mecanismo de mediación dentro del Departamento de Estado, que será independiente de las agencias nacionales de seguridad. El Mediador hará un seguimiento de las denuncias y consultas de particulares y los informará de si se han respetado las leyes pertinentes. Estos compromisos por escrito se publicarán en el Registro Federal de los Estados Unidos.

c). Protección eficaz de los derechos de los ciudadanos de la UE con varias posibilidades de recurso: en caso de disputa, esta tendrá que resolverla la propia empresa en un plazo de 45 días. Habrá un sistema extrajudicial gratuito de resolución de litigios. Los ciudadanos de la UE también podrán dirigirse a sus autoridades nacionales de protección de datos, que colaborarán con la Comisión Federal de Comercio para garantizar que las reclamaciones no resueltas presentadas por los ciudadanos de la UE se investiguen y resuelvan. Si el asunto no se resuelve por un medio u otro, estará previsto, en última instancia, un mecanismo de arbitraje, que garantizará una solución jurídica ejecutable. Además, las empresas se pueden comprometer al cumplimiento con el asesoramiento de las autoridades de protección de datos europeas. Esto es obligatorio para las empresas que manejan datos en materia de recurso humanos.

d). Mecanismo de revisión conjunta anual: el mecanismo hará un seguimiento del funcionamiento del Escudo de la privacidad, incluidos los compromisos y las garantías asumidos en materia de acceso a los datos con fines policiales y de seguridad nacional. La Comisión Europea y el Departamento de Comercio de los Estados Unidos llevarán a cabo el examen y asociarán al mismo a expertos nacionales de inteligencia de los Estados Unidos y de las autoridades europeas de protección de datos. La Comisión se basará en las demás fuentes de información disponibles, incluidos los informes de transparencia de las empresas sobre el alcance de las solicitudes de acceso por parte de la administración. La Comisión también celebrará una cumbre anual sobre privacidad con las ONG y partes interesadas para debatir las novedades generales en el ámbito del Derecho de los Estados Unidos en materia de privacidad y su efecto en los europeos. Sobre la base del examen anual, la Comisión presentará un informe al Parlamento Europeo y al Consejo.

COMITÉ DE ESTADOS MIEMBROS Y UE

Este proceso se completará mediante la realización de las oportunas consultas a un Comité compuesto de representantes de los Estados miembros, y las autoridades de protección de datos de la UE (Grupo de trabajo «artículo 29»), los cuales emitirán su dictamen, antes de que el Colegio tome una decisión definitiva. Mientras tanto, desde el lado estadounidense, se tendrán que llevar a cabo los preparativos necesarios para establecer el nuevo marco, los mecanismos de control y el nuevo mecanismo del Mediador.

Tras la adopción por el Congreso de los Estados Unidos de la Ley de recurso judicial, promulgada por el presidente Obama el 24 de febrero, la Comisión va a proponer en breve la firma de un Acuerdo Marco con los EEUU. Y finalmente este proceso concluirá mediante la adopción por parte del Consejo de la decisión por la que se autoriza dicho Acuerdo, siempre contando con la previa aprobación por parte del Parlamento Europeo.

Este proceso legislativo y negociador que se ha llevado a cabo tanto por la Unión Europea, como por los Estado Unidos, nace a consecuencia de la reciente Sentencia del Tribunal de Justicia de las Comunidades Europeas de 6 de octubre de 2.015, que puso las bases de las relaciones jurídicas en lo que se refiere a uso de los datos de carácter personal, y a los flujos de información entre ambas comunidades políticas.

Ello ha supuesto ciertamente un nuevo paso histórico en estas relaciones, especialmente en lo referente a lo que es y a lo que debe ser la protección de datos de carácter personal. Sus pronunciamientos, aunque causaron una cierta sorpresa, no eran tan novedosos, ya que los mismos se encontraban vinculados con los ya llevados a cabo por el Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, en el WP 196, de 1 de julio de 2012, donde a tal efecto se había manifestado lo siguiente:

“En ausencia de un sistema más robusto que vele por el cumplimiento de los principios de protección de datos en el entorno de la nube, obtener sólo la autocertificación de “Puerto Seguro” puede resultar insuficiente… Las empresas –en el ámbito de la unión Europea- que exporten datos no deberían confiar exclusivamente en la declaración del importador de datos afirmando que posee la certificación de Puerto Seguro. Por el contrario, la empresa que exporte datos debería obtener pruebas de que las autocertificaciones de Puerto Seguro existen realmente y deberían solicitar pruebas que demostraran que se cumplen los principios relacionados con dichas autocertificaciones. Esto resulta especialmente importante en lo que respecta a la información proporcionada a los sujetos de datos a quienes afecta el procesamiento de datos”.

UN SISTEMA DE CUMPLIMIENTO MATERIAL

Estos condicionamientos habían determinado finalmente, que el concepto de “Safe Harbour” hubiera dejado de constituir una presunción de eficacia general, para pasar a ser básicamente otra de naturaleza “iuris tantum”, de modo que el responsable del fichero, no debería dejarse llevar solamente por dicha declaración de principios, sino que tenía que velar como una obligación propia e indelegable por el respeto a la privacidad de los datos objeto de tratamiento, y que dicha garantía se cumpliera de manera efectiva.

El Grupo de Trabajo del artículo 29 se decantaba abiertamente por un sistema de cumplimiento material, donde los principios propios de la protección de datos de carácter personal tuvieran un real y efectivo cumplimiento en cada transferencia de datos, atribuyendo la responsabilidad de verificar dicho cumplimiento al responsable del fichero.

Dicha sentencia era, por tanto, continuadora del camino emprendido por dicho WP196, proyectando dicha obligación de tutela sobre las autoridades nacionales de protección de datos de carácter personal, y con ello se determinaba la necesidad de proceder en cada caso a un examen exhaustivo de las garantías que afectaban a la exportación de datos de carácter personal justificada sobre la base del régimen jurídico derivado del “Safe Harbour”.

En este orden de cosas, dicha sentencia recogía que en el punto 3.2 de la Comunicación COM (2013) 846 final, como la Comisión se hacía eco de la existencia de diversas deficiencias en la aplicación de la Decisión 2000/520, y puso de manifiesto que algunas empresas estadounidenses certificadas no respetaban los principios enunciados en el artículo 1, apartado 1, de la Decisión 2000/520 (en lo sucesivo, «principios de puerto seguro»), y que, mediante mejoras de esa Decisión, debían “subsanarse las deficiencias estructurales relacionadas con la transparencia y la aplicación.

Y deben reforzarse los principios sustantivos del régimen de puerto seguro y la aplicación de la excepción por motivos de seguridad nacional». Por otra parte, observó que «el régimen de puerto seguro sirve asimismo de interfaz para la transferencia de los datos personales de los ciudadanos [europeos] desde la [Unión Europea] a los Estados Unidos por parte de las empresas [a] las que se pide que suministren datos a los servicios de información de los Estados Unidos en el marco de los programas de recogida de información de los Estados Unidos”.

DISPOSICIONES A INTERPRETAR

A los efectos de solventar esta situación, el Tribunal señaló que se debía recordar previamente que las disposiciones de la Directiva 95/46, en cuanto regulan el tratamiento de datos personales, que podían vulnerar las libertades fundamentales y, en particular, el derecho al respeto de la vida privada, deben ser necesariamente interpretadas a la luz de los derechos fundamentales protegidos por las declaraciones europeas de derechos humanos.

Con lo que, sobre esta base, el Tribunal trató de establecer la primacía real y efectiva de los derechos fundamentales de la persona, tomando como punto de partida la protección eficaz de los mismos por las autoridades nacionales de control, con las cuales se pretendió asegurar la existencia de una garantía eficaz y fiable del respeto de la normativa en materia de protección de las personas físicas frente al tratamiento de datos personales, debiéndose interpretar dicha normativa a la luz de tal objetivo.

Por ello, la creación en los Estados miembros de autoridades de control independientes constituía, pues, un elemento esencial de la protección de las personas frente al tratamiento de datos personales, como señala el considerando 62 de la Directiva 95/46.

Al hilo de esta reflexión, en la sentencia se señalaba que cuando una persona, cuyos datos personales hayan sido o pudieran ser transferidos a un tercer país que haya sido objeto de una decisión de la Comisión en virtud del artículo 25, apartado 6, de la Directiva 95/46, presentaba a la autoridad nacional de control una solicitud para la protección de sus derechos y libertades frente al tratamiento de esos datos, e impugnaba con ocasión de esa solicitud, la compatibilidad de dicha decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas, incumbía a esa autoridad examinar la referida solicitud con toda la diligencia exigible.

Es decir, se reconocía la facultad de cualquier persona física de acceder a su autoridad de control en materia de protección de datos, la cual con independencia de los pronunciamientos establecidos con carácter general por la Comisión Europea, debía investigar y garantizar de forma efectiva que las garantías materiales que tenían que presidir toda transferencia internacional de datos se cumplieran de manera real y efectiva, velando en todo caso, por la transparencia y el cumplimiento de los requisitos legales establecidos al efecto.

En definitiva, esta sentencia venía a reclamar de las autoridades nacionales de protección de datos más control sobre las transferencias internacionales de datos, y sobre todo, un mayor cumplimiento material de la normativa que garantiza el derecho a la protección de datos, evitando interpretaciones puramente formales de la regulación vigente, que a la postre podían determinar violaciones del derecho a la privacidad.

Este proceso judicial ha desembocado, tal como antes se indicaba, en el proceso negociador y legislativo que la Comisión Europea acaba de hacer público ha emitido los textos jurídicos que establecerán el Escudo de la privacidad UE-EE UU y una Comunicación en la que se resumen las medidas tomadas a lo largo de los últimos años para recuperar la confianza en los flujos de datos transatlánticos.

NUEVO ESCUDO COMO UN MARCO SÓLIDO

Este escudo de la privacidad UE-EE UU trata ahora de constituirse como un marco nuevo y sólido, basado en un cumplimiento y control rigurosos, con unas vías de recurso más sencillas para los particulares, en los que se establece por primera vez, la existencia de garantías por escrito de nuestros por parte de los Estados Unidos a los efectos de constituir una salvaguarda efectiva en materia de limitaciones en relación con el acceso a los datos por parte de las autoridades públicas por motivos de seguridad nacional.

En este sentido, debe recordarse, tal como pone de manifiesto Wikipedia, que los datos acerca de la vigilancia mundial vienen constituidos por una serie de revelaciones sacadas a la luz por la prensa internacional entre 2013 y 2015, que demuestran que la vigilancia que principalmente las agencias de inteligencia de Estados Unidos, en colaboración con otros países aliados, habían estado ejerciendo de manera masiva sobre la población mundial.

Las víctimas potenciales de este espionaje podrían cuantificarse en miles de millones de personas alrededor del mundo, además, los periódicos revelaron que cientos de líderes mundiales, incluyendo jefes de Estado e importantes empresarios, fueron o están siendo vigilados.

La información salió a la luz gracias al excontratista de la NSA y la CIA, Edward Snowden, quien copió y posteriormente filtró miles de documentos clasificados de alto secreto (top secret) mientras trabajaba para Booz Allen Hamilton, uno de los mayores contratistas militares y de inteligencia del gobierno de Estados Unidos.

Los documentos extraídos por Snowden, que en conjunto superarían los 1,7 millones, además de miles de documentos secretos de las agencias de inteligencia de Estados Unidos, también contendrían miles de archivos secretos de países como Australia, Canadá o Reino Unido, gracias a su acceso a la exclusiva red Five Eyes.

RED DE AGENCIAS DE ESPIONAJE

Los informes destaparon y demostraron la existencia de una compleja red de colaboración entre decenas de agencias de inteligencia de varios países con el objetivo de expandir y consolidar una vigilancia globalizada.

Los informes sacaron a la luz la existencia de tratados secretos y otros acuerdos bilaterales para la transferencia masiva de metadatos, registros y otras informaciones a la Agencia de Seguridad Nacional (NSA) de Estados Unidos, que se mostró como la agencia que capitanea los esfuerzos de vigilancia.

Se descubrió que la NSA opera programas secretos de vigilancia masiva como PRISM o XKeyscore.

Para la vigilancia y recogida masiva de datos las agencias han recurrido a métodos tan diversos como la introducción de software espía en aplicaciones móviles muy populares como Angry Birds o Google Maps, la ruptura de la seguridad de los sistemas operativos iOS, Android, o la violación de los cifrados de las BlackBerry.

La NSA también infectó cientos de miles de redes informáticas con malware a nivel internacional e incluso espía los correos electrónicos Hotmail, Outlook o Gmail. La inteligencia internacional también vigiló y almacenó miles de millones de llamadas y registros telefónicos.

Gracias a esto, las agencias capitaneadas por la NSA eran capaces de conseguir los contactos, geolocalización, fotografías, aplicaciones o mensajes, datos que les permitió crear perfiles de prácticamente cualquier individuo, pues a partir de esto pueden deducir su modo de vida, país de origen, edad, sexo, ingresos, etc.

La NSA también interceptó y almacenó los datos de millones de transacciones financieras electrónicas, pudiendo tener acceso prácticamente a cualquier dato bancario.

Según los documentos filtrados, las más importantes empresas de telecomunicaciones, tecnología y de Internet colaboran con la NSA de manera voluntaria o a cambio de millones de dólares para la cesión masiva de datos de sus clientes, además del acceso a sus servidores.

Por toda esta situación, tal como antes se puso de manifiesto, el Presidente Obama se vio en la obligación, además, de suscribir la llamada “Judicial Redress Act” o “Ley de Recurso Judicial”, por la que a partir de ahora se concede a los ciudadanos de la UE la facultad de invocar y solicitar la tutela jurídica correspondiente de sus derechos en materia de protección de datos ante los órganos jurisdiccionales de los Estados Unidos.

A modo de colofón, debe indicarse, finalmente, que estos cambios organizativos y legislativos tienen como principal finalidad, tal como se ha afirmado, el hecho de recuperar la confianza en los flujos transatlánticos de datos entre la Unión Europea y los Estados Unidos, a los efectos de garantizar la privacidad de las personas.

Otras Columnas por Javier Puyol Montero:
Opinión | Los ciberataques también son posibles contra los teléfonos móviles
Opinión | Neurotecnología: ¿Estamos listos para el próximo gran desafío ético y legal?
Opinión | Ciberseguridad e Inteligencia Artificial: vinculaciones
Opinión | La Inteligencia Artificial y la función de juzgar
La estrategia española de transformación digital y el «Sandbox» sobre la Inteligencia Artificial
Tiempo de recuperación tras un ciberataque
Últimas Firmas
  • Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
    Opinión | CDL: El pleito de M&A más complejo y largo de la Historia: La compra de Autonomy por Hewlett-Packard (V)
  • Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
    Opinión | Entidades especializadas en las ejecuciones civiles: la eficiencia de exportar un modelo de éxito
  • Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
    Opinión | Un abogado civil en la corte militar: el caso de Cerro Muriano
  • Opinión | ¿La Justicia es una lotería?
    Opinión | ¿La Justicia es una lotería?
  • Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena
    Opinión | El reconocimiento «utilitarista» del delito durante el cumplimiento de la condena