Gonzalo Gallego es socio del despacho Hogan Lovells en Madrid.
El Escudo de Privacidad: más protección para la transferencia internacional de datos UE-EEUU
|
14/7/2016 07:56
|
Actualizado: 13/7/2016 22:12
|
Bruselas aprobó el martes, el 12 de julio de 2016, el nuevo acuerdo de privacidad con Estados Unidos, llamado Escudo de Privacidad (‘Privacy Shield’, en inglés), que sustituirá al anterior fallido, Puerto Seguro (‘Safe Harbor’), que fue anulado por el Tribunal de Justicia de la Unión Europa (TJUE) en el procedimiento C-362/14 del 6 de octubre de 2015, conocido como ‘sentencia del caso Schremes’. Con esta notificación que se hacía ayer a los Estados miembros entraba en vigor la nueva normativa en la UE.
Es un acuerdo que tiene una gran trascendencia y repercusión, según Gonzalo Gallego, socio del despacho Hogan Lovells en su oficina de Madrid, responsable del área de Propiedad Intelectual e Industrial, Media & Tecnologías de la Información y experto en privacidad.
En el caso de EEUU su vigencia tiene que ver cuando se publique en el Diario Oficial (‘Official Journal’), el ‘BOE’ norteamericano. Se calcula que desde el 1 de agosto de este año las empresas americanas podrán comenzar a obtener la clarificación que las permita comenzar a manejar datos provenientes de la Unión Europea.
“Ese tipo de actividad de transferencia internacional de datos, antes amparada por el ‘Safe Harbor’, es una práctica habitual para los abogados que nos dedicamos al mundo del derecho tic y la empresa. Ahora, tras dos años de debate se ha llegado a un acuerdo para que ‘Privacy Shield’ sea el elemento que respalde esta operativa”, explica Gallego, quien además es miembro de la Junta Directiva de la Asociación Profesional Española de Privacidad (APEP).
Para este experto en privacidad, lo logrado con el Escudo de Privacidad tiene un nivel de protección de datos personales incluso superior al que hay en Europa y su directiva de protección de datos.
Con esta resolución se da la circunstancia que aquellas empresas norteamericanas que se adhieran al Escudo de Privacidad en los próximos meses tendrán unos niveles de protección similares a los que se indica en el flamante Reglamento Europeo de Protección de Datos, aprobado recientemente.
“Ahora mismo el nivel de seguridad es superior al que hay en la UE”, afirma Gallego.
Sobre los dos años en que hubo de debate y negociaciones para consensuar el texto final del Escudo de Privacidad, Gallego señala que “hay que darse cuenta que EEUU y Europa tienen conceptos diferentes en cuanto a datos de carácter personal y su regulación. En EEUU es más de protección de consumidores y usuarios mientras que el Europa hablamos en algún país como España de derechos fundamentales”.
El Escudo de Privacidad será monitorizado y revisado anualmente.
Tanto la Comisión Europea como el Departamento de Comercio de EE.UU. llevarán a cabo estas revisiones junto con expertos en protección de datos provenientes de ambas partes.
La Comisión publicará informes e informará al Consejo y al Parlamento europeos.
Al mismo tiempo hay que darse cuenta que el tema de la seguridad en EE.UU. estaba muy acentuado tras el 11 de septiembre y el atentado contra las Torres Gemelas. Eso ha hecho que agencias de inteligencia tuvieran acceso a mucha información.
“El llegar a un acuerdo ha supuesto para EE.UU. aprobar legislación interna que estaba ya gestándose para poder asumir los compromisos que le pedía Europa”, revela Gallego.
Logo del Escudo de Privacidad EE.UU-UE.
En este proceso de negociación se llegó a un acuerdo para poder controlar mejor el trabajo de las agencias de seguridad norteamericana, siempre ávidas de información de terceros, causa principal en octubre del pasado año de la anulación del protocolo Puerto Seguro tras el fallo del TJUE al entender que no protegía de manera suficiente los datos personales de terceros frente dichas agencias.
El Escudo de Privacidad avanza un paso sobre el Puerto Seguro en protección de la privacidad.
Está alineado con el nuevo Reglamento Europeo de Protección de Datos y eso es una buena noticia
Respecto a las diferencias existentes entre el ya denostado Puerto Seguro y el Escudo de Privacidad, nuestro interlocutor señala que “’Privacy Shield’ ha avazando mucho en cuanto a protección por dos razones fundamentales.
El ‘Safe Harbor’ estaba alineado con la directiva actual que existe en la UE de protección de datos de 1995. Tiene menos protecciones y más genéricas que la nueva normativa recientemente aprobada. Ambas estaban ya algo desfasadas. Por eso han nacido ‘Privacy Shield’ y el Reglamento Europeo de Protección de Datos”, apunta.
Desde su punto de vista el Escudo de Privacidad es un paso adelante importante respecto al Puerto Seguro, “habrá que ver a lo largo de los años si son suficientes los baremos de privacidad que se establece en la nueva normativa.”
TRANSFERENCIA INTERNACIONAL DE DATOS PERSONALES
A nivel práctico, la transferencia internacional de datos de una empresa de transporte, como ejemplo, supondría que “la empresa norteamericana receptora de los datos estuviera adherida a la certificación que es ‘Privacy Shield’.
Deben presentar una instancia a la FCC, la Federal Communications Commission (Comisión Federal de Comunicaciones) y rellenarla a través de su página web. Ahora la documentación que se pide es mas exhaustiva que antes».
«Junto con esa documentación que se aporta hay que responsabilizarse de determinados compromisos ante la propia FCC. Todo será revisado por esta entidad. En estos momentos se está creando el citado mecanismo para que empresas y entidades se certifiquen. Las propias empresas deberán también en su web anunciar que están adheridas al ‘Privacy Shield’”, continúa explicando.
En la práctica, todo parece que será cuestión de semanas el poder adherirte a este nuevo sistema de certificación para la transferencia de datos personales en EEUU.
“Se trata sobre todo que las empresas se den cuenta que pueden asumir todos los requisitos y compromisos que supone asumir el ‘Privacy Shield’ como certificación propia”, advierte Gallego.
Por su parte, las compañías europeas, una vez tengan claro que quieren transferir datos a los EEUU a aquellas empresas norteamericanas al Escudo de Privacidad deberán notificar esa actividad en el caso español a la propia Agencia Española de Protección de Datos (AEPD).
Gallego subraya que “se utiliza un formulario específico que ahora se actualizará para que se pueda rellenar la casilla de transferencia internacional de datos e indicar la empresa receptora de esos datos”.
En ese caso, la propia AEPD verifica los datos de aquella empresa y que esté adherida al Escudo de Privacidad. “En algunos casos, la Agencia ha parado esta operación al advertir que aquella empresa no estaba adherida a este sistema de certificación, antes el ‘Safe Harbor’, ahora el ‘Privacy Shield’. El contacto que hace en estas situaciones es rápido para aclarar que esa operación de transmisión de datos no se puede hacer.”.
Para poder conocer el alcance del Escudo de Privacidad, asociaciones como APEP ya están poniendo en marcha diferentes cursos y programas formativos de cara a explicar a los delegados de Protección de Datos, expertos y empresarios, el alcance de esta reforma en materia de privacidad en materia internacional.
“Nuestro plan de formación es muy intenso a lo largo del año. Ahora con el nuevo Reglamento Europeo y Privacy Shield se ha incrementado», precisa Gallego.
DONDE SE DIRIGEN LAS TRANSFERENCIAS DE DATOS
Sobre la transferencia internacional de datos y las diferencias que hay entre hacerlo desde EE.UU. a otros países., como Colombia o Bolivia, Gonzalo Gallego explica que “hay países considerados de nivel de protección adecuada como son Argentina, Francia o Israel donde la transferencia de datos es similar a si lo hicieras en España».
Y luego hay otros países que no tienen un nivel de protección conveniente y es transferencia internacional de datos es aún más complicada que para empresas adheridas al Escudo de Privacidad.
“Se trata, sobre todo, de tener garantías de que esa operación se hará de forma coherente. Si estas en la UE tienes que someter al importador de datos a una serie de obligaciones que aseguren que los datos de carácter personal sean tratados de forma correcta. En España hay que tener el permiso de la AEPD para realizar dicha transferencia internacional de datos”, dice Gallego.
A juicio de este experto, la transferencia internacional de datos desde España tiene que ver con un proceso que lleva su tiempo.
“Lograr la autorización de la AEPD supone dos o tres meses, además de tiempo que la empresa emplea en preparar la documentación necesaria. Se trata al final de firmar un contrato con el importador de datos. En algunos casos se firma rápido, mientras que en otros importadores de datos te ponen pegas para ello”.
Y es que transferir datos personales a nivel internacional supone un proceso que requiere su tiempo.
“Al final somos los abogados externos que asesoramos a nuestros clientes, o los propios abogados internos de las empresas quienes se encargan de dicha tarea. Es una tarea compleja que no se alinea con la velocidad para realizar cualquier operación a la que estamos aconstumbrados a poner en marcha”, cuenta.
Operaciones de este tipo, necesitan de tiempo y planificación y expertos en privacidad que sepan realmente lo que están haciendo.
“Hay que darse cuenta que la propia AEPD puede suspender esa transferencia internacional de datos si advierte que esas garantías que cualquiera de las dos empresas que participa en esa actividad no se van a cumplir”, indica.
Las empresas españolas realizan este tipo de transferencia de datos personales hacia países como India, ejemplo de externalización e intermediacion informática, al igual que Singapur y otras naciones de la zona asiática.
En el entorno de Iberoamérica, en Perúm se han hecho bastantes transferencias de este tipo e incluso Marruecos en algún momento.
“Son procesos complejos que necesitan de una planificación y de la autorización del regulador, por eso hay que hacerlas con cierto tiempo», concluye Gallego.
Noticias Relacionadas:
