Nuevo intercambio de datos entre UE y EEUU
El 6 de octubre de 2015, una sentencia del Tribunal de Justicia de la Unión Europea marcó un punto de inflexión en las transferencias internacionales de datos desde Europa a compañías estadounidenses. A través de esta sentencia se anula la decisión de la Comisión de 25 de julio de 2000, por la que se reconocía un nivel adecuado de protección a las transferencias de datos personales a Estados Unidos, producidas en el marco del acuerdo Safe Harbour. Hasta este momento, aquellas empresas estadounidenses que recibían datos personales de la Unión Europea, eran considerados como puertos seguros, si se habían adherido a los Principios del Acuerdo.
La invalidez de Safe Harbour, dio lugar a que Estados Unidos pasara a formar parte del grupo de países que no garantizan un nivel de protección adecuado, complicando notablemente el proceso para transferir datos desde la Unión Europea a compañías estadounidenses. Ante la necesidad de un nuevo marco para restablecer la confianza, tras duras negociaciones, a principios de febrero, se adoptó un acuerdo político, entre la Comisión Europea y Estados Unidos, EU-US Privacy Shield, que a finales de febrero se ha materializado en un proyecto jurídico de decisión de adecuación que antes de ser aprobado debe obtener el asesoramiento de un órgano consultivo independiente denominado Grupo de Trabajo del artículo 29 y de un Comité compuesto por representantes de los Estados miembros. Este no es el único acuerdo en materia de transferencia de datos personales entre Europa y Estados Unidos. En 2010 se iniciaron negociaciones para regular el intercambio de datos en el ámbito de la cooperación judicial y policial, cuyo resultado es un Acuerdo, Umbrella Agreement, que ha sido analizado recientemente por el Supervisor Europeo de Protección de Datos en la Opinión 1/2016.
EU-US Privacy Shield se configura como un marco para el intercambio de datos comerciales entre Europa y USA, contemplando cuatro logros principales. En primer lugar, se establecen fuertes obligaciones para las empresas participantes, con mecanismos de supervisión del cumplimiento de las normas que han aceptado voluntariamente y con imposición de sanciones en caso de incumplimiento, incluyendo la propia expulsión.
En segundo lugar, establece salvaguardas claras y transparentes para el acceso por entidades estadounidenses a los datos personales de los ciudadanos europeos. Una de las principales objeciones a Safe Harbour era que las autoridades públicas de Estados Unidos no estaban sometidas al Acuerdo, ya que únicamente era aplicable a las entidades que se habían adherido a él. En consecuencia, los requerimientos de seguridad nacional, interés público y cumplimiento de la ley estadounidense prevalecían sobre Safe Harbour. El resultado fue un acceso generalizado por parte de las autoridades de Estados Unidos, incompatible con las finalidades que legitimaron la transferencia y, por tanto, contrarios a la normativa de la Unión Europea. Gracias al EU-US Privacy Shield, se acuerda, por primera vez, el establecimiento de garantías vinculantes para el acceso a los datos por autoridades estadounidenses. En concreto, se proporcionan garantías por escrito, que provienen del Director de Inteligencia de la Casa Blanca, lo que constituye un paso único para restaurar la confianza. Además, el Secretario de Estado de Estados Unidos, se ha comprometido a crear la figura del Defensor del Pueblo (Ombudsman), independiente de los servicios de inteligencia estadounidenses, que resolverá las reclamaciones y solicitudes realizadas por individuos europeos.
El tercer logro, es la efectiva protección de los derechos de los ciudadanos europeos a través de varias vías. En este sentido, las reclamaciones a las empresas adheridas al Acuerdo deben resolverse en un plazo de 45 días. A esto se suma la creación de un mecanismo de resolución de conflictos para cualquier ciudadano que considere que han sido vulnerados sus datos personales, contemplando como último recurso un sistema de arbitraje.
Por último, se establecen medidas de seguimiento de la correcta aplicación del Acuerdo, estableciéndose por parte del Departamento de Comercio de los Estados Unidos y de la Comisión una revisión anual conjunta. Esto pone de manifiesto que no estamos hablando de un acuerdo puntual, sino que va a ver un continuo seguimiento del cumplimiento de los compromisos.
Durante los próximos meses veremos en qué medida EU-US Privacy Shield se materializa en un instrumento definitivo que proporcione las garantías suficientes. Hasta este momento, las transferencias internacionales de datos entre Europa y Estados Unidos seguirán estando cuestionadas.
Olga Martinez es Socia en Applicalia y Responsable del Área de Compliance