Nuevo sistema, Privacy Shield, para la transferencia de datos personales entre Estados Unidos y la Unión Europea
Una transferencia internacional de datos es la transmisión de los datos fuera del territorio del Espacio Económico Europeo que comprende los estados de la Unión Europea, Islandia, Liechtenstein y Noruega.
Para realizar cualquier transferencia internacional de datos personales, será necesaria la Autorización previa de la Agencia Española de Protección de Datos, salvo que sea de aplicación cualquiera de las excepciones previstas en el artículo 34 de la Ley Orgánica de Protección de Datos o cuando el país en el que se encuentre el importador de datos haya sido declarado como un país con nivel adecuado de protección como Suiza, Canadá, Argentina, Andorra, Uruguay, entre otros.
Estados Unidos ya no se considera puerto seguro
El pasado 6 de octubre de 2015, a propósito del asunto Schrems, el Tribunal de Justicia de la Unión Europea declaró inválida la Decisión de la Comisión Europea que consideraba a Estados Unidos como “puerto seguro” para la transferencia de datos personales , Sistema Safe Harbour.
¿Afecta esta decisión a su empresa?
La normativa española y europea prohíbe cualquier transferencia de datos a países que no ofrecen ni garantizan un nivel de protección adecuado.
El acuerdo Safe Harbour facilitaba la transferencia internacional de datos a grandes compañías ubicadas en Estados Unidos puesto que se consideraba que cualquier transferencia de datos a dichas entidades cumplía la normativa europea.
Tras la decisión del Tribunal de Justicia:
Si su empresa almacena datos personales en servidores alojados en Estados Unidos o intercambia datos personales de clientes con empresas americanas tiene que acudir a una serie de vías alternativas para cumplir con la normativa y proteger los datos personales de usuarios y clientes.
¿Qué opciones tiene su empresa para cumplir la normativa en materia de transferencias internacionales de datos?
Para asegurarse de que cualquier tratamiento internacional de datos cumple con la normativa, las empresas tendrán las siguientes posibilidades:
Solicitar una autorización a la Agencia Española de Protección de Datos para la transferencia de datos, ampararse en alguna de las excepciones que prevé el artículo 34 de la Ley de Protección de Datos (por ejemplo, solicitar el consentimiento del afectado)
o trasladar los datos a empresas cuyo «data center» se encuentre en el espacio económico europeo
o a un país sobre el que se haya declarado seguro para la transferencia de datos, aunque en este último caso hay que tener en cuenta la posibilidad de que dicho acuerdo sea declarado inválido, como ha sucedido respecto a Estados Unidos.
Panorama actual en el transferencia de datos personales
Cuatro meses después de la anulación del Sistema Safe Harbour, la Comisión anunció que, tras un período de negociaciones “muy duras” con el Departamento de Comercio de Estados Unidos, se ha alcanzado un nuevo acuerdo EU-US Privacy Shield para la transferencia de datos personales entre Estados Unidos y la Unión Europea.
Según la Comisión, este nuevo marco jurídico impone obligaciones más estrictas en materia de protección de datos a las empresas cuyos servidores se encuentren en Estados Unidos, protegiendo los derechos fundamentales de los europeos cuyos datos se transfieran a dicho país y garantizando la seguridad jurídica de las empresas.
Entre otras novedades:
Se impondrán limitaciones al acceso de datos personales transferidos impidiendo el acceso generalizado a dichos datos salvo que sea necesario y proporcionado.
Se impondrá una mayor cooperación entre las autoridades europeas de protección de datos y las estadounidenses.
Se establecerán mecanismos para que los ciudadanos europeos interpongan reclamaciones.
Se creará la figura del Defensor del Usuario que seguirá y atenderá las reclamaciones realizadas.
Marco sancionador para aquellas empresas que incumplan los compromisos del Acuerdo EU-US Privacy Shield.
Conclusiones del cambio de Safe Harbour a EU-US Privacy Shield
Sin embargo, hasta la aprobación definitiva y su entrada en vigor, las empresas deberán ajustarse a las vías alternativas que hemos visto anteriormente si desean cumplir con la normativa.
Es más, lo más recomendable sería asegurarse de que las empresas con las que se trabaja, sin perjuicio de que sean o no americanas, tengan sus «data centers» en Europa.
Si desea aportar su punto de vista, o tiene alguna pregunta, déjenos su comentario.
Cristina Pérez Marín
Abogada, especialista en Derecho Digital en Carrillo Asesores