La adopción del acuerdo por parte de los Estados miembros allana el camino para la adopción formal de los textos jurídicos y para implementar el «Escudo de la privacidad. Adiós Safe Harbor. Hola Privacy Shield.
Un nuevo marco legal para proteger los datos personales de los ciudadanos europeos que sean transferidos a suelo estadounidense. Tras meses de incertidumbre y movimientos, la Unión Europea y EE.UU. ratificaron un acuerdo, cuyo lanzamiento se produce de manera oficial este mismo martes. La idea será proteger y garantizar la seguridad de los datos almacenados en los servicios en la «nube», entre otras cosas.
Este nuevo acuerdo de protección de la transferencia de datos personales con EE.UU, negociado durante más de dos años, se llama «Privacy Shield» («Escudo de privacidad», en español) y sustituye al «Safe Harbour» («Puerto seguro») que quedó invalidado por el Tribunal de Justicia de la Unión Europea en 2015 obligando así Bruselas a negociar con Washington un nuevo marco para garantizar un mejor nivel de protección de los datos personales. Esta situación provocó que la información de los usuarios se encontrara hasta ahora en una situación de inseguridad jurídica.
La normativa aspira a «proteger los datos personales de los europeos» y «proporcionar seguridad jurídica para las empresas», en opinión de la Comisaria Europea de Justicia, Vera Jourová, quien considera que el texto legal pretende «recuperar la confianza de los consumidores en el contexto de las transferencias transatlánticas de datos».
En la versión definitiva, presentada también por la secretaria de Comercio estadounidense, Penny Pritzker, se incluye que entre los datos a proteger se encuentra toda la información que pueda identificar a un individuo de forma directa (nombre, apellidos o foto) o indirecta (número de seguridad social o, incluso, el número de cliente).
Centenares de empresas del sector, desde los gigantes de internet hasta pequeñas empresas, suelen transferir dichos datos hacia los servidores y centros de datos ubicados, principalmente, en territorio norteamericano, con lo que la legislación cambia. En estos lugares se almacenan millones de datos de usuarios que posteriormente se utilizan por parte de las compañías de internet para sus negocios basados en la publicidad segmentada y personalizada.
A raíz de las revelaciones de Edward Snowden, antiguo empleado de la CIA, el Tribunal de Justicia de la UE consideró que el llamado «Safe Harbour» no constituía suficientes garantías a los ciudadanos europeos. A principios de febrero, la Comisión Europea anunció que había llegado a un «acuerdo político» con Estados Unidos que ha venido retocando y afinando términos hasta ahora.
La decisión se notificará a los Estados miembros este mismo martes «y tendrá efecto inmediato», aseguran desde la Comisión Europea. Las autoridades de Estados Unidos, a su vez, abrirán rápidamente la posibilidad de que las empresas puedan obtener la certificación para ajustarse a las nuevas normas.
Las claves del «Escudo de privacidad»
Transparencia: la nueva disposición es transparente y contiene mecanismos de supervisión para garantizar que las empresas respeten sus obligaciones.
Periodo de respuesta: el acuerdo conlleva un periodo de respuesta de 45 días sobre aquellas empresas a las que se acusan de malas prácticas con el uso de los datos personales. Las reclamaciones se agilizan y sin coste.
Periodo de reclamación: Los ciudadanos europeos, no obstante, pueden reclamar a las autoridades nacionales de protección de datos, que trabajarán con la Comisión Federal de Comercio para garantizar que las quejas no resueltas se investigan. La normativa recoge que se puede presentar una queja en un plazo de 90 días.
Revisión anual: se establece un mecanismo de revisión anual para controlar el buen funcionamiento de «Privacy Shield», incluyendo los compromisos en relación con el acceso a los datos. La Comisión Europea y el Departamento de Comercio de EE.UU. llevarán a cabo la revisión con expertos de las autoridades de protección de datos locales. Si las empresas no cumplen en la práctica, se enfrentan a sanciones y a ser retiradas de la lista. El endurecimiento de las condiciones para las transferencias ulteriores de datos a terceros garantizará el mismo nivel de protección en caso de transferencia desde una empresa adherida al Escudo de la privacidad.
Defensor del Pueblo: Si un asunto no se resuelve por un medio u otro, estará previsto, en última instancia, un mecanismo de arbitraje. El mecanismo de recurso en el ámbito de la seguridad nacional para los ciudadanos de la UE será gestionado por la figura de Defensor del Pueblo independiente de los servicios de inteligencia de los Estados Unidos.
Consentimiento: la normativa obliga a las empresas de internet a obtener el consentimiento de los usuarios antes de recopilar y recoger sus datos personales y deberán mostrar su política de privacidad en las páginas web.