- La UE y EE.UU. han adoptado formalmente y #alalimón el Escudo de Privacidad (Privacy Shield) como mecanismo legitimador de las transferencias internacionales de datos a EE.UU., reemplazando al invalidado régimen de Puerto Seguro.
- Las compañías estadounidenses podrán adherirse al nuevo marco a partir del 1 de agosto de 2016.
Después de que en octubre de 2015 la sentencia del Tribunal de Justicia de la Unión Europea (“TJUE“) en el caso Schrems (C-362/14) (la “Sentencia“) invalidara la Decisión 2000/520/CE de Puerto Seguro y cambiara radicalmente el panorama de las transferencias internacionales de datos a ambos lados del Atlántico, hace escasas horas la Comisaria europea Věra Jourová y la Secretaria de Comercio de EE.UU., Penny Pritzker, han adoptado formalmente y #alalimón el “Escudo de Privacidad UE-EE.UU.”.
El Escudo de Privacidad entre la UE y EE.UU, llamado a reemplazar al derogado régimen de Puerto Seguro, es resultado del acuerdo político anunciado por la Comisión Europea y el Departamento de Comercio de los Estados Unidos (“DOC“) el pasado 2 de febrero para la adopción de un nuevo marco de intercambio transatlántico de datos de carácter personal con finalidades comerciales.
Al igual que su predecesor, el Escudo de Privacidad está basado en un sistema de co-regulación: las compañías que quieren participar en él adoptan unos principios de protección de datos y los implementan en el seno de la organización bajo la supervisión del regulador – en este caso, el DOC y la Comisión Federal de Comercio (“FTC“). Así pues, el Escudo de Privacidad sería un ejemplo más del principio de “accountability” o responsabilidad introducido por el Reglamento General de Protección de Datos 2016/679 (“RGPD“).
En términos generales, el Escudo de Privacidad pretende suplir las deficiencias advertidas (primero por la Comisión Europea y después por el TJUE en el caso Schrems) en el régimen de Puerto Seguro e incorporar los requisitos señalados por el TJUE en la Sentencia. Lo anterior se traduce, a grandes rasgos, en reforzar los principios de protección de datos, introducir un mayor control por parte del DOC y la FTC, crear mecanismos posibles para la protección y reparación del consumidor y establecer compromisos respecto al acceso a la información por parte de las autoridades públicas. Sin duda, este último extremo – que pasó desapercibido en las decisiones de adecuación actualmente en vigor – ha sido clave en los más de dos años de negociación entre la Comisión Europea y el DOC, y podría ser un factor de riesgo que pusiera en entredicho también otras decisiones de adecuación adoptadas hasta la fecha.
Aunque la buena intención en la adopción de este nuevo marco no ha sido cuestionada, la publicación del primer borrador del texto, el pasado 29 de febrero de 2016, no estuvo exenta de críticas. Así, el 13 de abril el Grupo de Trabajo del Artículo 29 (“GT 29“) publicó su opinión inicial sobre el acuerdo. Aunque, como ya advertimos, los integrantes del GT 29 celebraron #alalimón las mejoras y la corrección de deficiencias en comparación con la invalidada decisión de Puerto Seguro, manifestaron al mismo tiempo una gran preocupación por los aspectos comerciales del nuevo marco (que, en términos generales, se dijo que adolecía de inconsistencia y falta de claridad) y la posibilidad de que las autoridades públicas de EE.UU. accedieran a los datos personales transferidos al amparo del nuevo sistema. Entre otros aspectos cuestionados, se encontraban también la falta de cumplimiento de principios básicos de la protección de datos, las normas sobre transferencias ulteriores de datos y los mecanismos de protección y reparación del consumidor.
Pero la anterior no fue la única crítica al Escudo de Privacidad. El 26 y 30 de mayo, el Parlamento Europeo y el Supervisor Europeo de Protección de Datos, respectivamente, emitieron sus opiniones sobre el nuevo sistema abogando por la necesidad de configurar una solución más robusta y sostenible.
Pues bien, tras meses de incertidumbre y después de que el pasado 8 de julio, el Comité del Artículo 31 – grupo de representantes de la Unión Europea que asesora a la Comisión Europea en la adopción de decisiones oficiales sobre el nivel de protección de datos proporcionado por jurisdicciones fuera de la Unión Europea – votara a favor de la aprobación del texto final del Escudo de Privacidad entre la UE y EE.UU, hoy se ha formalizado su adopción definitiva. Como señala la Comisión en su comunicado de prensa, la Comisión Europea y el DOC han tenido en cuenta las sugerencias del GT 29, el Parlamento Europeo y el Supervisor Europeo de Protección de Datos, incluyendo aclaraciones adicionales sobre la recopilación de datos en bloque, el fortalecimiento de la figura del Defensor del Pueblo y la incorporación de obligaciones más explícitas para las compañías en lo que respecta a los límites de conservación y de transferencias ulteriores.
Junto a la Decisión de adecuación, la Comisión ha publicado otros documentos de interés como los Anexos de la Decisión, un documento de Preguntas y respuestas y una Ficha informativa.
Próximos pasos
La nueva “Decisión de adecuación” entrará en vigor hoy mismo, una vez que sea notificada a los Estados miembros. En Estados Unidos, el nuevo marco se publicará en el “Registro Federal” del país. Las compañías podrán certificarse ante el DOC y adherirse al Escudo de Privacidad a partir del 1 de agosto. En paralelo, la Comisión indica que publicará una guía dirigida a los ciudadanos con el objetivo de explicar las vías de recurso disponibles en caso de que se aprecie una violación de las normas de protección de datos.
Sin embargo, la adopción formal del nuevo marco no irá acompañada de un remanso inmediato de paz y tranquilidad, en lo que a transferencias internacionales de datos a EE.UU se refiere. Como indicó el GT 29, el Escudo de Privacidad será revisado de nuevo una vez que el RGPD sea aplicable a partir de mayo de 2018. Asimismo, algunas Autoridades de Protección de Datos, en concreto la alemana, han adelantado que someterán el nuevo sistema de adecuación al juicio del TJUE, por lo que la bondad del Escudo de Privacidad como mecanismo para transferir datos a EE.UU. seguirá siendo incierta, al menos, por un tiempo.