En 2016 EE.UU. y la Unión Europea firmaron un acuerdo para garantizar la protección de datos de usuarios europeos al otro lado del Atlántico; lo que se conoció como Privacy Shield hoy en día sigue vigente aunque en un plano mucho más secundario desde la entrada en vigor del RGPD. En esta entrada vamos a ver qué es el Privacy Shield exactamente y cómo sigue funcionando hoy en día.
¿Qué es Privacy Shield?
El Privacy Shield, también conocido como Escudo de la privacidad UE-EEUU o EU-US Privacy Shield, es un acuerdo firmado en 2016 entre EE.UU. y la Unión Europea como marco para la protección de datos, que sustituye al antiguo marco de Puerto Seguro (o Safe Harbor), que había estado vigente hasta 2015.
El objetivo del Escudo de Privacidad es el cumplimiento de la normativa europea en materia de protección de la privacidad de los ciudadanos en los intercambios de datos con EE.UU. Es decir, su principal función es garantizar que las empresas norteamericanas que recolectan datos de usuarios europeos cumplen con la normativa europea de protección de datos.
El acuerdo
Mediante el acuerdo de Privacy Shield, el Gobierno estadounidense se comprometía a cumplir con ciertos estándares para equiparar el nivel de protección de datos personales de los ciudadanos europeos almacenados en EE.UU. con los estándares europeos en esta materia. Así, empresas como Facebook, Amazon, Google o Dropbox quedaban autorizadas para recopilar, trata y almacenar datos de sus usurarios europeos, por ejemplo.
Para garantizar el cumplimiento de dichos estándares, en 2016 se creaba en EE.UU. la figura de un Defensor del Pueblo que funcionaba y funciona como un mecanismo de mediación dentro del Departamento de Estado pero independiente de las agencias de seguridad nacionales, al que los ciudadanos europeos podrían dirigirse en el caso de denuncias o consultar en materia de protección de datos. Este Defensor del Pueblo se ocuparía de las peticiones de particulares, realizando un seguimiento de sus consultas e informando de si se producen o no infracciones de la legalidad.
Aparte de esta figura, los ciudadanos europeos contarían con otros recursos legales. Por un lado, en caso de disputa, las empresas implicadas tendrían un plazo de 45 días para responder ante la causa presentada. En ese sentido, las partes contarían con un sistema extrajudicial gratuito de resolución de conflictos, así como otros procesos de arbitraje, así como la posibilidad de dirigirse a sus respectivos organismo nacionales de protección de datos, en España la AEPD (Agencia Española de Protección de Datos), que se encargarían de impulsar una investigación de las causas no resueltas en colaboración con la Comisión Federal de Comercio (FTC) norteamericana.
Así mismo, el acuerdo también recoge el compromiso del Gobierno de EE.UU. de llevar un seguimiento anual del funcionamiento del Privacy Shield y del acceso de los datos por parte de las agencias de seguridad. Dicho seguimiento se llevaría a cabo en conjunto por la Comisión Europea y el Departamento de Comercio de los EE.UU., junto a expertos nacionales.
El acuerdo también establece 6 ámbitos en los que se permite la vigilancia masiva y la recolección de datos de forma legal:
- Lucha contra el terrorismo
- Revelación de actividades de potencias extranjeras
- Lucha contra la distribución de armas de destrucción masiva
- Ciberseguridad
- Protección de las fuerzas armadas estadounidenses y aliadas
- Lucha contra amenazas criminales trasnacionales
Finalmente, las empresas de EE.UU. podrían suscribirse a la normativa de Privacy Shield comprometiéndose con sus principios a través de una autocertficación.
EU-US Privacy Shield vs Safe Harbor
Como hemos indicado, EU-US Privacy Shield vino a sustituir a Safe Harbor, pues que este acuerdo que permitía la transferencia de datos personales a EE.UU. fue anulado por el Tribunal de Justicia de la UE en 2015. El Escudo de Privacidad incorporaba nuevas obligaciones para las empresas y limitada el acceso a los datos a las autoridades estadounidenses. Es decir, la Privacy Shield es más exigente en materia de protección de datos que Safe Harbor, imponiendo más exigencias a las empresas receptoras en el intercambio de datos internacionales de datos personales.
Privacy Shield vs GDPR
Aunque el Privacy Shield tiene como objetivo equiparar los estándares europeos en materia de protección de datos, cuando se pone frente al RPDG quedan en evidencia las carencias del primero y que el Parlamento Europeo ha denunciado en diferentes ocasiones, exigiendo al EE.UU. la subsanación de las mismas. Entre esas carencias, se encontraban cuestiones:
- Institucionales: El Consejo de Supervisión de la Privacidad y de las Libertades Civiles carecía de miembros suficientes y de presidente. Y la figura del Defensor del Pueblo no era independiente ni tenía los suficientes recursos y poderes para poder atender los recursos procedentes de la UE.
- Comerciales:
- Las vías para presentar recursos eran muy complejas.
- El Departamento de Comercio no realizaba un control efectivo sobre el cumplimiento que hacían las empresas de las normas y requisitos del Privacy Shield.
- Los principios del acuerdo no siguen el modelo de tratamiento de la UE, que está basado en el consentimiento expreso.
- Aplicación de la ley: La Comisión Europea no estaba siendo informada desde EE.UU. sobre las diferentes normas que afectaban al tratamiento de datos de ciudadanos, viendo una falta de compromisos jurídicos vinculantes que garantizasen que la recogida de datos no fuera indiscriminada y libre.
Aunque EE.UU. no cumplió con el primer plazo exigido por la UE para subsanar estas carencias (fijado para el 25 de mayo de 2018), sí que ha llevado a cabo una serie de mejoras en estos ámbitos, que le valieron que en octubre de 2019 la Comisión Europea volviera a validar el Privacy Shield como marco legal para la transferencia de datos internacionales entre Europa y EE.UU.
Entre esas mejoras destaca el nombramiento de los principales órganos de supervisión y recurso, como el Defensor del Pueblo, y la supervisión sistemática mediante controles mensuales a las empresas autocertificadas en el Privacy Shield. Aún así, el Privacy Shield queda lejos de las exigencias que el RGPD, y la LOPD en España, contemplan para las empresas europeas.
Las consecuencias de las resoluciones de Privacy Shield para los usuarios
Actualmente, y como hemos señalado al comienzo de esta entrada, el Privacy Shield, aunque aún tiene vigencia, queda en un segundo plano frente al RGPD, puesto que las garantías del reglamento europeo son mayores y más exigentes en materia de protección de datos personales y especialmente en su transferencia internacional.
Las consecuencias de esto es que aquellas empresas en suelo europeo que compartan datos con empresas estadounideneses, aún cuando estén autocertificadas en el Privacy Shield, deben cumplir con el RGPD para asegurarse de que no cometen ningún tipo de infracción que pueda derivar en una sanción. Y es que la autocertificación es uno de los puntos aún conflictivos y que suscitan dudas por las pocas garantías legales que ofrece en la práctica.
Aún así, dada la necesidades de compartir información y, en ocasiones datos personales, por parte de las empresas para poder seguir operando a nivel global, cumplir tanto con la normativa del Privacy Shield y el RGPD es imprescindible para estar dentro de la legalidad.
¿Cuántas empresas estadounidenses están certificadas con EU-US Privacy Shield, hasta ahora?
Actualmente, hay autocertificadas 5362 empresas estadounidenses en la lista del Privacy Shield, que puede consultarse en su página web y en ella encontramos no solo las empresas principales, sino también sus principales filiales, como por ejemplo Microsoft, con 14 de sus filiales adscritas al Escudo de Privacidad, Sony Interactive Entertainment, con 9 filiales, o Amazon, con 5 filiales.
Opiniones sobre Privacy Shield
En general, las opiniones que sigue suscitando el Privacy Shield es que se queda corto a la hora de proteger los datos de los ciudadanos europeos, especialmente porque EE.UU. no ha cumplido completamente con las exigencias del propio acuerdo, y que este no es muy distinto al Safe Harbor que ya tumbó el Tribuna Europeo. Además, deja fuera las medidas de vigilancia masiva, lo que viola el propio derecho europeo.
A esto se suma el hecho de que aunque las empresas norteamericanas estén autocertificadas en el Privacy Shield, esto no termina de garantizar el cumplimiento de la normativa protección de datos europea, mucho más exigente en materias como el consentimiento expreso de los usuarios para el tratamiento de sus datos personales o la transferencia internacional de datos personales.
Pese a la existencia del Privacy Shield y su última validación a finales de 2019, el intercambio y la protección de datos con EE.UU. todavía sigue siendo un tema controvertido con un marco legal difuso, más exigente para las empresas europeas que para las estadounidenses.
Buenos días.
Si una empresa usa correo electrónico en Google o Microsoft o cualquier otra empresa fuera de los EEE, utiliza una página en Facebook, Whatsapp para comunicarse con sus clientes, o una página web cuyo servidor se encuentra fuera de los EEE. ¿Cómo tendría que operar? Es decir, ¿qué pasos tendría que seguir para cumplir con el RGPD? ¿Tendría que presentar algo o pedir algún permiso en la AEPD?
No entiendo muy bien cómo funcionan esas cosas y apenas encuentro información sobre ello. Agradecería si me pueden explicar un poco sobre todo eso, por favor.
Muchas gracias y un saludo.
Buenos días Mamen, en ese caso la empresa debe solicitar el consentimiento expreso de los clientes para recibir ese tipo de comunicaciones e informarles de que cederá sus datos a Google, Microsoft, Facebook o whatsapp. No es necesario nada más.