[{"@context":"http:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/07\/09\/privacy-shield\/#BlogPosting","mainEntityOfPage":"https:\/\/ayudaleyprotecciondatos.es\/2020\/07\/09\/privacy-shield\/","headline":"Privacy Shield: \u00bfqu\u00e9 es y qu\u00e9 significa para los usuarios?","name":"Privacy Shield: \u00bfqu\u00e9 es y qu\u00e9 significa para los usuarios?","description":"Os contamos todo lo que necesit\u00e1is saber sobre el Privacy Shield, qu\u00e9 es, su vigencia actual y sus diferencias frente al RGPD \u2705","datePublished":"2020-07-09","dateModified":"2021-06-01","author":{"@type":"Person","@id":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/#Person","name":"Helena","url":"https:\/\/ayudaleyprotecciondatos.es\/author\/helena\/","image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/b023e7afa5522ddec000b8b3b8bf4f7c?s=96&d=blank&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"AyudaLeyProteccionDatos","logo":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2016\/01\/ayuda-ley-proteccion-datos.png","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/07\/Privacy-Shield-03.jpg","url":"https:\/\/ayudaleyprotecciondatos.es\/wp-content\/uploads\/2020\/07\/Privacy-Shield-03.jpg","height":843,"width":1500},"url":"https:\/\/ayudaleyprotecciondatos.es\/2020\/07\/09\/privacy-shield\/","commentCount":"2","comment":[{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/07\/09\/privacy-shield\/#Comment1","dateCreated":"2020-12-01 13:21:16","description":"Buenos d\u00edas Mamen, en ese caso la empresa debe solicitar el consentimiento expreso de los clientes para recibir ese tipo de comunicaciones e informarles de que ceder\u00e1 sus datos a Google, Microsoft, Facebook o whatsapp. No es necesario nada m\u00e1s.","author":{"@type":"Person","name":"Ana Gonz\u00e1lez","url":""}},{"@type":"Comment","@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/07\/09\/privacy-shield\/#Comment2","dateCreated":"2020-11-19 09:23:11","description":"Buenos d\u00edas.\r\n\r\nSi una empresa usa correo electr\u00f3nico en Google o Microsoft o cualquier otra empresa fuera de los EEE, utiliza una p\u00e1gina en Facebook, Whatsapp para comunicarse con sus clientes, o una p\u00e1gina web cuyo servidor se encuentra fuera de los EEE. \u00bfC\u00f3mo tendr\u00eda que operar? Es decir, \u00bfqu\u00e9 pasos tendr\u00eda que seguir para cumplir con el RGPD? \u00bfTendr\u00eda que presentar algo o pedir alg\u00fan permiso en la AEPD?\r\n\r\nNo entiendo muy bien c\u00f3mo funcionan esas cosas y apenas encuentro informaci\u00f3n sobre ello. Agradecer\u00eda si me pueden explicar un poco sobre todo eso, por favor.\r\n\r\nMuchas gracias y un saludo.","author":{"@type":"Person","name":"MAMEN","url":""}}],"about":["CIBERSEGURIDAD","PRIVACIDAD"],"wordCount":1678,"articleBody":" if (typeof BingeIframeRan === \"undefined\") { window.addEventListener(\"message\", receiveMessage, false); function receiveMessage(event) { try { var parsed = JSON.parse(event.data) if (parsed.context === \"iframe.resize\") { var iframes = document.getElementsByClassName(\"binge-iframe\"); for (let i = 0; i < iframes.length; ++i) { if (iframes[i].src == parsed.src || iframes[i].contentWindow === event.source) { iframes[i].height = parsed.height; } iframes[i].style.opacity = 1; } } } catch (error) { } } var BingeIframeRan = true; } En 2016 EE.UU. y la Uni\u00f3n Europea firmaron un acuerdo para garantizar la protecci\u00f3n de datos de usuarios europeos al otro lado del Atl\u00e1ntico; lo que se conoci\u00f3 como Privacy Shield hoy en d\u00eda sigue vigente aunque en un plano mucho m\u00e1s secundario desde la entrada en vigor del RGPD. En esta entrada vamos a ver qu\u00e9 es el Privacy Shield exactamente y c\u00f3mo sigue funcionando hoy en d\u00eda.\u00bfQu\u00e9 es Privacy Shield?El acuerdoEU-US Privacy Shield vs Safe HarborPrivacy Shield vs GDPRLas consecuencias de las resoluciones de Privacy Shield para los usuarios\u00bfCu\u00e1ntas empresas estadounidenses est\u00e1n certificadas con EU-US Privacy Shield, hasta ahora?Opiniones sobre Privacy ShieldEntradas relacionadas\u00bfQu\u00e9 es Privacy Shield?El Privacy Shield, tambi\u00e9n conocido como Escudo de la privacidad UE-EEUU o EU-US Privacy Shield, es un acuerdo firmado en 2016 entre EE.UU. y la Uni\u00f3n Europea como marco para la protecci\u00f3n de datos, que sustituye al antiguo marco de Puerto Seguro (o Safe Harbor), que hab\u00eda estado vigente hasta 2015.El objetivo del Escudo de Privacidad es el cumplimiento de la normativa europea en materia de protecci\u00f3n de la privacidad de los ciudadanos en los intercambios de datos con EE.UU. Es decir, su principal funci\u00f3n es garantizar que las empresas norteamericanas que recolectan datos de usuarios europeos cumplen con la normativa europea de protecci\u00f3n de datos.El acuerdoMediante el acuerdo de Privacy Shield, el Gobierno estadounidense se compromet\u00eda a cumplir con ciertos est\u00e1ndares para equiparar el nivel de protecci\u00f3n de datos personales de los ciudadanos europeos almacenados en EE.UU. con los est\u00e1ndares europeos en esta materia. As\u00ed, empresas como Facebook, Amazon, Google o Dropbox quedaban autorizadas para recopilar, trata y almacenar datos de sus usurarios europeos, por ejemplo.Para garantizar el cumplimiento de dichos est\u00e1ndares, en 2016 se creaba en EE.UU. la figura de un Defensor del Pueblo que funcionaba y funciona como un mecanismo de mediaci\u00f3n dentro del Departamento de Estado pero independiente de las agencias de seguridad nacionales, al que los ciudadanos europeos podr\u00edan dirigirse en el caso de denuncias o consultar en materia de protecci\u00f3n de datos. Este Defensor del Pueblo se ocupar\u00eda de las peticiones de particulares, realizando un seguimiento de sus consultas e informando de si se producen o no infracciones de la legalidad.Aparte de esta figura, los ciudadanos europeos contar\u00edan con otros recursos legales. Por un lado, en caso de disputa, las empresas implicadas tendr\u00edan un plazo de 45 d\u00edas para responder ante la causa presentada. En ese sentido, las partes contar\u00edan con un sistema extrajudicial gratuito de resoluci\u00f3n de conflictos, as\u00ed como otros procesos de arbitraje, as\u00ed como la posibilidad de dirigirse a sus respectivos organismo nacionales de protecci\u00f3n de datos, en Espa\u00f1a la AEPD (Agencia Espa\u00f1ola de Protecci\u00f3n de Datos), que se encargar\u00edan de impulsar una investigaci\u00f3n de las causas no resueltas en colaboraci\u00f3n con la Comisi\u00f3n Federal de Comercio (FTC) norteamericana.As\u00ed mismo, el acuerdo tambi\u00e9n recoge el compromiso del Gobierno de EE.UU. de llevar un seguimiento anual del funcionamiento del Privacy Shield y del acceso de los datos por parte de las agencias de seguridad. Dicho seguimiento se llevar\u00eda a cabo en conjunto por la Comisi\u00f3n Europea y el Departamento de Comercio de los EE.UU., junto a expertos nacionales.El acuerdo tambi\u00e9n establece 6 \u00e1mbitos en los que se permite la vigilancia masiva y la recolecci\u00f3n de datos de forma legal:Lucha contra el terrorismoRevelaci\u00f3n de actividades de potencias extranjerasLucha contra la distribuci\u00f3n de armas de destrucci\u00f3n masivaCiberseguridadProtecci\u00f3n de las fuerzas armadas estadounidenses y aliadasLucha contra amenazas criminales trasnacionalesFinalmente, las empresas de EE.UU. podr\u00edan suscribirse a la normativa de Privacy Shield comprometi\u00e9ndose con sus principios a trav\u00e9s de una autocertficaci\u00f3n.EU-US Privacy Shield vs Safe HarborComo hemos indicado, EU-US Privacy Shield vino a sustituir a Safe Harbor, pues que este acuerdo que permit\u00eda la transferencia de datos personales a EE.UU. fue anulado por el Tribunal de Justicia de la UE en 2015. El Escudo de Privacidad incorporaba nuevas obligaciones para las empresas y limitada el acceso a los datos a las autoridades estadounidenses. Es decir, la Privacy Shield es m\u00e1s exigente en materia de protecci\u00f3n de datos que Safe Harbor, imponiendo m\u00e1s exigencias a las empresas receptoras en el intercambio de datos internacionales de datos personales.Privacy Shield vs GDPRAunque el Privacy Shield tiene como objetivo equiparar los est\u00e1ndares europeos en materia de protecci\u00f3n de datos, cuando se pone frente al RPDG quedan en evidencia las carencias del primero y que el Parlamento Europeo ha denunciado en diferentes ocasiones, exigiendo al EE.UU. la subsanaci\u00f3n de las mismas. Entre esas carencias, se encontraban cuestiones:Institucionales: El Consejo de Supervisi\u00f3n de la Privacidad y de las Libertades Civiles carec\u00eda de miembros suficientes y de presidente. Y la figura del Defensor del Pueblo no era independiente ni ten\u00eda los suficientes recursos y poderes para poder atender los recursos procedentes de la UE.Comerciales: Las v\u00edas para presentar recursos eran muy complejas.El Departamento de Comercio no realizaba un control efectivo sobre el cumplimiento que hac\u00edan las empresas de las normas y requisitos del Privacy Shield.Los principios del acuerdo no siguen el modelo de tratamiento de la UE, que est\u00e1 basado en el consentimiento expreso.Aplicaci\u00f3n de la ley: La Comisi\u00f3n Europea no estaba siendo informada desde EE.UU. sobre las diferentes normas que afectaban al tratamiento de datos de ciudadanos, viendo una falta de compromisos jur\u00eddicos vinculantes que garantizasen que la recogida de datos no fuera indiscriminada y libre.Aunque EE.UU. no cumpli\u00f3 con el primer plazo exigido por la UE para subsanar estas carencias (fijado para el 25 de mayo de 2018), s\u00ed que ha llevado a cabo una serie de mejoras en estos \u00e1mbitos, que le valieron que en octubre de 2019 la Comisi\u00f3n Europea volviera a validar el Privacy Shield como marco legal para la transferencia de datos internacionales entre Europa y EE.UU.Entre esas mejoras destaca el nombramiento de los principales \u00f3rganos de supervisi\u00f3n y recurso, como el Defensor del Pueblo, y la supervisi\u00f3n sistem\u00e1tica mediante controles mensuales a las empresas autocertificadas en el Privacy Shield. A\u00fan as\u00ed, el Privacy Shield queda lejos de las exigencias que el RGPD, y la LOPD en Espa\u00f1a, contemplan para las empresas europeas.Las consecuencias de las resoluciones de Privacy Shield para los usuariosActualmente, y como hemos se\u00f1alado al comienzo de esta entrada, el Privacy Shield, aunque a\u00fan tiene vigencia, queda en un segundo plano frente al RGPD, puesto que las garant\u00edas del reglamento europeo son mayores y m\u00e1s exigentes en materia de protecci\u00f3n de datos personales y especialmente en su transferencia internacional.Las consecuencias de esto es que aquellas empresas en suelo europeo que compartan datos con empresas estadounideneses, a\u00fan cuando est\u00e9n autocertificadas en el Privacy Shield, deben cumplir con el RGPD para asegurarse de que no cometen ning\u00fan tipo de infracci\u00f3n que pueda derivar en una sanci\u00f3n. Y es que la autocertificaci\u00f3n es uno de los puntos a\u00fan conflictivos y que suscitan dudas por las pocas garant\u00edas legales que ofrece en la pr\u00e1ctica.A\u00fan as\u00ed, dada la necesidades de compartir informaci\u00f3n y, en ocasiones datos personales, por parte de las empresas para poder seguir operando a nivel global, cumplir tanto con la normativa del Privacy Shield y el RGPD es imprescindible para estar dentro de la legalidad.\u00bfCu\u00e1ntas empresas estadounidenses est\u00e1n certificadas con EU-US Privacy Shield, hasta ahora?Actualmente, hay autocertificadas 5362 empresas estadounidenses en la lista del Privacy Shield, que puede consultarse en su p\u00e1gina web y en ella encontramos no solo las empresas principales, sino tambi\u00e9n sus principales filiales, como por ejemplo Microsoft, con 14 de sus filiales adscritas al Escudo de Privacidad, Sony Interactive Entertainment, con 9 filiales, o Amazon, con 5 filiales.Opiniones sobre Privacy ShieldEn general, las opiniones que sigue suscitando el Privacy Shield es que se queda corto a la hora de proteger los datos de los ciudadanos europeos, especialmente porque EE.UU. no ha cumplido completamente con las exigencias del propio acuerdo, y que este no es muy distinto al Safe Harbor que ya tumb\u00f3 el Tribuna Europeo. Adem\u00e1s, deja fuera las medidas de vigilancia masiva, lo que viola el propio derecho europeo.A esto se suma el hecho de que aunque las empresas norteamericanas est\u00e9n autocertificadas en el Privacy Shield, esto no termina de garantizar el cumplimiento de la normativa protecci\u00f3n de datos europea, mucho m\u00e1s exigente en materias como el consentimiento expreso de los usuarios para el tratamiento de sus datos personales o la transferencia internacional de datos personales.Pese a la existencia del Privacy Shield y su \u00faltima validaci\u00f3n a finales de 2019, el intercambio y la protecci\u00f3n de datos con EE.UU. todav\u00eda sigue siendo un tema controvertido con un marco legal difuso, m\u00e1s exigente para las empresas europeas que para las estadounidenses.Entradas relacionadas\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\tLa justicia europea anula el ‘Privacy Shield’\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t"},{"@context":"http:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/#breadcrumbitem","name":"Ayuda Ley Protecci\u00f3n Datos"}},{"@type":"ListItem","position":2,"item":{"@id":"https:\/\/ayudaleyprotecciondatos.es\/2020\/07\/09\/privacy-shield\/#breadcrumbitem","name":"Privacy Shield: \u00bfqu\u00e9 es y qu\u00e9 significa para los usuarios?"}}]}]