El Derecho y las nuevas tecnologías son ámbitos que, en las sociedades modernas, se entrecruzan permanentemente. En este sentido, una consultoría de protección de datos supone una instancia particularmente apropiada para tratar asuntos de esta índole. En ocasiones, estos asuntos rebasan la incidencia nacional de la LOPD y LSSICE. Incluso, pueden llegar a quedar fuera del ámbito estrictamente comunitario. Un ejemplo de ellos remite a las transferencias internacionales de datos que se producen entre la Unión Europea y Estados Unidos.
Del Safe Harbor al Privacy Shield
Como cualquier lector informado puede imaginarse, las transferencias de datos entre la Unión Europea y Estados Unidos son numerosas y de gran relevancia. No solo entre particulares, sino también entre empresas o Estados. Obviamente, el intercambio de estos datos requerirá unas leyes que garanticen su protección, de la misma manera que ocurre a nivel estatal y comunitario.
Como sucede, por ejemplo, en algunos aspectos comerciales, se comprueba que la legislación estadounidense se revela como más laxa y menos garantista que la comunitaria. Por lo tanto, resulta normal que, en materia de homologaciones entre ambas, surjan controversias.
La sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 6 de octubre de 2015, respecto al caso Schrems, supuso la invalidación del antiguo marco vigente para la transferencia transatlántica de datos con fines comerciales. Dejaba de regir, por lo tanto, el anterior acuerdo de Safe Harbor (Puerto Seguro, en castellano), el cual habría de ser sustituido por otro nuevo marco que estipulara las bases de estos intercambios de información.
¿Qué es el Privacy Shield?
El 2 de febrero de 2016, una nota de prensa de la Comisión Europea anunciaba que se había alcanzado un nuevo pacto de regulación de estas transferencias de datos entre la Unión Europea y Estados Unidos.
Entraba en vigor, por lo tanto, la decisión de adecuación conocida como Privacy Shield, que, en castellano, significa Escudo de Privacidad. Su objetivo concuerda totalmente con el que tenía el Safe Harbour. No obstante, las autoridades europeas (en especial, el conocido como Grupo de Trabajo del artículo 29 -GT29-) perseguían una mayor protección de los datos.
Cabe reseñar, en este aspecto, tres directrices destinadas a garantizar la finalidad anteriormente citada:
– Fuertes obligaciones para las firmas que manejan y aplican datos personales de los ciudadanos europeos.
– Obligaciones rigurosas y salvaguardias relativas a la transparencia del acceso por parte de la Administración norteamericana.
– Protección reforzada, por la vía de los recursos, de los derechos de los ciudadanos comunitarios.
De todas maneras, más allá de estas definiciones, entre lo descriptivo y genérico, del Privacy Shield, resulta interesante acudir al dictamen del GT29, en calidad de autoridad europea de protección de datos, ya que sus conclusiones sirven para extraer el punto de vista comunitario sobre el acuerdo y desgranar sus características esenciales.
Un resumen de los aspectos más significativos del Privacy Shield
En primer lugar, hay que reseñar el valor de actualización que posee el nuevo acuerdo, ya que se adapta a las necesidades propias de un contexto internacional marcado por la creciente implantación del análisis masivo de datos o Big Data y el auge de problemáticas, como el terrorismo, de alcance global. En líneas generales, por tanto, se observa una mejoría, en comparación con el anterior marco denominado Safe Harbor.
No obstante, también se han realizado críticas a las complicaciones que experimentan los interesados a la hora de encontrar la información, así como a algunas incoherencias y la poca claridad del lenguaje utilizado.
Por lo que respecta a la posible reversión de los errores que se puedan localizar, hay que destacar que se ha establecido un procedimiento de revisión anual conjunta destinado al debate y a la corrección.
En materia comercial y de seguridad nacional
En las siguientes líneas, se señalan algunos de los problemas que el GT29 considera:
– No hay mención expresa del principio de retención de datos y no puede identificarse como equivalente el principio de integración de datos y limitación de la finalidad.
– No consta la protección ante las decisiones individuales automatizadas que se basan en exclusiva en los tratamientos automáticos.
– Las transferencias ulteriores a países terceros (fuera del acuerdo) deberían contar con unas medidas de protección homologables a las estipuladas entre la Unión Europea y Estados Unidos, también en el terreno de la seguridad nacional.
– A pesar de que se aumentan las posibilidades de recurso cuando se vulneren los derechos en materia de protección de datos, se critica que la complejidad del proceso puede desincentivar su aprovechamiento por parte de los ciudadanos.
– La inteligencia nacional estadounidense se reserva la posibilidad de recopilar masiva e indiscriminadamente datos de ciudadanos europeos.
– La creación de la figura de una especie de Defensor del Pueblo relacionado con la protección de datos personales puede quedar, en la práctica, menoscabada.
En definitiva, todas estas reflexiones ponen de manifiesto que se consiguen avances teóricos, pero falta ver la aplicación práctica de estos, sobre todo, por parte norteamericana.