Acuerdo entre Estados Unidos y Europa para transferencias internacionales de datos: Data Privacy Shield.

03 febrero 2016

Javier Fernández-Samaniego, Paula Fernández-Longoria

Las autoridades de la Unión Europea y de Estados Unidos han alcanzado un nuevo acuerdo para regular las transferencias internacionales de datos personales de ciudadanos europeos. Este acuerdo sustituye al antiguo marco denominado Safe Harbor o Puerto Seguro, que había sido declarado nulo por el Tribunal de Justicia de la Unión Europea en octubre de 2015. El marco pasará a denominarse EU-US Data Privacy Shield.

Estos son sus principales fundamentos:

  • Asunción de obligaciones: Las compañías que pretendan importar datos personales de Europa deberán comprometerse al cumplimiento de obligaciones que aseguren la protección de los derechos de los interesados en Estados Unidos bajo estándares equivalentes a los ofrecidos en la Unión Europea. Por ejemplo, se exigirá que las entidades importadoras que traten datos relativos a recursos humanos deban cumplir con las decisiones de las Autoridades europeas de protección de datos, y se restringirá la posibilidad de realizar transferencias sucesivas de datos personales.
  • Supervisión: Las compañías importadoras estarán supervisadas por el Departamento de Comercio y deberán publicar sus compromisos y responder por ellos ante la Federal Trade Comisión (La "Comisión de Comercio Federal" o FTC). La FTC se encargará de revisar de forma periódica que las entidades que participen en el Privacy Shield cumplen con los requisitos necesarios y se le asignarán funciones que incluyan la posible suspensión de las transferencias en caso de incumplimiento, así como la expulsión del sistema de entidades incumplidoras.
  • Transparencia y proporcionalidad: EE.UU. ha asegurado que el acceso a los datos de ciudadanos europeos por parte de autoridades públicas norteamericanas estará sujeto a limitaciones claras, garantías y sistemas se supervisión, atendiendo a principios de proporcionalidad y necesidad. Los ciudadanos afectados por la transferencia tendrán la posibilidad de reclamar a las compañías que traten sus datos personales, y éstas tendrán un plazo limitado para responder a las solicitudes de los interesados. Del mismo modo, las autoridades de protección de datos nacionales podrán dirigir reclamaciones al Departamento de Comercio.
  • Defensa de los interesados: Se pondrá a disposición de los interesados europeos, de forma gratuita, un sistema alternativo de resolución de conflictos que podría contar con la participación de la autoridad nacional de protección de datos del país del afectado y la FTC estadounidense. Por otro lado, en EE.UU. se creará una nueva figura, un ombudsman o Defensor dentro del Departamento de Estado, que tendrá la función de revisar aquellos asuntos que le presenten las autoridades nacionales de protección de datos y que se supone disfrutará de un alto grado de independencia.

Los siguientes pasos que se seguirán a este respecto pasan por la redacción de una "decisión de adecuación" a nivel europeo que regule en detalle este marco en las próximas semanas, que será sometido a la consideración del Grupo de Trabajo del Artículo 29 (grupo que aglutina a las autoridades nacionales de protección de datos), mientras que en Estados Unidos necesitarán aún varias semanas para formalizar los compromisos adquiridos y la creación del nuevo "ombudshman". La Agencia Española de Protección de Datos ha emitido una nota de prensa al respecto accesible a través de este enlace.

Para más información sobre el nuevo marco Privacy Shield o si requiere asistencia para regularizar sus transferencias internacionales a Estados Unidos, por favor, contacte con Javier Fernández-Samaniego o Paula Fernández-Longoria.

Contactos