Protección de datos: ¿Adiós al Privacy Shield?

Primero fue el Safe Harbour. Y ahora podría ser el Privacy Shield el que tenga los días contados. ¿No te suenan estos nombres? Si manejas datos en tu empresa es más que conveniente que te suenen. Y te podemos asegurar que manejas datos en tu empresa, datos más o menos sensibles, más o menos protegidos, pero datos a fin de cuenta.

Hoy analizamos la propuesta de suspensión del Acuerdo de intercambio de datos entre la UE y los Estados Unidos.

Tanto el Safe Harbour como el Privacy Shield no son más que acuerdos entre la Unión Europea y EE.UU para poner una serie de normas a la transferencia de datos personales desde la U.E al país norteamericano. Su razón de ser es simple: la Unión Europea es mucho más proteccionista respecto a los datos de las personas y con estos acuerdos pretendía garantizar una mínima protección de datos a los ciudadanos de la U.E.

El Privacy Shield o Acuerdo de intercambio de datos UE-EE.UU. es un acuerdo entre los EE. UU. y la UE que permite a las empresas de los EE. UU. tener un nivel adecuado de protección de datos para transferir datos personales de la UE a los EE. UU.

Hace un par de años estalló la primera crisis que acabó con la suspensión del Safe Harbour y que afectó a muchas empresas.

El Escudo de privacidad UE – EE.UU. se constituyó en 2016 como el marco de protección entre ambos continentes establecido por el Tribunal de Justicia de la UE tras la abolición de Safe Harbor (2000-2016). ¿La razón? El alto Tribunal europeo consideró que el el Safe Harbour no era lo suficientemente estricto en materia de protección de datos para la ciudadanía de la UE. Es decir, no era lo bastante “seguro”.

Pero, ¿qué datos personales voy a traspasar yo desde mi empresa, más o menos pequeña o grande, a los Estados Unidos de América? La respuesta es más complicada de lo que pueda parecer. ¿Tu empresa hace publicidad en redes sociales como Facebook o Twitter? ¿Tenéis archivos o información en la nube de Google o Microsoft? Pues bien, estas empresas (y otras muchas empresas prestadoras de servicios tecnológicos) tienen sede en Estados Unidos. Y, más importante aún, tienen servidores en Estados Unidos. Así que es posible que determinados datos o información de tu empresa estén físicamente en un servidor de Estados Unidos. Y por eso se habla de traspase y de proteger los datos comunitarios que puedan llegar allí.

El Privacy Shield es utilizado por más de 3.300 organizaciones para autorizar transferencias de datos personales desde la Unión Europea a Estados Unidos. Sí, gigantes tecnológicos como los que hemos mencionado antes (Twitter, Facebook, Google, Amazon, Microsoft) forman parte de él.

Pero, a comienzos del pasado verano, el Parlamento Europeo han aprobado que se proceda a la suspensión del Privacy Shield, a menos que Estados Unidos cumpla con las normas de protección de datos de la UE. Los eurodiputados pondrían el foco en que no se está garantizando por parte de EEUU un nivel equiparable de protección de los datos para la ciudadanía de la UE.

En definitiva, la Unión Europea está exigiendo que se cumplan las condiciones del Privacy Shield. Y la idea sería mantener la suspensión hasta que las autoridades estadounidenses cumplan los términos del Acuerdo de intercambio de datos en todos sus términos.

Brechas de seguridad en protección de datos

Con la prensa en la mano, lo cierto es que no puede decirse que les falte razón a los eurodiputados. No hay más que ver todas las noticias relacionadas con la violación de los datos de Facebook-Cambridge Analytica.

Por ello, la U.E ha puesto de relieve la necesidad de un mejor control del acuerdo… Y es que ambas compañías (tanto Facebook como Cambridge Analytica) están incluidas como entidades que cumplen el Acuerdo de intercambio seguro de datos.

Se piden soluciones a EE.UU. por parte de los eurodiputados para que adopten las medidas necesarias a la mayor brevedad.

Una de las primeras medidas es, con carácter de urgencia, que las entidades involucradas en la comisión de alguna violación de seguridad dejen de figurar entre las empresas adheridas al Privacy Shield.

Por su parte, las autoridades de control de la UE deben proceder a realizar las correspondientes investigaciones en relación a tales brechas de seguridad y, en su caso, suspender o prohibir las transferencias de datos bajo el Escudo de privacidad.

Se está viendo cómo en algunos casos que se están sucediendo, el Estado de Derecho y los procesos democráticos pueden verse comprometidos por la manipulación incorrecta y poco transparente de los datos personales, suponiendo un riesgo de ser manipulados en momentos críticos para la toma de decisiones, en detrimento del interés general.

Preocupación por la nueva ley estadounidense

Los eurodiputados también están preocupados por la reciente adopción de la Acta de Aclaración del Uso Legal de Datos en el Extranjero (CLOUD Act), una ley estadounidense que otorga a la policía de EE. UU. Y el extranjero acceso a datos personales a través de las fronteras.

Señalan que la ley estadounidense podría tener serias implicaciones para la UE y podría entrar en conflicto con las leyes de protección de datos de la UE.

Habrá que prestar atención a los nuevos movimientos de los lobbies y el gobierno estadounidenses y a las decisiones que se adopten por parte de las autoridades de la UE.

Sin duda, un tema complejo y en constante evolución.

Si quieres cumplir la legalidad sin complicaciones, con confianza y de la mano de una compañía líder en gerencia de riesgos legales y derecho tecnológico, ponte en contacto con nosotros. Empezaremos por auditar la situación de partida para proponerte soluciones prácticas y 100% implementables para que cumplas la ley y evites sanciones y problemas de reputación.

Comparte este artículo:

Únete a la lista de correo para no perderte nada