¿Larga vida al “Escudo de Privacidad”?

El 6 de Octubre de 2015 conocíamos la sentencia del Tribunal de Justicia de la Unión Europea que declaraba inválida la Decisión de la Comisión de 26 de Julio de 2000 reguladora del programa “Puerto Seguro”; programa que servía de marco legal para la transferencia de datos desde la UE a EEUU con fines comerciales, para su posterior tratamiento en este último. (1)

El resultado anterior devino del asunto “Europe v. Facebook”, grupo encabezado por el austriaco Maximilian Schrems, y que inicia el procedimiento contra la filial de Facebook en Irlanda, precisamente por vulnerarse la normativa de protección de datos. (2)

Pues bien, como consecuencia de la invalidez de la Decisión, la Comisión Europea, en colaboración con el gobierno estadounidense, y tras dos años de negociación, ha establecido las nuevas bases de la transferencia de datos de la Unión Europea a EEUU a través de la Decisión de fecha 12 de Julio de 2016, pasando a denominarse “Escudo de Privacidad”. (3)

Esta nueva Decisión tiene como objetivo principal mejorar la protección de los datos personales transferidos desde la UE a EEUU. En líneas generales, el nuevo texto viene a establecer un sistema de autocertificación por parte de las empresas para acogerse al nuevo programa, por medio del cual van a tener que respetar unos principios mínimos de protección de los datos personales que manejen y que sean transferidos a EEUU. Desde el 1 de Agosto de 2016 se ha abierto el plazo para iniciar las solicitudes y presentar los programas de autocertificación ante el Departamento de Comercio de EEUU. Así, empresas como Amazon o Google ya forman parte del acuerdo. Las empresas deben cumplir una serie de requisitos de privacidad y protección de datos, y asumen, entre otras obligaciones, contestar a posibles reclamaciones por parte de ciudadanos que entiendan vulnerada su intimidad y datos personales.

Lo cierto es que esta nueva regulación era necesaria, y a pesar de avanzar en ciertos derechos, numerosos críticos entienden que esta sigue siendo insuficiente. El Grupo de Trabajo del Artículo 29 entiende que, si bien se establece el derecho de acceso a los datos por parte del ciudadano, no se establecen las garantías del Defensor (“ombudperson”) a la hora de poder controlar el uso que se da a los datos personales. Por otro lado, sigue existiendo la posibilidad de recopilar de manera masiva datos personales (supeditado a razones de interés general y seguridad nacional – espionaje dirigido), por lo que derechos de terceros pueden verse afectados de manera flagrante. Es por ello que en la Opinión 4/2016, el Grupo de Trabajo deja claro que estará al tanto de la efectiva aplicación del nuevo programa y será crítico en la revisión anual que tendrá lugar para evaluar el impacto que ha tenido la nueva hoja de ruta. (4)

El caso de Facebook

En la misma línea, el movimiento “Europe v. Facebook”, responsable en cierto sentido de que se haya acelerado y llevado a cabo la sustitución del programa “puerto seguro” por el “escudo de privacidad”, afirma que el nuevo programa no supone una verdadera protección de los datos personales. Tanto es así que, como consecuencia de la falta de adecuación del principal infractor (Facebook), la Comisión Irlandesa de Protección de Datos está trabajando para iniciar un nuevo procedimiento contra la compañía frente al Tribunal de Justicia de la Unión Europea.

Como hemos comentado anteriormente, existe un proceso de autocertificación para formar parte del programa, pero no es la única vía que se requiere para seguir transfiriendo datos a EEUU. Tanto es así que Facebook ha sustituído el programa de puerto seguro por un contrato modelo(5) entre Facebook Ireland Limited y Facebook Inc. En este sentido, sigue existiendo una vulneración a la protección de datos personales trasnferidos a EEUU, toda vez que los datos pueden seguir siendo viglados de forma masiva por las autoridades estadounidenses. Pero es más, la propia Comisión Europea establece cuáles deben ser los requisitos de los contratos modelo para la transferencia de datos personales a terceros países, siendo necesario respetar un procedimiento que, en ningún caso, ha sido observado por parte de la compañía Facebook.

El punto en que nos encontramos, y tratando de ser optimista, es favorable por cuanto que está habiendo presión por parte de los responsables europeos para que esta situación cambie. A pesar de que el nuevo programa pueda tener sus lagunas, hay voluntad de cambio y parece que hay avances de cara a la protección del consumidor y usuario. Por otro lado, es un hecho que en menos de un año se va a evaluar la nueva Decisión y podrá mejorarse la misma. En mi opinión, y dado el rápido avance de las nuevas tecnologías, debe trabajarse por exigir mayor transparencia a las empresas, puesto que en relación a este tema creo que lo más difícil es llegar a ser consciente uno mismo de que nuestros datos están siendo tratados y utilizados en países ajenos a la UE de acuerdo a las garantías establecidas por la normativa europea.

• http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117es.pdf
• https://www.abogacia.es/2015/06/08/el-programa-safe-harboren-el-asunto-europe-v-facebook/
• http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf
• https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-05-30_Privacy_Shield_EN.pdf
• http://www.europe-v-facebook.org/comp_fb_scc.pdf

                                                                                               Miguel Hidalgo Ortiz

Abogado en Arriaga Asociados

                                                                                              es.linkedin.com/pub/miguel-hidalgo-ortiz/83/21b/841

                                                                                              Twitter @MiguelHidort