Entra en vigor el “Escudo de la Privacidad”: más protección para las transferencias de datos personales desde la Unión Europea a los EEUU

El 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJUE) anuló la Decisión 2000/520/CE de la Comisión, sobre la adecuación de los principios de puerto seguro, conocido como “Acuerdo de Puerto Seguro” o “Safe Harbour Agreeement”. Hasta entonces, se consideraba que por el hecho de estar adheridas a dicho Acuerdo, las empresas estadounidenses que recibían datos personales desde Europa cumplían con un adecuado nivel de protección, equiparable al exigido por la normativa europea en materia de protección de datos personales. Ello permitía el libre flujo de datos a dichas empresas, requiriéndose tan solo el consentimiento del individuo cuyos datos se transferían.

Adecuado nivel de protección

El TJUE consideró que la Comisión no había comprobado si EEUU garantizaba que las empresas afectadas efectivamente otorgaran un nivel de protección sustancialmente equivalente al exigible en la Unión Europea, motivo por el cual declaró inválido dicho Acuerdo.

El Escudo de la Privacidad o “Privacy Shield”, adoptado por la Comisión de común acuerdo con los EEUU, sustituye al Acuerdo de Puerto Seguro, exigiendo unas más rigurosas obligaciones a las empresas estadounidenses, a fin de garantizar este adecuado nivel de protección para los datos personales transferidos a EEUU Para asegurar dicho cumplimiento, el Escudo de la Privacidad prevé diversas medidas.

Medidas para asegurar el cumplimiento

En primer lugar, el Departamento de Comercio de EEUU efectuará controles periódicos sobre las empresas estadounidenses que reciban datos personales y se hayan adherido al Escudo de la Privacidad, con el fin de garantizar que sigan las normas que ellas mismas han suscrito. Si no cumplen, podrán ser sancionadas e incluso retiradas de la lista.

En segundo lugar, el acceso a datos personales por la administración estadounidense estará sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros. Ya no habrá una vigilancia masiva indiscriminada de datos.

En tercer lugar, cualquier ciudadano europeo que considere que sus datos han sido utilizados indebidamente dispondrá de varias vías de reclamación: (i) directamente ante la propia empresa infractora; (ii) ante la autoridad nacional de protección de datos de su país (la cual colaborará con la Comisión Federal de Comercio para garantizar que dicha reclamación se investigue y resuelva); o (iii) a través de alguno de los mecanismos gratuitos de resolución alternativa de litigios al que se haya adherido la empresa infractora. Ésta deberá especificar en su política de privacidad cuál es el mecanismo elegido y ofrecer un enlace a la página web de dicho organismo.

Si la reclamación no se resuelve por ninguna de las anteriores vías, se prevé un mecanismo de arbitraje ante el llamado “Privacy Shield Panel”.