Diferencias entre Privacy Shield y Safe Harbour
Privacy Shield fue un acuerdo para regular la transferencia de datos personales desde la Unión Europea a Estados Unidos. Este acuerdo apenas tuvo una vigencia de cuatro años (2016 a 2020). En su momento, sustituyó al Safe Harbour, un pacto con idéntico propósito entre la UE y EEUU, invalidado en octubre de 2015.
Pero, ¿eran diferentes estos dos instrumentos? ¿Por qué razón Safe Harbour y Privacy Shield fueron anulados por el Tribunal de Justicia de la Unión Europea? Ambas cuestiones las responderemos en las siguientes líneas.
Safe Harbour y Privacy Shield en contexto
La legislación sobre protección de datos de la UE no permite transferir datos de sus ciudadanos fuera de Europa. A menos que esta información sea enviada a una nación con políticas de privacidad comprobables y ajustadas a las condiciones de la regulación europea. En consecuencia, la Comisión Europea y el Departamento de Comercio de EE.UU. establecieron en el año 2000, el acuerdo Safe Harbor. Mediante el mismo, las empresas estadounidenses podían certificar personalmente su cumplimiento de los estándares europeos.
El “Puerto Seguro” regulaba la transferencia de datos sobre comportamientos de los usuarios durante su navegación en Internet. Es decir, transfería datos del historial de búsquedas, compras online y la interacción en redes sociales o el registro de sus datos en páginas web o aplicaciones móviles. Obviamente, estos datos son valiosos para organizaciones como Google, Amazon o Apple, entre otras. Pero para el ciudadano, esta información es de carácter sensible puesto que involucra su privacidad y sus movimientos en internet.
El TJUE pone fin el Safe Harbour
Sin mayores tropiezos, este primer acuerdo permitió el envío de datos de un lado al otro del Atlántico durante quince años. Hasta que el 6 de octubre de 2015, cuando el Tribunal de Justicia de la UE decide poner fin de forma irrevocable el Safe Harbour. ¿Qué ocurrió? Para ser breve, el TJUE falló ese día a favor de Maximillian Schrems, un estudiante austríaco que demandó a Facebook por vulnerar su privacidad. El demandante inició la denuncia al enterarse de las revelaciones que había hecho el polémico Edward Snowden a The Guardian en 2013. En ellas, probó que el Gobierno estadounidense, mediante su agencia de inteligencia NSA, vigilaba de forma sistemática y masiva las telecomunicaciones mundiales.
Para poder llevar a cabo la vigilancia, se empleó un programa de espionaje conocido como PRISM, con el que el gobierno estadounidense fue capaz de obtener todo tipo de datos. Entre otros, podía llegar a direcciones IP, correos electrónicos, fotos, vídeos, perfiles en redes sociales y transferencias de archivos. Peor aún, los documentos de Snowden sugerían que organizaciones como Microsoft, Facebook o Google estaban enterados del acceso del Gobierno de EE.UU. a sus servidores.
La breve historia de Privacy Shield
Una vez invalidado el Safe Harbour, el Departamento de Comercio estadounidense y la Comisión Europea comenzaron a trabajar en la redacción de un acuerdo mejor. De allí surgió Privacy Shield, un instrumento legal que incluía normas y medidas especiales en cuanto al tratamiento de datos, además era de obligatorio cumplimiento para las empresas estadounidenses. Estas compañías debían registrarse y someterse a los términos del pacto. Después de este trámite, el Departamento de Comercio les inspeccionaba para dar el visto bueno e incluirles en una base de datos de libre acceso.
El acuerdo de Privcy Shield entró en vigencia en 2016. Justo el mismo año que la UE aprobó el Reglamento General de Protección de Datos, que entró en vigor dos años después. Sin embargo, en julio de 2020, el TJUE dictó una nueva sentencia –conocida como Schrems II– que anuló el Privacy Shield. El organismo judicial justificó el fallo indicando que el “Escudo” no garantizaba la protección de datos de acuerdo con las disposiciones recogidas en el Reglamento General de Protección de Datos (RGPD). En el momento de su anulación, casi 5.400 compañías estaban registradas en la base de datos del acuerdo.
Las diferencias entre Privacy Shield y Safe Harbour
Algunos especialistas en protección de datos opinaban que no existían grandes diferencias entre Safe Harbour y Privacy Shield. En sí, ambos acuerdos tenían más interés en la metodología de las transferencias de datos que en el cambio de sus características.
Cuestión de principios
En primer lugar, los dos acuerdos tenían base en siete principios: notificación, elección, transferencias de datos a terceros, acceso, seguridad, integridad de los datos y aplicación. Solamente la diferencia residía en que el Escudo de Privacidad se enfocó más en los derechos individuales de los usuarios de la UE. En este caso, incluyó requisitos más rigurosos para las compañías estadounidenses y restricciones de acceso a los datos personales por parte del gobierno de EE.UU.
Transferencia a terceros, un logro notable de Privacy Shield
Por otra parte, Privacy Shield puso importante énfasis en la transferencia de datos a terceros. Su predecesor sólo establecía la obligación de las empresas de advertir y solicitar consentimiento a los usuarios antes de compartir sus datos personales con terceros. No obstante, podrían librarse de tal obligación si el tercero realizaba tareas en representación o por instrucciones de otra entidad.
Por el contrario, con el Escudo de Privacidad, las empresas que necesitasen compartir la información con terceros debían acatar el principio de limitación de finalidad. Además, debían asegurar que el tercero proporcionase el mismo estándar de protección impuesto por el acuerdo a las compañías originales. Por si fuera poco, las empresas estaban obligadas a suministrar copia de los puntos de su acuerdo de privacidad con el tercero al Departamento de Comercio. Sin el cumplimiento de estos requerimientos, la organización seguía siendo responsable del tratamiento indebido de la información según lo establecido por el acuerdo.
¿Más opciones para reclamar?
En la teoría, el Escudo de Privacidad ofrecía a los usuarios europeos diferentes opciones para presentar reclamaciones relacionadas con el tratamiento de sus datos. Incluso se mencionaba la figura de un “defensor del usuario” en EE.UU. independiente de los servicios de inteligencia. El mismo se encargaría de tramitar e investigar las demandas de particulares de la UE y de suministrar información sobre el cumplimiento del acuerdo en circunstancias específicas. También, en caso de que estos agotaran todos los recursos, podían solicitar un arbitraje vinculante. Aun así, el cargo de defensor del usuario estuvo vacante hasta 2018, lo que generó molestias en la UE.
Más responsabilidad
Igual que su predecesor, Privacy Shield impuso a las empresas que se retiraran del acuerdo mantener los datos captados con los mismos estándares de protección exigidos durante su pertenencia al acuerdo. Pero fue más allá al prolongar la responsabilidad de estás organizaciones sobre la información obtenida aún después de retirarse. Asimismo, hizo obligatoria la gestión de registros sobre los programas de privacidad por parte de cada compañía para facilitárselo a los reguladores cuando lo solicitaran.
¿Cómo transferir datos a EE.UU. en la era post Privacy Shield?
A pesar de la invalidación del Privacy Shield, es factible que las organizaciones que precisen transferir o usar datos personales desde los Estados Unidos continúen haciéndolo. En función de ello, pueden acogerse a las cláusulas contractuales estándar (SCC) implementadas por la Comisión Europea. Dichas cláusulas están contenidas en decisiones de la CE: 2016/2297/UE (modificación de la 2010/87/UE) y la 2004/915/CE (modificación de la 2001/497/CE). De hecho, el artículo 46 del RGPD contempla este recurso ya que supone el cumplimiento de medidas para la protección de datos personales.
Del mismo modo, las compañías tienen la opción de apelar a las Normas Corporativas Vinculantes (BCR). Las multinacionales suelen emplear este mecanismo que les compromete a cumplir reglas para la transferencia de datos personales a nivel corporativo. A los efectos, el artículo 47 del RGPD determina lo necesario para recurrir a esta alternativa.
La calidad de datos es indispensable para su transferencia fuera de la UE
¿Tu empresa necesita transferir o gestionar datos de ciudadanos europeos fuera de la Unión Europea? Entonces, debes saber que el artículo 47 del RGPD establece, entre otros detalles, la obligación de especificar la calidad de los datos. Esto hace necesario contar con soluciones informáticas que te permitan localizar datos duplicados, así como unir los módulos de normalización y enriquecer dichos datos. En este sentido, MyDataQ, de Deyde, es la herramienta que necesitas para cumplir este requisito.
DEYDE es una empresa con 20 años de experiencia en el desarrollo de soluciones de calidad de datos para empresas de diversos sectores productivos. Empleamos para ello los recursos y parámetros más idóneos para garantizar su exactitud. ¡Ponte en contacto con nosotros!