Publicaciones

Garrigues

ELIGE TU PAÍS / ESCOLHA O SEU PAÍS / CHOOSE YOUR COUNTRY / WYBIERZ SWÓJ KRAJ / 选择您的国家

“Privacy Shield”: nuevo marco para la realización de transferencias internacionales de datos de la Unión Europea a los Estados Unidos

El pasado 6 de octubre de 2015 el Tribunal de Justicia de la Unión Europea (TJUE) declaró nulo el acuerdo conocido como “Safe Harbor”, en virtud del cual se podían realizar transferencias internacionales de datos desde la Unión Europea a los Estados Unidos. Los Estados Unidos están considerados por las autoridades europeas un país que no ofrece un nivel de protección adecuado para los datos de carácter personal. La decisión dejó a las sociedades cuyos datos se comparten con los Estados Unidos en un “limbo legal”, ya que no se permitían las transferencias a dicho territorio sobre la base del “Safe Harbor”, haciéndose necesario buscar otra base legal para realizar esas transferencias.

La Unión Europea y los Estados Unidos llevaban ya algún tiempo, incluso antes de la famosa sentencia del TJUE, negociando un marco para un “Safe Harbor 2”, que permitiera mejorar las condiciones de protección de la privacidad de los ciudadanos europeos cuando sus datos viajaban a los Estados Unidos, pero las conversaciones aún estaban lejos de vislumbrar un final.

Tras la sentencia del TJUE y de forma coordinada con el resto de reguladores europeos, la Agencia Española de Protección de Datos (AEPD) emitió en las últimas semanas diversos comunicados públicos y notificó directamente a las sociedades que realizaban transferencias internacionales a los Estados Unidos bajo “Safe Harbor” para que procediesen a regularizar su situación antes del pasado 29 de enero, plazo acordado de forma colegiada a nivel de la Unión Europea. Esa regularización pasaba por conseguir el consentimiento inequívoco de todos y cada uno de los titulares de los datos tratados por la compañía (con las dificultades que ello conlleva en las empresas que tratan datos de miles de usuarios), o bien obtener la autorización expresa de la AEPD, a través de un procedimiento largo y complejo, para el que la propia Ley Orgánica de Protección de Datos (LOPD) establece un plazo de resolución de tres meses.

Al tiempo que exigieron esa regularización a las empresas, las agencias europeas instaron a los representantes de la Unión Europea y los Estados Unidos a que finalizaran cuanto antes las negociaciones para un nuevo marco regulatorio de las transferencias internacionales de datos.

El lunes 1 de febrero, la Comisaria de Justicia Vera Jourová se dirigió al Parlamento Europeo para comunicar que no había acuerdo, pues restaban algunos flecos importantes en la negociación. Sin embargo, al día siguiente, el martes 2 de febrero de 2016, la Comisión Europea publicó una nota de prensa en la que comunicaba que, finalmente, las autoridades de la Unión Europea, representadas por la Comisión Europea, y el Departamento de Estado de los Estados Unidos, habían alcanzado un acuerdo marco para la transferencia transatlántica de datos. Otra nota similar ha sido publicada por el Departamento de Comercio de los Estados Unidos.

El acuerdo, denominado “EU-US Privacy Shield”, llega tan sólo dos días después de que todas las empresas que actuaban como responsables de datos en España y utilizaban Safe Harbor se viesen obligadas a regularizar su situación acudiendo a algunas de las vías alternativas existentes.

Apenas ha trascendido más que lo manifestado por la Comisión Europea en su nota de prensa, pero no cabe duda de que el nuevo esquema implicará que las empresas estadounidenses tendrán que adoptar medidas de seguridad que garanticen el correcto tratamiento de los datos personales que reciban de la Unión Europea y someterse a revisiones periódicas, y los ciudadanos podrán disponer de mecanismos de reclamación directos ante las eventuales vulneraciones de sus derechos que se puedan producir.

Esta noticia, si bien es alentadora para las empresas que realicen trasferencias internacionales de datos a los Estados Unidos –se espera que simplifique el procedimiento para la realización de transferencias internacionales a dicho territorio-, deja una situación transitoria poco definida, puesto que para la completa validez del acuerdo marco de transferencia aprobado el pasado 2 de febrero todavía tienen que adoptarse los correspondientes instrumentos jurídicos en los que se concrete el alcance de tal acuerdo. De momento, las autoridades regulatorias europeas, reunidas en el denominado Grupo de Trabajo del artículo 29, ya han manifestado que necesitan recibir más información sobre el acuerdo para poder pronunciarse y para poder verificar si lo pactado se ajusta a los principios establecidos por el TJUE en su sentencia de 6 de octubre de 2015.