Tras haber invalidado el Tribunal de Justicia de la Unión Europea el 6 de octubre de 2015 los acuerdos del Safe Harbor por considerar que los Estados Unidos no garantizaban una correcta protección de los datos personales de los usuarios
europeos, la Comisión Europea y los Estados Unidos han llegado a un nuevo acuerdo al que han denominado Privacy Shield (“Escudo de Privacidad”).
En virtud de este acuerdo, la Comisión Europea y los Estados Unidos establecen un nuevo marco de protección legal para la realización de las transferencias internacionales de los datos personales de los ciudadanos de la Unión Europea. Desde Letslaw explican en este artículo los pormenores de esta medida.
Al contrario que los acuerdos de Safe Harbor, el Privacy Shield implica una serie de obligaciones más estrictas que deberán ser cumplidas por las empresas estadounidenses, así como una mayor vigilancia por parte del Departamento de Comercio y Comisión Federal de Comercio (FTC) de los Estados Unidos, lo que conllevará también mayor cooperación con las autoridades Europeas de Protección de Datos.
En concreto, en el Privacy Shield se han recogido las siguientes cuestiones:
(I) Las compañías establecidas en los Estados Unidos deberán cumplir con estrictas obligaciones en relación con el tratamiento de los datos personales de ciudadanos europeos. En este sentido, se prevé que el Departamento de Comercio de los Estados Unidos controle que las compañías estadounidenses informen sobre el tratamiento que están
realizando sobre los datos personales de los ciudadanos europeos y sobre las garantías que adoptan para la correcta protección de los derechos de dichos ciudadanos. El incumplimiento de esta obligación será sancionable por la Comisión Federal de Comercio.
Asimismo, se establece que las compañías que realicen transferencias internacionales de datos desde la Unión Europea deberán comprometerse a cumplir con las decisiones adoptadas por las autoridades Europeas de Protección de Datos.
(II) El acceso por parte de las autoridades estadounidenses a los datos personales transferidos desde la Unión Europea estará sujeto a limitaciones, garantías y mecanismos de supervisión. Los Estados Unidos han dado garantías vinculantes a la Unión Europea de que las autoridades americanas accederán a los datos personales de los ciudadanos
europeos en ocasiones justificadas de seguridad nacional. Asimismo, han asegurado que este acceso se realizará solo en la medida necesaria y de forma proporcionada.
Con el fin de comprobar que estos compromisos se cumplen por parte de Estados Unidos, se prevé la convocatoria de una reunión anual para el seguimiento del acuerdo Privacy Shield. Para ello, la Comisión y el Departamento de Comercio de los Estados Unidos, invitará a dicha reunión a los expertos en seguridad nacional de los Estados Unidos y a las autoridades Europeas de Protección de Datos.
(III) Los ciudadanos europeos que consideren que sus datos personales han sido objeto de un uso incorrecto conforme al contenido de este acuerdo, podrán acudir a sistemas alternativos y gratuitos de resolución de conflictos.
En caso de que un ciudadano europeo reclame el uso incorrecto de sus datos personales, la compañía objeto de la reclamación tendrá obligación de responder a la misma en un plazo establecido.
Asimismo, se le facilitará a los ciudadanos europeos la posibilidad de formular consultas o reclamaciones a este respecto a través de la figura de un nuevo Defensor del ciudadano en esta materia. De momento, el acuerdo de Privacy Shield no es vinculante, puesto que aún la Comisión Europea debe poner en conocimiento al Grupo de Trabajo del Artículo 29 toda la información necesaria sobre las cuestiones que en este acuerdo se contemplan. En concreto, la Comisión tiene hasta finales del mes de febrero para remitirle al Grupo de Trabajo del Artículo 29 toda la documentación en relación con el acuerdo de Privacy Shield.
