ANULACION DEL SAFE HARBOR, CREACION DEL PRIVACY SHIELD

ANULACION DEL SAFE HARBOR, CREACION DEL PRIVACY SHIELD

1.- Primero debemos definir que es eso de Safe Harbor o Puerto Seguro.

El Safe Harbor es un acuerdo entre EEUU y la Unión Europea recogido en la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado.

Con este acuerdo, empresas norteamericanas como Google, Facebook o Dropbox podían recoger o recopilar datos de ciudadanos europeos, mediante una transferencia internacional de datos entre Europa y EEUU, siempre que estuvieran adheridos a los principios recogidos en el Safe Harbor. Al fin y al cabo es un mecanismo de autorregulación, ya que las empresas estadounidenses se adherían voluntariamente comprometiéndose a cumplir con los principios de protección de datos recogidos en la Decisión de la Comisión antes mencionada.

2.- ¿Qué es un transferencia internacional de datos?

Las transferencias internacionales de datos, se encuentran reguladas en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, así como en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Una transferencia internacional de datos: es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (art. 5.1.s) RLOPD).

El exportador de datos: es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero (art. 5.1.j) RLOPD).

El importador de datos: es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.ñ) RLOPD).

3.- Requisitos para la transferencias internacionales de datos:

Será necesaria la Autorización previa de la Directora de la Agencia Española de Protección de Datos, salvo que se ampare en alguno de los supuestos de excepción previstos en el artículo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección, supuestos en los que en todo caso se deberán notificar las transferencias internacionales de datos al Registro General de Protección de Datos para su inscripción.

Así como los correspondientes la firma de los contratos con las cláusulas de protección de datos de la AEPD, entre importador y exportador.

Y por último requiere la inscripción del fichero dónde se traten los datos en el Registro de la AEPD.

4.- Anulación del Safe Harbor.

El 9 de octubre de 2015, el Tribunal de Justicia de la Unión Europea anula la regulación del Safe Harbor porque entiende que prevalece en la Decisión de la Comisión 2000/520/CE, la seguridad nacional, el interés público o el cumplimiento de la ley sobre una adecuada protección de los datos de los ciudadanos europeos.

5.- Problema con las empresas, pymes o bloggers que usan o tienen una Newsletter.

Mailchimp es uno de los principales proveedores de email marketing, con el que puedes enviar cientos de miles de emails a tus suscriptores, pero que recientemente ha salido a la palestra por intentar solucionar el problema de la anulación del Safe Harbor.

Mailchimp por su parte ha propuesto como solución, la elaboración y actualización de un contrato con un contenido similar de protección de datos, para intentar salvar esta situación, pero la AEPD ha rechazado las solicitudes de los usuarios porque:

1. El texto contractual ofrecido por Mailchimp viene redactado en inglés, de modo que podría llegar a afectar a la validez de contrato ya que los usuarios no podrían llegar a prestar un consentimiento válido ya que no está redactado en un idioma oficial de España.
2. Así mismo en el contrato ofrecido por Mailchimp no se acredita la firma por parte del representante de la mercantil, por lo que no se entiende un consentimiento prestado válidamente por Mailchimp.

6.- Llega le Privacy Shield.

El 2 de febrero se firmó el acuerdo entre EEUU y EU para poder reanudar las transferencia internacionales de datos cumpliendo con la normativa de protección de datos.

El nuevo acuerdo, llamado Privacy Shield, incluirá los siguientes elementos, según la nota de prensa (http://europa.eu/rapid/press-release_IP-16-216_en.htm):

• Fuertes obligaciones a las empresas de tratamiento de datos personales de los europeos y la aplicación robusta: las empresas estadounidenses que deseen importar los datos personales de Europa tendrán que comprometerse a obligaciones fiables sobre la cantidad de datos personales se procesan y se garanticen los derechos individuales. El Departamento de Comercio vigilará que las empresas publican sus compromisos, lo que los hace cumplir bajo las leyes de Estados Unidos por los EE.UU.. Comisión Federal de Comercio. Además, cualquier empresa de manejo de datos de recursos humanos de Europa tiene que comprometerse a cumplir con las decisiones de las autoridades de control europeas.

• Garantías claras y las obligaciones de transparencia en el acceso gobierno de Estados Unidos: Por primera vez, los EE.UU. ha dado garantías por escrito de la UE que el acceso de las autoridades públicas para la aplicación de la ley y la seguridad nacional será siempre que estén claramente limitaciones, garantías y mecanismos de supervisión. Estas excepciones deben ser utilizados sólo en la medida necesaria y proporcionada. Los EE.UU. ha descartado la vigilancia masiva indiscriminada de los datos personales transferidos a los EE.UU. en virtud de la nueva disposición. Para vigilar periódicamente el funcionamiento de la disposición habrá una revisión conjunta anual, que incluirá también la cuestión del acceso de seguridad nacional. La Comisión Europea y el Departamento de Comercio de Estados Unidos llevará a cabo la revisión y invitar a expertos nacionales de inteligencia de las autoridades de protección de datos de Estados Unidos y Europa a la misma.

• La protección efectiva de los derechos de los ciudadanos de la UE con varias posibilidades de recurso: Cualquier ciudadano que considere que sus datos han sido mal utilizada en virtud de la nueva disposición tendrá varias posibilidades de reparación. Las empresas tienen plazos para responder a las quejas. DPA europeas pueden derivar las quejas al Departamento de Comercio y la Comisión Federal de Comercio. Además, la resolución alternativa de conflictos será gratuita. Para quejas sobre la posible acceso de las autoridades nacionales de inteligencia, se creará un nuevo Defensor.

Calidad de los datos en la privacidad

Por RoRo (Trabajo propio) [CC0] Wikimedia Commons

El otro día fui a visitar un piso y el empleado de la inmobiliaria, antes de entrar a ver el piso, me dijo que le dijera unos datos para rellenar un informe sobre la visita que iba a realizar al piso en cuestión. Le di mi nombre completo, dirección y teléfono, pero al pedirme mi DNI me quedé dubitativo y empecé a pensar si ese dato era pertinente o no, si era excesivo que tuviera mi DNI una inmobiliaria por el mero hecho de ir a visitar un piso, en resumidas cuentas pensé si era adecuado que pidiera una inmobiliaria mi DNI para ver un piso.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, nos indica claramente en su art. 4 lo siguiente:

Artículo 4. Calidad de los datos.

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Visto cómo la propia ley lo indica bastante claro en el anterior artículo, procedí a indicarle al agente inmobiliario que no iba a facilitarme mi número de DNI. Ante esto, el hombre se quedó asombrado de ello, ya que yo le dije que no me parecía que fuera necesario dar mi DNI para realizar una visita a una vivienda. El agente inmobiliario me indicaba que no pasaba nada, que es algo habitual, cosa que a mi me parece excesiva puesto que ya le firmo una hoja de visita con mis datos de contacto.

La regulación de estos principios viene recogida, tanto en el ya mencionado Art. 4 de la LOPD, como en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en el art. 8.

Artículo 8. Calidad de los datos RD 1720/2007.

2. Los datos de carácter personal sólo podrán ser recogidos para el cumplimiento de finalidades determinadas, explícitas y legítimas del responsable del tratamiento.

Así pues estamos viendo cómo los datos solamente se podrán obtener o recoger del interesado para el cumplimiento de finalidades determinadas, explícitas y legítimas por parte del responsable del tratamiento, en este caso la inmobiliaria.

¿Podemos entender por finalidad determinada, explícita y legítima de la inmobiliaria, enseñar un piso? Pues a mi modo de ver no, ya que estoy de acuerdo en la obtención de determinados datos de contacto por parte de la inmobiliaria, pero me parece excesiva la obtención del DNI, si tan solamente quieres visitar un piso.

Supongo que pedir este dato, será para que la inmobiliaria pueda controlar la venta o alquiler de ese piso y que no pierdan esa opción de negocio por un tercero que quiera saltarse ese negocio de la inmobiliaria. Si esto es así, la finalidad que persiguen solicitando el DNI sigue sin ser explícita, ya que no me lo indicaron así.

Así pues podemos ver cómo en la siguiente web de la Agencia Española de Protección de Datos refleja los principios relativos a la Calidad de datos (artículos 4 LOPD y 8 RLOPD).

• Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
• Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.
• Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.
• Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16 (derechos de rectificación y cancelación).
• Cuando los datos hubieran sido comunicados previamente, el responsable del fichero o tratamiento deberá notificar al cesionario, en el plazo de diez días, la rectificación o cancelación efectuada, siempre que el cesionario sea conocido. En el plazo de diez días desde la recepción de la notificación, el cesionario que mantuviera el tratamiento de los datos, deberá proceder a la rectificación y cancelación notificada.
• Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un período superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.
• También podrán conservarse los datos durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de la una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido este período los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo prevista en la LOPD y en su reglamento de desarrollo.
• Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
• Se prohíbe la recogida de datos por medios fraudulentos, desleales o ilícitos.'