ANULACION DEL SAFE HARBOR, CREACION DEL PRIVACY SHIELD

ANULACION DEL SAFE HARBOR, CREACION DEL PRIVACY SHIELD

1.- Primero debemos definir que es eso de Safe Harbor o Puerto Seguro.

El Safe Harbor es un acuerdo entre EEUU y la Unión Europea recogido en la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro publicado por su Departamento de Estado.

Con este acuerdo, empresas norteamericanas como Google, Facebook o Dropbox podían recoger o recopilar datos de ciudadanos europeos, mediante una transferencia internacional de datos entre Europa y EEUU, siempre que estuvieran adheridos a los principios recogidos en el Safe Harbor. Al fin y al cabo es un mecanismo de autorregulación, ya que las empresas estadounidenses se adherían voluntariamente comprometiéndose a cumplir con los principios de protección de datos recogidos en la Decisión de la Comisión antes mencionada.

2.- ¿Qué es un transferencia internacional de datos?

Las transferencias internacionales de datos, se encuentran reguladas en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, así como en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre.

Una transferencia internacional de datos: es un tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien constituya una cesión o comunicación de datos, bien tenga por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español (art. 5.1.s) RLOPD).

El exportador de datos: es la persona física o jurídica, pública o privada, u órgano administrativo situado en territorio español que realiza una transferencia de datos de carácter personal a un país tercero (art. 5.1.j) RLOPD).

El importador de datos: es la persona física o jurídica, pública o privada, u órgano administrativo receptor de los datos, en caso de transferencia internacional de los mismos a un tercer país, ya sea responsable del tratamiento, encargado del tratamiento o tercero. (art. 5.1.ñ) RLOPD).

3.- Requisitos para la transferencias internacionales de datos:

Será necesaria la Autorización previa de la Directora de la Agencia Española de Protección de Datos, salvo que se ampare en alguno de los supuestos de excepción previstos en el artículo 34 de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un nivel adecuado de protección, supuestos en los que en todo caso se deberán notificar las transferencias internacionales de datos al Registro General de Protección de Datos para su inscripción.

Así como los correspondientes la firma de los contratos con las cláusulas de protección de datos de la AEPD, entre importador y exportador.

Y por último requiere la inscripción del fichero dónde se traten los datos en el Registro de la AEPD.

4.- Anulación del Safe Harbor.

El 9 de octubre de 2015, el Tribunal de Justicia de la Unión Europea anula la regulación del Safe Harbor porque entiende que prevalece en la Decisión de la Comisión 2000/520/CE, la seguridad nacional, el interés público o el cumplimiento de la ley sobre una adecuada protección de los datos de los ciudadanos europeos.

5.- Problema con las empresas, pymes o bloggers que usan o tienen una Newsletter.

Mailchimp es uno de los principales proveedores de email marketing, con el que puedes enviar cientos de miles de emails a tus suscriptores, pero que recientemente ha salido a la palestra por intentar solucionar el problema de la anulación del Safe Harbor.

Mailchimp por su parte ha propuesto como solución, la elaboración y actualización de un contrato con un contenido similar de protección de datos, para intentar salvar esta situación, pero la AEPD ha rechazado las solicitudes de los usuarios porque:

1. El texto contractual ofrecido por Mailchimp viene redactado en inglés, de modo que podría llegar a afectar a la validez de contrato ya que los usuarios no podrían llegar a prestar un consentimiento válido ya que no está redactado en un idioma oficial de España.
2. Así mismo en el contrato ofrecido por Mailchimp no se acredita la firma por parte del representante de la mercantil, por lo que no se entiende un consentimiento prestado válidamente por Mailchimp.

6.- Llega le Privacy Shield.

El 2 de febrero se firmó el acuerdo entre EEUU y EU para poder reanudar las transferencia internacionales de datos cumpliendo con la normativa de protección de datos.

El nuevo acuerdo, llamado Privacy Shield, incluirá los siguientes elementos, según la nota de prensa (http://europa.eu/rapid/press-release_IP-16-216_en.htm):

• Fuertes obligaciones a las empresas de tratamiento de datos personales de los europeos y la aplicación robusta: las empresas estadounidenses que deseen importar los datos personales de Europa tendrán que comprometerse a obligaciones fiables sobre la cantidad de datos personales se procesan y se garanticen los derechos individuales. El Departamento de Comercio vigilará que las empresas publican sus compromisos, lo que los hace cumplir bajo las leyes de Estados Unidos por los EE.UU.. Comisión Federal de Comercio. Además, cualquier empresa de manejo de datos de recursos humanos de Europa tiene que comprometerse a cumplir con las decisiones de las autoridades de control europeas.

• Garantías claras y las obligaciones de transparencia en el acceso gobierno de Estados Unidos: Por primera vez, los EE.UU. ha dado garantías por escrito de la UE que el acceso de las autoridades públicas para la aplicación de la ley y la seguridad nacional será siempre que estén claramente limitaciones, garantías y mecanismos de supervisión. Estas excepciones deben ser utilizados sólo en la medida necesaria y proporcionada. Los EE.UU. ha descartado la vigilancia masiva indiscriminada de los datos personales transferidos a los EE.UU. en virtud de la nueva disposición. Para vigilar periódicamente el funcionamiento de la disposición habrá una revisión conjunta anual, que incluirá también la cuestión del acceso de seguridad nacional. La Comisión Europea y el Departamento de Comercio de Estados Unidos llevará a cabo la revisión y invitar a expertos nacionales de inteligencia de las autoridades de protección de datos de Estados Unidos y Europa a la misma.

• La protección efectiva de los derechos de los ciudadanos de la UE con varias posibilidades de recurso: Cualquier ciudadano que considere que sus datos han sido mal utilizada en virtud de la nueva disposición tendrá varias posibilidades de reparación. Las empresas tienen plazos para responder a las quejas. DPA europeas pueden derivar las quejas al Departamento de Comercio y la Comisión Federal de Comercio. Además, la resolución alternativa de conflictos será gratuita. Para quejas sobre la posible acceso de las autoridades nacionales de inteligencia, se creará un nuevo Defensor.