ANULACION DEL
SAFE HARBOR, CREACION DEL PRIVACY SHIELD
1.- Primero debemos definir que
es eso de Safe Harbor o Puerto Seguro.
El Safe Harbor es un acuerdo
entre EEUU y la Unión Europea recogido en la Decisión de la Comisión 2000/520/CE que establece el nivel adecuado de protección de
las garantías para las transferencias internacionales de datos a EEUU ofrecidas
por el acuerdo de Puerto Seguro publicado por su Departamento de Estado.
2.- ¿Qué es un transferencia internacional
de datos?
Las transferencias
internacionales de datos, se encuentran reguladas en los artículos 33 y 34 de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter
personal, así como en el Título VI del Reglamento de desarrollo de la Ley
Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto
1720/2007, de 21 de diciembre.
Una transferencia internacional
de datos: es un tratamiento de datos que supone una transmisión de los mismos
fuera del territorio del Espacio Económico Europeo, bien constituya una cesión
o comunicación de datos, bien tenga por objeto la realización de un tratamiento
de datos por cuenta del responsable del fichero establecido en territorio
español (art. 5.1.s) RLOPD).
El exportador de datos: es la
persona física o jurídica, pública o privada, u órgano administrativo situado
en territorio español que realiza una transferencia de datos de carácter
personal a un país tercero (art. 5.1.j) RLOPD).
El importador de datos: es la
persona física o jurídica, pública o privada, u órgano administrativo receptor
de los datos, en caso de transferencia internacional de los mismos a un tercer
país, ya sea responsable del tratamiento, encargado del tratamiento o tercero.
(art. 5.1.ñ) RLOPD).
3.- Requisitos para la
transferencias internacionales de datos:
Será necesaria la Autorización
previa de la Directora de la Agencia Española de Protección de Datos, salvo que
se ampare en alguno de los supuestos de excepción previstos en el artículo 34
de la LOPD o cuando el Estado en el que se encuentre el importador ofrezca un
nivel adecuado de protección, supuestos en los que en todo caso se deberán
notificar las transferencias internacionales de datos al Registro General de
Protección de Datos para su inscripción.
Así como los correspondientes la
firma de los contratos con las cláusulas de protección de datos de la AEPD,
entre importador y exportador.
Y por último requiere la
inscripción del fichero dónde se traten los datos en el Registro de la AEPD.
4.- Anulación del Safe Harbor.
El 9 de octubre de 2015, el
Tribunal de Justicia de la Unión Europea anula la regulación del Safe Harbor porque
entiende que prevalece en la Decisión de la Comisión 2000/520/CE, la seguridad nacional,
el interés público o el cumplimiento de la ley sobre una adecuada protección de
los datos de los ciudadanos europeos.
5.- Problema con las empresas,
pymes o bloggers que usan o tienen una Newsletter.
Mailchimp es uno de los principales
proveedores de email marketing, con el que puedes enviar cientos de miles de
emails a tus suscriptores, pero que recientemente ha salido a la palestra por
intentar solucionar el problema de la anulación del Safe Harbor.
Mailchimp por su parte ha
propuesto como solución, la elaboración y actualización de un contrato con un
contenido similar de protección de datos, para intentar salvar esta situación,
pero la AEPD ha rechazado las solicitudes de los usuarios porque:
- El texto contractual ofrecido por Mailchimp viene redactado en inglés, de modo que podría llegar a afectar a la validez de contrato ya que los usuarios no podrían llegar a prestar un consentimiento válido ya que no está redactado en un idioma oficial de España.
- Así mismo en el contrato ofrecido por Mailchimp no se acredita la firma por parte del representante de la mercantil, por lo que no se entiende un consentimiento prestado válidamente por Mailchimp.
6.- Llega le Privacy Shield.
El 2 de febrero se firmó el
acuerdo entre EEUU y EU para poder reanudar las transferencia internacionales
de datos cumpliendo con la normativa de protección de datos.
El nuevo acuerdo, llamado Privacy
Shield, incluirá los siguientes elementos, según la nota de prensa (http://europa.eu/rapid/press-release_IP-16-216_en.htm):
- Fuertes obligaciones a las empresas de
tratamiento de datos personales de los europeos y la aplicación robusta:
las empresas estadounidenses que deseen importar los datos personales de
Europa tendrán que comprometerse a obligaciones fiables sobre la cantidad
de datos personales se procesan y se garanticen los derechos individuales.
El Departamento de Comercio vigilará que las empresas publican sus
compromisos, lo que los hace cumplir bajo las leyes de Estados Unidos por
los EE.UU.. Comisión Federal de Comercio. Además, cualquier empresa de
manejo de datos de recursos humanos de Europa tiene que comprometerse a
cumplir con las decisiones de las autoridades de control europeas.
- Garantías claras y las obligaciones de
transparencia en el acceso gobierno de Estados Unidos: Por primera
vez, los EE.UU. ha dado garantías por escrito de la UE que el acceso de
las autoridades públicas para la aplicación de la ley y la seguridad
nacional será siempre que estén claramente limitaciones, garantías y
mecanismos de supervisión. Estas excepciones deben ser utilizados sólo en
la medida necesaria y proporcionada. Los EE.UU. ha descartado la vigilancia
masiva indiscriminada de los datos personales transferidos a los EE.UU. en
virtud de la nueva disposición. Para vigilar periódicamente el
funcionamiento de la disposición habrá una revisión conjunta anual, que
incluirá también la cuestión del acceso de seguridad nacional. La Comisión
Europea y el Departamento de Comercio de Estados Unidos llevará a cabo la
revisión y invitar a expertos nacionales de inteligencia de las
autoridades de protección de datos de Estados Unidos y Europa a la misma.
- La protección efectiva de los derechos de los
ciudadanos de la UE con varias posibilidades de recurso: Cualquier
ciudadano que considere que sus datos han sido mal utilizada en virtud de
la nueva disposición tendrá varias posibilidades de reparación. Las
empresas tienen plazos para responder a las quejas. DPA europeas pueden
derivar las quejas al Departamento de Comercio y la Comisión Federal de
Comercio. Además, la resolución alternativa de conflictos será gratuita. Para
quejas sobre la posible acceso de las autoridades nacionales de
inteligencia, se creará un nuevo Defensor.