En los últimos meses todos hemos hablado de las transferencias de datos entre la Unión Europea y Estados Unidos. La Sentencia del Tribunal de Justicia de 6 de octubre de 2015, ponía fin a un sistema, el de “puerto seguro” (safe harbor) que daba seguridad a las transferencias de datos entre los países de la Unión Europea y Estados Unidos. Es decir, si una empresa española decidía contratar una empresa de marketing de Estados Unidos y en esa relación existían intercambio de datos personales, la empresa española tenía que asegurarse de que la empresa americana estuviese sometida a dicho protocolo en el que básicamente se comprometen a respetar unas normas de privacidad similares a las europeas.
Ahora bien, tal seguridad no era tal y como estableció el TJUE, no existen garantías en dicho protocolo de que los datos de los ciudadanos europeos sean accesibles a las autoridades estadounidenses: aunque parezca el argumento propio de una película, el Tribunal decidió pronunciarse en este sentido y aquí nos encontramos todos sin saber qué hacer. O mejor dicho, sí sabíamos qué hacer: pedir autorización a las agencias nacionales, solicitar el consentimiento inequívoco a los afectados etc. En los últimos meses, la protección de datos en la UE ha quedado “patas arriba”. Todos confiábamos en una solución más o menos rápida ya que se anunció que ambas partes se ponían manos a la obra a buscar una solución consensuada y adecuada a la nueva situación y sobre todo en la línea del nuevo Reglamento y sus garantías.
¿Se ha solucionado el problema?
No. Pero se ha dado el primer paso: un acuerdo político de lo que será el nuevo escenario: el Escudo de Privacidad (Privacy Shield).
Los encargados de esta misión serán la comisaria europea Jourová y el Vicepresidente de la comisión para el mercado único digital Ansip.
Ese nuevo marco impondrá obligaciones más estrictas a las empresas de los Estados Unidos y obligará a un mayor nivel de seguimiento y de ejecución al Departamento de Comercio de los Estados Unidos y a la Comisión Federal de Comercio. El mecanismo incluye compromisos de Estados Unidos sobre los datos personales transferidos y la limitación de su acceso bajo unas condiciones y supervisión claras que impidan el acceso generalizado.
Incluso se contempla la figura de un “defensor del pueblo” específico para estas materias.
Próximos pasos
Tanto Ansip como Jourová van a preparar un proyecto de “decisión sobre el carácter adecuado de la protección” en las próximas semanas para que pueda ser adoptada por el Colegio de Comisarios previo dictamen del Grupo de Trabajo del Artículo 29 (órgano consultivo en materia de protección de datos) y previa consulta de un comité compuesto por representantes de los Estados miembros. Por su parte, EEUU realizará los preparativos necesarios para establecer el nuevo marco y las modalidades de seguimiento y nombrará al nuevo “ombudsman”.
Mientras tanto
Algunas autoridades nacionales de protección de datos han advertido sobre los riesgos de trabajar en estas condiciones sin haber solicitado la correspondiente autorización o sin haber adoptado los mecanismos legales oportunos en tanto se apruebe un nuevo marco de protección.
Al fin y al cabo se trata de la protección de derechos fundamentales y nuestras autoridades europeas se lo han tomado muy en serio.
Paz Martín
