Este martes la Comisión Europea ha aprobado el Escudo de Privacidad UE-EE.UU., que reemplaza a la Decisión de Puerto Seguro como marco regulador de las transferencias de datos personales con fines comerciales entre la Unión Europea y los Estados Unidos.

La decisión sobre la adecuación conferida por este nuevo marco regulador llega aproximadamente nueve meses después de que el Tribunal de Justicia de la Unión Europea declarase la nulidad de la Decisión de Puerto Seguro (ver entrada), y con ella se otorga una mayor protección a estas transferencias internacionales.

El Escudo de Privacidad se basa en un sistema de auto-certificación en virtud del cual las empresas estadounidenses que así lo deseen (ya sean responsables o encargados del tratamiento) podrán comprometerse al cumplimiento de los principios de protección de datos estipulados por el Departamento de Comercio de los Estados Unidos y que son equivalentes a los establecidos por la normativa europea. En el caso concreto de España, esto supone que las transferencias de datos a las empresas estadounidenses adheridas al sistema no requerirán, como regla general, la autorización de la Directora de la Agencia Española de Protección de Datos. La lista de las empresas adheridas al Escudo de Privacidad será pública.

Los principios en los que se basa el Escudo de Privacidad son los mismos que se reflejaron en el acuerdo inicial entre la Unión Europea y los Estados Unidos (ver entrada), si bien la Comisión ha procurado reforzarlos a la luz de las preocupaciones manifestadas por el Grupo de Trabajo del Artículo 29 (ver entrada), el Parlamento Europeo (ver entrada) y el Supervisor Europeo de Protección de Datos (ver entrada). Las críticas, aun así, serán inevitables, puesto que en la práctica es muy complejo encontrar un equilibrio entre dos sistemas legislativos que no confieren la misma relevancia al derecho de protección de datos; recordemos que en los Estados Unidos, el derecho de protección de datos, a diferencia de lo que ocurre en la Unión Europea, no tiene el carácter de derecho fundamental. Estos principios son:

  • Obligaciones más rigurosas para las empresas adheridas. El Departamento de Comercio de los Estados Unidos realizará revisiones periódicas para garantizar el cumplimiento por parte de estas empresas de las obligaciones a las que se comprometen, y las mismas se enfrentarán a sanciones e incluso a la posibilidad de ser excluidas de la lista.
  • Transparencia y salvaguardias respecto del acceso a los datos por parte de las autoridades estadounidenses. Los Estados Unidos cesarán en la vigilancia masiva e indiscriminada de los datos personales, de modo que el acceso por parte de las autoridades públicas, incluidas las agencias de inteligencia, estará sujeto a limitaciones.
  • Protección de los derechos de los ciudadanos. Cualquier persona que considere que sus datos personales se han tratado de forma indebida tendrá a su alcance diversos mecanismos de resolución de conflictos (desde la propia empresa hasta el arbitraje, pasando por las autoridades de protección de datos en colaboración con la Comisión Federal de Comercio), de forma que sus reclamaciones se investiguen y resuelvan. Además, los ciudadanos contarán con la figura independiente del Defensor (“Ombudsperson”).
  • Revisión anual. La Comisión Europea y el Departamento de Comercio de los Estados Unidos realizarán un seguimiento del Escudo de Privacidad para asegurar el mantenimiento de los compromisos y garantías alcanzados.

Aunque la decisión de adecuación entra en vigor de forma inmediata, las empresas estadounidenses podrán certificarse ante el Departamento de Comercio a partir del 1 de agosto.

La nota de prensa de la Comisión Europea puede leerse aquí.