El Escudo de Privacidad: Nuevo marco regulador para el flujo de datos personales entre Europa y Estados Unidos

Reglamento Europeo de Protección de Datos
19 enero, 2016
La AEPD avanza en su labor de apoyo a los obligados al cumplimiento del Reglamento Europeo de Protección de Datos
13 febrero, 2017

Por fin, el martes 2 de febrero se llegó a un acuerdo entre las autoridades europeas y estadounidenses para establecer un nuevo marco legal que regulará, con las garantías necesarias, el envío de datos personales por parte de entidades europeas a servidores ubicados en Estados Unidos. Desde que se conociera hace unos meses la anulación por parte del TJUE del anterior marco llamado Acuerdo de Puerto Seguro (Safe Harbor Agreement) se había instalado la inquietud en multitud de empresas que hacen uso, directa o indirectamente, de servidores ubicados en Estados Unidos para realizar algún tipo de tratamiento de datos personales. Son muchas las empresas europeas que utilizan los servicios de Google, Amazon u otras empresas norteamericanas para alojar datos o para gestionar su actividad empresarial mediante el uso de aplicaciones que proveen estos gigantes de la tecnología, que se habían adherido al Acuerdo de Puerto Seguro para poder prestar sus servicios a entidades europeas sin incumplir la estricta legislación sobre protección de datos que impera en este lado del charco. Pero con la decisión del TJUE de hace unos meses, basada en la ausencia de garantías de seguridad y confidencialidad, cualquier transferencia de datos por parte de empresas europeas a empresas estadounidenses que se hubiera realizado en virtud el Acuerdo de Puerto Seguro quedó desamparada legalmente con la anulación de dicho acuerdo. En España se llegaron a publicar noticias confusas e incorrectas al respecto, que dieron la impresión de que las sanciones económicas en materia de protección de datos caerían en masa sobre las empresas que hacían uso de sistemas como Google Drive, Dropbox u otros. Las autoridades europeas con competencia en la materia fueron aclarando la situación a través de comunicados publicados en sus respectivos sitios web. En el caso de España, podemos encontrar esas aclaraciones en su web: http://www.agpd.es. Si bien es cierto que cabía la posibilidad de que en caso de denuncia la Agencia Española de Protección de Datos actuara, tampoco era necesario que cundiera el pánico, puesto que de lo que se trataba era de buscar otra opción legal, que la hay.

Las autoridades europeas se marcaron un plazo para tomar una decisión tras la anulación del Acuerdo de Puerto Seguro: llegar a un nuevo acuerdo y fijar otro marco regulador o no. El plazo concluía a finales de enero de 2016 y el 1 de febrero ya muchos daban por perdida la posibilidad de un nuevo acuerdo, lo cual implicaba que las empresas europeas debían buscar otra opción legal para realizar las transferencias de datos a Estados Unidos. En la legislación española (Ley Orgánica de Protección de Datos) se contemplan otras posibilidades para legitimar el flujo de datos hacia Estados Unidos, como la de solicitar la autorización del Director, actualmente Directora, de la Agencia Española de Protección de Datos. Pero esta opción peca de demasiado burócrata y por tanto, de lentitud. Una lentitud que no va con el uso de la tecnología. Por eso, un marco regulador ágil es necesario. Pero debe ser ágil y seguro, claro está. Y por fin, como decía, ayer se comunicó oficialmente el alcance de un acuerdo político de gran trascendencia cuyas reglas aplicables se materializarán  en las próximas semanas en lo que se ha denominado “Escudo de Privacidad” (“Privacy Shield”). De este modo, las empresas europeas podrán operar legalmente y sin necesidad de excesivas trabas con empresas estadounidenses que cumplan las nuevas y mejores condiciones que indique el Escudo de Privacidad.

Mamen Fernández. Abogada TIC-Compliance.