El Privacy Shield o el “Escudo de Privacidad” entre la Unión Europea y EEUU para la transmisión de datos de residentes en Europa a empresas con sede en EEUU, ha sido declarado inválido por no ser consistente en cuanto a la protección de la privacidad de dichos datos.
El Privacy Shield nace en 2016 para establecer un marco regulatorio para el intercambio transatlántico de datos con fines comerciales. Es decir, empresas como Microsoft o Facebook con sede en Europa, puedan transmitir los datos europeos a EEUU para tareas comerciales. Dicha sentencia ha provocado numerosas reacciones dejando en evidencia que las labores de vigilancia masiva de los EEUU vulneran muy mucho el reglamento establecido.
Un precedente muy determinante para considerar este marco como decisivo fue el Caso Schrem (Maximilian Schrem) que dinamitó el anterior marco regulatorio “Safe Harbor” debido a la laxitud en cuanto a la privacidad que mostró Facebook o mismamente, con el caso Snowden que evidenció la vigilancia masiva que realizaba EEUU sobre datos de ciudadanos europeos.
A raíz de esto numerosas empresas americanas con sede en Europa, iniciaron la búsqueda de mecanismos jurídicos que hicieran lícitas las transferencias de datos con EEUU o que disminuyeran el riesgo de incumplimiento normativo.
Más de 4.000 empresas con sedes en Europa recibieron numerosas clausulas contractuales tipo de la EEUU, que en países como España no resultaba tan sencillo de acordar. Resultó necesario un acuerdo político que permitiera marco regulatorio para agilizar y facilitar el flujo de datos transoceánicos y para el cual EEUU presionó para llegar al acuerdo del Privacy Shield.
El Privacy Shield se fundamentaba en lo siguientes principios:
- El derecho del ciudadano europeo a ser informado sobre los tratamientos de los datos.
- El establecimiento de limitaciones al uso de los datos con distintos fines de aquellos para los que se recogieron los datos legítimamente.
- El respeto al principio de minimización de los datos y la obligación de conservar los datos únicamente durante el tiempo necesario.
- La obligación de tratar los datos mediante sistemas seguros.
- La obligación de proteger los datos en el caso de que se transfieren a otra entidad.
- El reconocimiento y, sobre todo, la efectividad del derecho de los ciudadanos europeos a acceder a los datos y a su rectificación.
- El derecho a presentar una reclamación y a obtener reparación en caso de incumplimiento de estos principios.
Sin embargo, las debilidades del marco y los retos durante estos años han sido numerosos. La seguridad jurídica es crucial para asegurar la actividad y las relaciones en Europa. Con este fallo del TJUE, se pone de manifiesto que los estándares recogidos en la RGPD no están considerados totalmente dentro del Privacy shield.
Aunque no crea un vacío legal ya que permite las actividades necesarias, da un nuevo paso al frente en cuanto a la necesidad de una política de protección de datos europeos taylormade en EEUU. En la actualidad son 5.300 las empresas adscritas al Privacy Shield que no podrán transmitir sus datos y ahora esperaremos a ver el siguiente paso, pues Wilbur Ross, Secretario de Comercio de los EE.UU ha calificado este fallo como decepcionante.
Europa ya acata el marco regulatorio establecido por la RGPD, que hace de obligatoria transparencia en cuanto al tratamiento de datos y asegurar la privacidad bajo multas millonarias. Por tanto, esta noticia constata un poco más, la necesidad de asegurar a los usuarios que sus datos están en buenas manos.
Desde DruID nos preguntamos ¿qué ocurre ahora con los servicios de empresas norteamericanas que suben datos personales de ciudadanos europeos a datacenters alojados en EEUU? ¿Seguirán dando el mismo servicio?
Growth Accelerator at DruID Identity Solutions
