Entradas

El TJUE anula “Privacy Shield” y obliga a revisar las transferencias internacionales de datos personales UE-EEUU

 

Se veía venir. El acuerdo entre la Unión Europea y Estados Unidos conocido como “Privacy Shield” (“Escudo de Privacidad”), alcanzado en el año 2.016, para regular las transferencias internacionales de datos personales ha generado, desde su inicio, muchas dudas.

No olvidemos, además, que ya el propio Tribunal de Justicia de la Unión Europea (TJUE) declaró nulo en 2.015 el conocido como “Safe Harbor” (“Acuerdo de Puerto Seguro”),  antecesor del “Privacy Shield”. Leer más

Transferencia Internacional de Datos

Transferencia Internacional de Datos

Transferencia Internacional de Datos. Nos encontramos frente a una situación internacional inestable, vemos numerosos acontecimientos que pueden desviar nuestra atención y preguntarnos acerca del tratamiento que tienen nuestros datos personales en el extranjero. Las redes sociales, el Privacy Shield y la propia coyuntura definen la seguridad con la que las grandes empresas los tratan.

Una Transferencia Internacional de Datos es aquel  tratamiento de datos que supone una transmisión de los mismos fuera del territorio del Espacio Económico Europeo, bien por una cesión o comunicación de datos, bien por un tratamiento de datos por cuenta del responsable del fichero establecido en territorio español.

La legislación española, permite además que se realice una transferencia internacional cuando el país destinatario ofrezca un nivel de protección adecuado (la lista puede verse en este enlace).

Si la transferencia se realizase a un país que no proporcione un nivel de protección adecuado al que presta la LOPD, dicha transferencia deberá ampararse en alguna de las excepciones previstas en el art. 34 LOPD:

-Cuando la transferencia internacional de datos de carácter personal resulte de la aplicación de tratados o convenios en los que sea parte España.

-Cuando la transferencia se haga a efectos de prestar o solicitar auxilio judicial internacional.

-Cuando la transferencia sea necesaria para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamiento médicos o la gestión de servicios sanitarios.

-Cuando se refiera a transferencias dinerarias conforme a su legislación específica.

-Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista.

-Cuando la transferencia sea necesaria para la ejecución de un contrato entre el afectado y el responsable del fichero o para la adopción de medidas precontractuales adoptadas a petición del afectado.

-Cuando la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar, en interés del afectado, por el responsable del fichero y un tercero.

-Cuando la transferencia sea necesaria o legalmente exigida para la salvaguarda de un interés público. Tendrá esta consideración la transferencia solicitada por una Administración fiscal o aduanera para el cumplimiento de sus competencias.

-Cuando la transferencia sea precisa para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial.

-Cuando la transferencia se efectúe, a petición de persona con interés legítimo, desde un Registro Público y aquélla sea acorde con la finalidad del mismo.

Si hubiera consentimiento del afectado a la transferencia se deberá tener en cuenta que para que dicho consentimiento tenga la consideración de inequívoco, exigencia prevista en el artículo 34.e) de la LOPD, será obligatorio que en la solicitud del mismo conste, además del destinatario de la transferencia, el país de destino así como la finalidad específica y determinada para la que se transfieren los datos de carácter personal.

Si la transferencia internacional de datos no se encuentra amparada en ninguno de los supuestos citados en este apartado, deberá solicitar la preceptiva autorización del Director de la Agencia Española de Protección de Datos.

 

Novedades sobre el Privacy Shield

Novedades sobre el Privacy Shield

Novedades sobre el Privacy Shield. Este año se promovió un acuerdo entre las agencias europeas de protección de datos y Estados Unidos para renovar el acuerdo sobre el tratamiento de datos en suelo americano, tras unos meses el grupo de trabajo del artículo 29 ha publicado su opinión respecto a este nuevo acuerdo.
El pasado 12 de julio de 2016, la Comisión Europea aprobó la Decisión de adecuación del Escudo de Privacidad UE-EEUU. En su Dictamen sobre este proyecto de Decisión de adecuación del Escudo de Privacidad, el Grupo de Trabajo UE-EEUU, el GT29 expresó preocupaciones y pidió varias aclaraciones. En primer lugar GT29 aplaude que la Comisión y las autoridades de Estados Unidos las hayan tenido en cuenta en la versión final de los documentos del Escudo de Privacidad. Sin embargo, algunas de estas preocupaciones siguen pendientes tanto en relación con los aspectos comerciales como respecto al acceso de las autoridades públicas de Estados Unidos a los datos transferidos desde la UE.
Refiriéndonos a los aspectos comerciales, el GT29 señala la falta de normas específicas sobre decisiones automatizadas y de un derecho de oposición general. Igualmente también encuentra lagunas acerca de los Principios del Escudo de Privacidad aplicados a los encargados de tratamiento.
Respecto al acceso de las autoridades públicas a los datos transferidos a los EEUU bajo el Escudo de Privacidad, las garantías son demasiado laxas en relación con la independencia y los poderes del mecanismo del Ombudsperson. Haciendo referencia a la recopilación masiva de datos personales (bulk collection), destaca el compromiso de no llevar a cabo recogidas masivas e indiscriminadas de datos personales. Sin embargo, la falta de garantías concretas de que tal práctica no tiene lugar.
De este primer documento, se realizará una primera revisión anual conjunta, momento clave para una valoración más profunda de la solidez y eficacia del mecanismo del Privacy Shield. La competencia de las Autoridades de Protección de Datos (APD) en el desarrollo de la revisión conjunta debe estar claramente definida. En particular, todos los miembros del equipo de revisión conjunta deberán tener la posibilidad de acceder directamente a toda la información necesaria para el desarrollo de su examen, incluyendo elementos que permitan una correcta evaluación de la necesidad y la proporcionalidad de la recogida y el acceso por parte de las autoridades públicas a los datos transferidos. Cuando participen en la revisión, los representantes nacionales del GT29 no sólo evaluarán si se han resuelto las cuestiones pendientes, sino también si las salvaguardias previstas en el Escudo de Privacidad UE-EEUU son viables y eficaces.
Los resultados de esta primera revisión conjunta en lo relativo al acceso por las autoridades públicas de Estados Unidos a los datos transferidos de conformidad con el Escudo de Privacidad también pueden afectar a herramientas de transferencia tales como las Normas Corporativas Vinculantes o las Cláusulas Contractuales Tipo.
Por ello, ahora que el Privacy Shield ha sido adoptado, las Agencias Nacionales de Protección de Datos dentro del GT29 se comprometen a asistir de forma proactiva y con independencia a los titulares de los datos en el ejercicio de sus derechos en virtud del mecanismo del Escudo de Privacidad, en particular cuando traten reclamaciones. El GT29 proporcionará pronto a los responsables del tratamiento información sobre sus obligaciones de acuerdo con el Escudo y hará comentarios sobre la guía para los ciudadanos y sugerencias sobre la composición del órgano centralizado de la UE y sobre la organización práctica de la revisión conjunta.

Llega el 'Privacy Shield', nuevo acuerdo entre europa y USA

Llega el ‘Privacy Shield’, nuevo acuerdo entre europa y USA

[one_second]

Desde la Unión Europea, y más concretamente  desde la  Comisión Europea, se ha anunciado un acuerdo para la transferencia de datos personales entre la Unión Europea y Estados Unidos, (el cual sustituirá el ya derogado  “Safe Harbour” por el Tribunal de Justicia de la Unión Europea) que tomará el nombre de ‘EU-US Privacy Shield’.

Este nuevo acuerdo va a «asegurar los derechos de nuestros ciudadanos», en palabras del vicepresidente del Ejecutivo Comunitario para el mercado único digital, Andrus Ansip, al igual que ha asegurado que este acuerdo se presenta con una “mejora significativa» con respecto al anterior.

Vera Jourová, comisaria de Justicia, ha expresado por su parte que el nuevo acuerdo, «protege los derechos fundamentales» de cualquier ciudadano europeo, al igual que asegura las transacciones con las empresas de este entorno. Igualmente detalla que uno de los puntos más destacables consiste en una seria de mecanismos para una revisión «continua» sobre su  funcionamiento, ofreciendo «claras garantías y transparencia obligatoria» sobre el acceso de Estados Unidos a los datos.

El antiguo acuerdo para la transferencia de datos personales de europeos, El Safe Harbour (puerto seguro) fue declarado inválido en el pasado mes de octubre, dejando en manos de los Estados miembros decidir si debe suspenderse la transferencia de estos datos frente a empresas americanas, tales como Facebook o muchos servicios de almacenamiento en la nube tipo Dropbox.

Las negociaciones con las autoridades estadounidenses durante los tres últimos meses han resultado «muy duras», siendo uno de los puntos más destacables del acuerdo los mecanismos de revisión periódica.

[/one_second]

[one_second]

Haciendo más hincapié, el Ejecutivo comunitario y el Departamento de Comercio de Estados Unidos han acordado reuniones anuales que servirán para analizar los compromisos alcanzados.

Hablando de las garantías ofrecidas en este nuevo acuerdo, Jourová ha destacado que «por primera vez», Estados Unidos ha aportado «garantías escritas». Estas garantías se refieren al acceso a la información por parte de autoridades públicas. Sobre todo haciendo alusión a casos de seguridad nacional, en los cuales en E.E.U.U. prima la seguridad nacional muy por encima de los derechos personales.

Por parte de la Comisión Europea se ha emitido un comunicado por el cual, las empresas estadounidenses con intención de importar datos personales desde Europa van a necesitar cumplir con «obligaciones robustas» sobre el procesamiento de estos datos y las garantías ofrecías para proteger los derechos personales. El encargado de monitorizar estos compromisos va a ser el Departamento de Comercio de los Estados Unidos.

Con respecto a las posibles reclamaciones de los ciudadanos europeos, destacar que habrán de ser resueltas por las propias compañías en un plazo determinado. Igualmente,  podrán presentarse a las Autoridades Europeas de Protección de Datos (DPA por sus siglas en inglés), las cuales trabajaran con el Departamento de Comercio y la Comisión Federal de Comercio de Estados Unidos, pudiendo en último caso resolverse estos conflictos a través de un modelo de arbitraje.

[/one_second]