Es noticia
Nuevo tratado europeo de privacidad: bueno para las empresas, no para el ciudadano
  1. Tecnología
llena un vacío legal desde diciembre

Nuevo tratado europeo de privacidad: bueno para las empresas, no para el ciudadano

El tratado Privacy Shield regulará la transferencia de datos entre la EU y de EEUU. Dará seguridad a las empresas, pero los expertos en privacidad no están satisfechos

Foto: "Los caballeros no leer los emails de los demás" (Martin Schmitt)
"Los caballeros no leer los emails de los demás" (Martin Schmitt)

En la mañana de este martes, la UE ha anunciado la adopción del Privacy Shield, un nuevo marco por el que queda regulado el tratamiento y la protección que deben recibir los datos personales provenientes de empreas europeas que trabajen con proveedores de servicios estadounidenses. Un acuerdo necesario debido a la diferente regulación que rige esta materia a ambos lados del Atlántico (más laxa en Estados Unidos que en la Unión Europea) y que había quedado en un vacío legal desde que en octubre de 2015 el Tribunal de Justicia Europeo invalidó el anterior marco, llamado Safe Harbour, que llevaba en vigor más de quince años.

Foto: (Foto: Corbis)

El nuevo Privacy Shield viene a cumplir esa misión de establecer cómo se deben tratar los datos de las empresas europeas que se alojen en servidores de compañías estadounidenses, algo que afecta a cualquier empresa con una página de Facebook, que almacene archivos Dropbox o cuyo correo electrónico pertenezca a Google, entre otros.

Obligaciones para compañías y gobierno

La adopción de estas normas será voluntaria por parte de las empresas de Estados Unidos, pero una vez adoptadas, deberán comprometerse con su cumplimiento. Eso significa, entre otras cosas, publicar estas nuevas normas en su página web, responder en un máximo de 45 días a cualquier reclamación, comprometerse a que cualquier otra empresa con la que compartan sus datos cumplirán con esta normativa, así como certificar su cumplimiento cada año.

Este acuerdo también supone una serie de compromisos por parte del gobierno estadounidense. Por primera vez, éste se compromete por escrito a que el acceso a datos personales pertenecientes a empresas europeas "estará sujeto a limitaciones claras y mecanismos de vigilancia". También supone la renuncia a programas de vigilancia masiva o indiscriminada, así como a permitir que las empresas informen del "número aproximado de peticiones de acceso" que reciben. Por último, el Departamento de Comercio tendrá que crear la figura de un defensor del ciudadano "independiente de los servicios de inteligencia" que resuelva las reclamaciones de los ciudadanos.

Se impondrá mayor transparencia en la transferencia y el uso de sus datos en territorio estadounidense, que además estarán sujetos a una mayor protección

Las ventajas de este tratado para los ciudadanos europeos serán principalmente dos. Por un lado, se impondrá una mayor transparencia en la transferencia y el uso de sus datos a territorio estadounidense, que además estarán sujetos a una mayor protección. Por otro, tendrán a su alcance una serie de posibilidades de reclamación más sencillas y accesibles de las que tenían hasta ahora, ya sea tratando directamente con la empresa o a través de las agencias de protección de datos de sus respectivos países (la AEPD en el caso de España), que trabajarán con el Departamento de Comercio estadounidense para asegurarse de que las reclamaciones sean adecuadamente investigadas y resueltas.

Bueno para las empresas españolas...

En un tema tan delicado como es el tratamiento de datos personales por parte de empresas y gobiernos, las reacciones al nuevo Privacy Shield han sido muy distintas. Por ejemplo, Andrus Ansip, vicepresidente de iniciativa Mercado Digital Único perteneciente a la Comisión Europea, considera que es resultado de un "trabajo duro con los socios Europeos y de Estados Unidos. El flujo de datos entre nuestros dos continentes es esencial para nuestra sociedad y nuestra economía. Ahora tenemos un marco robusto que asegura que esas transferencias tienen lugar en las condiciones más seguras".

Foto: (Foto: Reuters)

El abogado Pablo Fernández Burgueño coincide con este análisis, y señala que el tratado aporta un marco legal para las empresas españolas que utilizan servicios de compañías americanas de forma habitual y que tras la anulación del anterior tratado funcionaban con un vacío legal.

"Hasta ahora estaban obligadas a conseguir una autorización de la AEPD, tras presentar una serie de documentos traducidos al español y firmados por los representantes de las empresas americanas (algo muy complicado de conseguir), o recopilar el consentimiento inequívoco de todos los afectados por esa transferencia de datos. Eso suponía, por ejemplo, que una empresa que quisiese subir a Twitter la foto de un evento necesitaba el permiso de todos los que apareciesen en ella".

Hasta ahora estaban obligadas a conseguir una autorización de la AEPD o recopilar el consentimiento inequívoco de todos los afectados por la transferencia

Incumplir estos requisitos suponía una falta que podría conllevar una sanción de entre 300.001 y 600.000 euros, asegura Burgueño, que no se han llegado a imponer porque la AEPD no ha abierto expedientes por este motivo, sabiendo que se trataba de una situación temporal. Con la adopción de la nueva normativa, la situación se aclara para las empresas españolas, que simplemente tendrán que comprobar que la compañía estadounidense que les preste cualquier servicio se encuentra en la lista de las que se han comprometido a cumplir con el tratado.

... no tanto para los ciudadanos

Pero otros expertos no están nada contentos con el nuevo acuerdo, al que señalan importantes inconvenientes para suponer una protección real de los datos de los europeos. Los activistas de Save the internet han publicado un post titulado 'Privacy shield: privacy sham' (Privacy Shield: privacidad falsa) en el que critican el acuerdo, asegurando que "tenemos 'datos a granel' que nos dicen que no son datos a granel, tenemos un 'defensor del ciudadano' que no es un defensor del ciudadano, tenemos una compensación que no es compensación".

No es sorprendente que el Privacy Shield siga lleno de agujeros y por tanto ofrezca una protección limitada de los datos personales

Según Tomaso Falchetta, de Privacy International, el acuerdo se basa en "premisas erróneas: tratar de arreglar un déficit en la protección de datos en Estados Unidos a través de promesas gubernamentales, en vez de una reforma significativa de la legislación. Por eso no es sorprendente que el Privacy Shield siga lleno de agujeros y por tanto ofrezca una protección limitada de los datos personales".

Sergio Carrasco, informático y profesor de Derecho, coincide con estos argumentos y lo califica de "parche mal puesto" que frece "poco o nada en la práctica respecto a las garantías". En su opinión, el Privacy Shield presenta pocos cambios reales en el que fue el principal motivo de invalidación del Safe Harbour: la capacidad de acceso descontrolado por parte de las autoridades estadounidenses a los datos personales de los ciudadanos. Aunque en este tratado se incluye un supuesto límite a ese acceso, la redacción ofrece pocas garantías reales para asegurar que eso se cumpla.

"Se trata de un problema de base: la legislación en Estados Unidos es menos estricta que aquí, y eso supone que no puedes obligar al gobierno o a las compañías a cumplir unas normas a las que no están obligadas", explica Carrasco. Señala el mismo problema con la figura del defensor del ciudadano, una medida bienintencionada pero cuya verdadera independencia no considera garantizada.

"Es cuestión de tiempo que el Privacy Shield sea denunciado por las organizaciones en defensa de la privacidad, como lo fue el Safe Harbour. Este asunto volverá a los tribunales", concluye.

En la mañana de este martes, la UE ha anunciado la adopción del Privacy Shield, un nuevo marco por el que queda regulado el tratamiento y la protección que deben recibir los datos personales provenientes de empreas europeas que trabajen con proveedores de servicios estadounidenses. Un acuerdo necesario debido a la diferente regulación que rige esta materia a ambos lados del Atlántico (más laxa en Estados Unidos que en la Unión Europea) y que había quedado en un vacío legal desde que en octubre de 2015 el Tribunal de Justicia Europeo invalidó el anterior marco, llamado Safe Harbour, que llevaba en vigor más de quince años.

Unión Europea Empresas
El redactor recomienda