El nuevo acuerdo sobre protección de datos y privacidad entre la Unión Europea (UE) y Estados Unidos está a punto de sustituir al anterior tratado, Safe Harbour, ya derogado. El objetivo principal de este nuevo acuerdo es garantizar a los ciudadanos de la UE los mismos derechos de protección de información cuando se procesen sus datos en Estados Unidos; en el caso de que estos derechos no estén garantizados, los datos no saldrán de la Unión Europea.
Para poder procesarlos, las compañías que quieran utilizarlos deben asegurar que se cumplen ciertos principios básicos que, por cierto, el anterior tratado, Safe Harbour, no cumplía; por estas razones el Tribunal de Justicia de la Unión Europea lo rechazó el pasado octubre y exigió la elaboración de uno nuevo.
Desde la perspectiva empresarial, estos son los cinco puntos más importantes del tratado:
- Firmar el tratado es voluntario, aunque cumplirlo es obligatorio
A menos que una empresa haya firmado el tratado, la compañía no puede procesar datos provenientes de la Unión Europea. Después de firmarlo su cumplimiento es obligatorio; además, las empresas deberán publicar sus políticas de privacidad (y cumplirlas). Así, el departamento de Comercio de Estados Unidos publicará una lista de las empresas que han firmado el tratado y otra con las que no.
- La seguridad nacional está todavía por encima del acuerdo
Cuando hay un conflicto entre la seguridad nacional y el acuerdo, si la ley lo requiere, los principios del acuerdo se limitan. Para ello se tendrá en cuenta la seguridad nacional, el interés público y los requisitos de cumplimiento de la ley.
- La vigilancia masiva sigue permitida
A pesar de que la vigilancia masiva del gobierno estadounidense era una de las principales razones para acabar con el acuerdo anterior, el nuevo acuerdo todavía lo permitirá. Según el nuevo acuerdo, “las autoridades de Estados Unidos afirman que no hay discriminación o espionaje masivo”, aunque ningún documento fuera de la UE apoya su afirmación.
El Gobierno de Estados Unidos aún permite la vigilancia en seis casos: detectar y calcular determinadas actividades de gobiernos extranjeros, luchar contra el terrorismo, luchar contra la proliferación de este, detectar y contrarrestar amenazas a los Estados Unidos o a fuerzas amigas, y combatir amenazas criminales transnacionales, incluyendo evasión de sanciones.
- Las compañías tendrán 45 días para responder
Si un ciudadano de la UE pone una queja sobre el tratamiento de su información personal bajo el acuerdo Privacy Shield, las empresas tendrán que contestar en menos de 45 días. Si su respuesta no satisface al demandante, tendrá la oportunidad de recurrir a otros mecanismos para resolver el problema, incluyendo un servicio alternativo de disputa por pago y su propio regulador nacional de privacidad.
- No se pone en práctica hasta que lo aprueben los estados miembro de la UE
La presentación oficial de los documentos detallados del tratado se publico el 29 de febrero, junto con un borrador de la idoneidad de las decisiones tomadas al respecto. Esta idoneidad todavía debe ser aprobada por los 28 estados miembro de la Unión Europea. El acuerdo debe ser revisado anualmente para asegurarse de que todas las partes siguen respetando las promesas en las que está fundado: en teoría, si esas promesas no se cumplen, el tratado se suspenderá.
-Patricia Bachmaier, CSO
