Después de varios años preparando un reglamento que estandarice y asegure correctamente los datos personales de los usuarios entre compañías de la Unión Europea y Estados Unidos, por fin hay una propuesta en firme para regularizar la transferencia de datos.
Anteriormente ya existía un pacto entre Estados Unidos y el gobierno europeo, el conocido Safe Harbor que tantos dolores de cabeza ha dado en estos años, no sólo a los gobiernos sino a las propias compañías desde que se puso en marcha en el 2000. Hace unos meses, la propia Unión Europea invalidaba el tratado: éste proporcionaba una cobertura a todas las empresas que transfirieran datos personales a terceras compañías (habitualmente coladeros de datos personales poco claros).
A pesar de la gran expectación con la que las compañías han estado esperando este nuevo acuerdo, hay una importante probabilidad de que nunca llegue a implementarse: los vigilantes de la privacidad en Europa han advertido que no se puede confiar en que otorgue protección legal en un futuro próximo, o quizá nunca; el pacto continúa sin estar claro y todavía no hay nada por escrito.
¿Qué pueden esperar las empresas?
Julie Brill, comisaria de la Comisión Federal de Comercio, ha aclarado varios puntos sobre el nuevo tratado durante el debate de la fundación Information Technology and Innovation (ITIF). “El nuevo tratado va a tardar en llevarse a cabo. Todavía hay que escribirlo de forma clara y detallada para pueda entenderlo todo el mundo”, advirtió Brill durante la charla. “Esto llevará mucho más que cuando se aprobó el Safe Harbour; recordemos que la Unión Europea tiene un papel consultivo, supervisa el acuerdo y lo votará para aprobarlo, al igual que tienen que hacer cada uno de los miembros de la UE”, añadió.
Por lo pronto, las autoridades europeas acabarán en abril con el análisis legal, según el grupo de trabajo del artículo 29. Mientras tanto, las empresas seguirán siendo responsables de sus actos frente al reglamento anterior, por lo que deben seguir cumpliendo con las normativas del Safe Harbour.
Si finalmente se aprueba el nuevo reglamento de trasferencia de datos entre Estados Unidos y la Unión Europea, las empresas deberán examinar cuidadosamente los nuevos requisitos, de forma que puedan asegurar que los cumplen cuando coincidan en respaldarlo. “Deben entender dónde se meten al apoyar el reglamento”, especifica Brill.
Puntos calientes del acuerdo
Uno de los grandes cambios que más problemas puede traer a las empresas es la transferencia ulterior de datos se da en las transferencias en las que se exportan datos de Europa a Estados Unidos, y de ahí a una tercera parte. El nuevo acuerdo prestará mucha atención a estos casos para garantizar que la empresa que los recibe por segunda vez también tratará los datos de forma adecuada.
La probabilidad de retroactividad acecha al tratado: Brill no ha especificado si hay alguna voluntad de aplicar el nuevo reglamento de forma retroactiva una vez aprobado, aunque Timothy Edgar, el primer director de libertades civiles y privacidad que ha tenido Estados Unidos, advirtió a las empresas: “Las compañías que forman parte del acuerdo Safe Harbour deben continuar con el compromiso de privacidad que aceptaron, ya que el nuevo reglamento es muy similar”, explicó por email. “Al no tener ningún detalle sobre el nuevo pacto las empresas deberían comprobar con sus abogados que están cumpliendo todos los requisitos que exigirá el reglamento”, añadió Edgar.
Este profesor de Relaciones Internacionales también recomieda a las empresas encriptar los datos que reciban de la UE ya que las regulaciones de protección de datos sólo aplican a transferencias de información personal en formato identificable.
Qué puede detener el tratado
Ante el revuelo y las dudas que está creando el tratado, Timothy Edgar ha señalado la posibilidad (ya mencionada antes) de que no llegue a firmarse ninguna nueva regulación.
“Estados Unidos no planea cambiar la ley de vigilancia”, señaló el exdirector; esto podría ser el problema principal para formalizar el acuerdo, ya que el Tribunal de Justicia Europa ha determinado que esta ley no protege adecuadamente los datos personales europeos.
“Los comisarios de protección de datos de la UE se están aguantando de momento las amenazas al respecto, pero en los próximos meses estarán preguntando si el nuevo reglamento es suficientemente bueno”, sentenció Edgar. “La Comisión Europa puede estar satisfecha con las promesas del gobierno estadounidense respecto a cómo serán tratados los datos personal europeos por sus agencias de inteligencia, pero eso no significa que los comisarios de datos (o los tribunales europeos) si lo estén”. Y sin concordancia entre estos, el acuerdo no llegará a buen puerto.
Patricia Bachmaier, CIO España
