Por Cristina Carrascosa Cobos
Como ya expusimos en un post el pasado 1 de abril, el marco legal bajo el cual empresas como PEPSI o Unilever transferían datos de trabajadores y clientes de Europa a EEUU, el Safe Harbor, fue invalidado por el Tribunal de Justicia de la Unión Europea gracias en parte al material filtrado por Edward Snowden y a la denuncia realizada por Max Schremspor considerar que no aseguraba la privacidad de los datos transferidos, entre otros, por el hecho de que en Estados Unidos se permitía la limitación de la privacidad por motivos de seguridad nacional, interés público y cumplimiento de la Ley, siendo estos conceptos considerablemente abiertos.
Lo anterior dejó a las empresas que trataban con datos de carácter personal en una especie de limbo legal, aunque la Comisión se encargó de decir que “los negocios pueden seguir las transferencias de datos a través de las soluciones contractuales recogidas en la legislación europea o, a través de las normas vinculantes que estableciera la Agencia de Protección de datos de cada país”.
Pues bien, según fuentes consultadas[1] esta semana, la Unión Europea y Estados Unidos han llegado a un acuerdo sobre las modificaciones que pretendía introducir el esperado nuevo acuerdo transatlántico de transferencia y protección de datos, el PrivacyShield y que se traducen en un endurecimiento de los requisitos exigibles al país americano para la transferencia de los datos de carácter personal.
Dichos cambios, negociados desde febrero de este año hasta ahora por Washington y Bruselas, giraban principalmente en torno a dos medidas:
- La creación de un Defensor del Pueblo (ombudsman) que atienda las quejas de ciudadanos europeos en relación con el tratamiento y transferencia de sus datos personales exigiéndose con ello que tenga exclusiva independencia de los servicios de seguridad americanos.
- Se ha limitado el ámbito que legitima la captación de datos, siendo obligatorio obtener el consentimiento de los usuarios antes de hacerlo, así como destruirlos una vez no sirvan al objetivo originario, de forma y manera que se trata de evitar una transferencia masiva e indiscriminada de datos de un lugar a otro.
La intención es que el nuevo Reglamento entre en vigor en el mes de julio, por lo que deberemos esperar para ver las implicaciones prácticas de su aplicación. Pero será ya en un nuevo post.
[1]http://www.wsj.com/articles/u-s-eu-agree-final-adjustments-to-data-privacy-shield-1466764267