Bienvenido ‘Mr. Privacy Shield’
Por lo acontecido en el entorno de las relaciones comerciales UE-EEUU en general y de la Protección de Datos en particular, en los últimos dos años, se me viene a la memoria la película “Bienvenido Mr. Marshall”, una de las obras maestras de Berlanga de los años 50. En ella, aparece el pueblo de Villar del Río, cuyos habitantes están contentos porque los americanos van a visitarles con ocasión de la presentación en España del Plan Marshall. Ese plan, iniciado en Estados Unidos en 1947, consistió en ayudar a países europeos a recuperarse tras la II Guerra Mundial y frenar la expansión soviética.
Mucho han cambiado las cosas desde entonces, y ahora la UE y EEUU se miran de igual a igual pero con intereses yuxtapuestos y a la vez antagónicos. Por un lado, ambos negocian el Tratado Transatlántico de Comercio e Inversiones, TTIP, para frenar la expansión de otras economías, o mejor dicho para impulsar ambas economías. Por otro, hay que mitigar obstáculos en las relaciones comerciales, de servicios y de inversiones entre EEUU y la UE, base del éxito del Mercado Único Digital Europeo, entre ellos la visión respecto de la Privacidad, de la confidencialidad, de la seguridad y el respeto a los derechos de protección de datos de los usuarios y, de este modo, garantizar la seguridad jurídica de las empresas. Mientras tanto en la UE se está a punto de aprobar el Reglamento Europeo de Protección de Datos que establece unos requerimientos muy exigentes al respecto.
En este contexto, el 6 de octubre de 2015, el Tribunal de Justicia de la UE publica una Sentencia, Decisión Prejudicial en caso Schrems, en la que se concluye que la Decisión de la Comisión sobre la disposición de puerto seguro no era válida. La sentencia confirma el planteamiento de la Comisión desde el año 2013 para revisar el acuerdo de puerto seguro, para garantizar en la práctica de la transferencia internacional de datos desde UE a EEUU un nivel suficiente de protección de datos, como lo requiere la legislación de la UE. El efecto principal de la anulación del “Safe Harbour” es que cada Autoridad de Control nacional podrá revisar los requerimientos en materia de protección de datos respecto a la transferencia desde su territorio a empresas norteamericanas. O lo que es lo mismo, los países pueden optar por suspender la transferencia de datos a los EE.UU., obligando a las empresas estadounidenses a tratar los datos dentro del país miembro, algo que afecta directamente a empresas cuyo negocio son los datos y/o los servicios TIC, como Facebook, Google, Amazon, Microsoft y otros proveedores de servicios de los nuevos entornos tecnológicos (Cloud Computing, Big Data, IoT, etc).
Todo ello ha generado un alto grado de incertidumbre entre las empresas, los ciudadanos y consumidores europeos que forzó a la Comisión Europea a pronunciarse para aclarar la situación resultante de esta sentencia. El 6 de noviembre, la Comisión emitió una guía para las empresas sobre las posibilidades de transferencias de datos transatlánticas después de la mencionada sentencia hasta que se estableciera un nuevo marco. Además se fijaba un plazo, el 31 de enero de 2016, fecha que las autoridades de protección de datos de la UE se habían fijado para empezar a actuar.
Así las cosas, en estos últimos días se nos ha anunciado el Acuerdo “político” que establece el nuevo marco del flujo trasatlántico de datos alcanzado entre UE y EEUU, el denominado “Privacy Shield”, como la solución al colapso del flujo de información que se podría producir entre ambas orillas del Atlántico, el recurso para obtener seguridad jurídica en este ámbito para las empresas-ciudadanos-consumidores y la medida para garantizar los derechos de protección de datos de los ciudadanos europeos en los tratamientos realizados por empresas de EEUU.
El nuevo acuerdo incluirá los siguientes elementos:
Obligaciones más específicas para las empresas que manejan datos personales de los europeos y una verificación formal de los compromisos de las empresas respecto a esas obligaciones: las empresas estadounidenses que deseen importar datos personales de Europa tendrán que comprometerse a obligaciones específicas sobre cómo se procesan los datos personales, garantizar los derechos individuales de los usuarios y comprometerse a cumplir con las decisiones de las autoridades de control europeas. El Departamento de Comercio verificará que las empresas publican sus compromisos al respecto.
Salvaguardias claras y las obligaciones de transparencia en el acceso del Gobierno de Estados Unidos: por primera vez, los EE.UU. han planteado que darán por escrito a la UE las condiciones para el acceso por parte de las autoridades públicas para cuestiones de seguridad nacional y orden público y que estarán sujetas a limitaciones y salvaguardas claras. Estas excepciones deben ser utilizadas sólo en la medida necesaria y proporcionada. Además, los EE.UU. han descartado vigilancia masiva indiscriminada de los datos personales transferidos a los EE.UU. en el marco del nuevo acuerdo. Para verificar que estos compromisos se cumplen, el pacto será revisado una vez al año por la Comisión y el Departamento de Comercio estadounidense, que invitarán a participar a expertos de inteligencia de EE.UU. y a las autoridades de protección de datos de la UE.
La protección efectiva de los derechos ciudadanos de la UE con varias posibilidades de recurso: cualquier ciudadano que considere que sus datos han sido mal utilizados bajo el nuevo acuerdo tendrá varias posibilidades de recurso, ante los órganos de control de protección de datos territoriales, que podrán remitir las quejas al Departamento de Comercio y a la Comisión Federal de Comercio o bien directamente ante las empresas. En ambos supuestos, se establecerán plazos para responder a las quejas. Además, la resolución alternativa de conflictos será gratuita. Para quejas sobre el posible acceso de las autoridades nacionales de inteligencia, se creará un nuevo Órgano de control independiente.
Veremos los resultados respecto al nivel de protección de los derechos fundamentales de los europeos cuando sus datos de carácter personal se transfieren a las empresas estadounidenses, respecto al nivel de seguridad jurídica que necesitan las empresas europeas, sobre todo las PYMES, para desarrollar sus actividades a través del Atlántico con el objetivo de construir un mercado único digital en la UE, en definitiva un ambiente de confianza en línea y dinámico.
¿Se nos quedará la cara de los personajes de “Bienvenido Mr. Marshall”? Espero y deseo que no, aunque sí era necesario, al menos, escuchar una explicación a modo del pregón de la obra de Berlanga: como Órgano Ejecutivo de los europeos que soy os debo una explicación, y esa explicación que lo que os debo os la voy a pagar.
