Sin lugar a dudas es imprescindible que si tu negocio o la empresa en la que produces reside en España esté adaptada a la LOPD Española. Además, el 25 de mayo de 2018 se activa el requerimiento de adaptación al RGPD. Estos son dos aspectos que tienes que tener en cuenta si resides en España.

Los negocios establecidos en otros países, como Latinoamericanos y de Estados Unidos, también están sujetos a leyes que regulan la transferencia y protección de datos de los usuarios finales. En esta entrada voy a centrarme en la transferencia de datos entre Europa y Estados Unidos.

Protección y privacidad de datos UE-EEUU

La transferencia de datos entre la Unión Europea (UE) y Estados Unidos (EEUU) ha estado regulada por distintas leyes a lo largo del tiempo. En la actualidad, el marco legal que define la transferencia de datos personales entre estos dos continentes aún está en revisión con fecha límite el 25 de mayo de 2018, el mismo día que la activación del RGPD.

Safe Harbor

Un safe harbor es un reglamento que especifica que una cierta conducta no viola una norma. Considerando las diferencias lingüísticas entre países, es posible que se puedan crear confusiones o ambigüedades, sobretodo en términos legales. Este tipo de reglamento, o disposición de ley, es normal encontrarlo en relaciones entre países debido a esta ambigüedad lingüística. Su objetivo es conseguir reducir la incertidumbre legal existente.

La Directiva europea 95/46/CE integrada aún en la LOPD es una ejemplo de una ley safe harbor. En ella se prohíbe a estados miembros de Europa compartir información de carácter personal entre países con un nivel de protección por debajo de los estándares de calidad establecidos. Por ejemplo, en los principios establecidos en el safe harbor se define una directiva que permite establecer excepciones si los países deciden cumplir.

Principios internacionales del safe harbor EU-EEUU

La Unión Europea definió en la Directiva 95/46/CE en cooperación con el Departamento de Comercio de Estados Unidos unos principios que las organizaciones de este último país debían cumplir en materia de protección de datos personales. El objetivo debía definir a las organizaciones qué debían hacer para considerarse seguras y poder hacer transferencia de datos. De esta forma se prevenían pérdidas o filtración no autorizada de datos personales. La emisión de un certificado anual indicaría la capacidad de las organizaciones de Estados Unidos de operar en calidad de ente cumplidor de siete principios suficientes para garantizar una protección de datos personales:

  • Información: debe informarse de que los datos personales recogidos serán tratados para la funcionalidad por la cual se recogen.
  • Elección: existe el derecho de cancelación, a la oposición a datos recogidos una vez recabados y a la oposición de cesión o transferencia a terceros.
  • Transferencia progresiva: solo pueden transferirse datos a terceros que cumplan con un adecuado nivel de cumplimiento de protección de datos.
  • Seguridad: deben cumplirse unos criterios de seguridad para evitar pérdida de datos y filtraciones no autorizados.
  • Integridad de los datos: debe asegurarse que los datos recabados sean correctos y relevantes para el propósito por los cuales fueron recabados.
  • Acceso: debe existir el derecho de acceso, rectificación o eliminación de los datos recabados.
  • Ejecución: debe garantizarse el cumplimiento de los 7 principios destinando los medios y recursos necesarios.

UE-EEUU Privacy Shield

El reglamento y principios del safe harbor fue anulado en octubre de 2015 por el Tribunal de Justicia de la Unión Europea en la sentencia referida al caso Schrems. Maximillian Schrems hizo una reclamación basándose en que  sus datos personales estaban comprometidos ya que Facebook Ireland Ltd estaba transfiriendo a Estados Unidos los datos personales de sus usuarios, incluidos los suyos, además de conservarlos en los servidores ahí situados.

Gracias a la denuncia de Schrems la Comisión Europea anuló el safe harbor del 2015 estableciendo otras directivas para dar protección y privacidad a los datos personales de los ciudadanos europeos.

En febrero de 2016 la Comisión Europea y el gobierno de Estados Unidos llegaron a un nuevo acuerdo en el que se establecían unos nuevos principios bajo el nombre Escudo de Privacidad (Privacy Shield).

Principios del Privacy Shield

El Privacy Shield, o Escudo de Privacidad, establece una serie de derechos para los ciudadanos y obligaciones a organizaciones para asegurar una protección de datos personales –información extraída de la AGPD-:

  • Derecho a ser informado
  • Limitaciones en el uso de sus datos para diversos fines
  • Minimización de los datos y obligación de guardar los datos únicamente durante el tiempo necesario
  • Obligación de asegurar los datos
  • Obligación de proteger los datos si se transfieren a otra empresa
  • Derecho de acceso y rectificación de sus datos
  • Derecho a presentar una reclamación y a obtener reparación
  • Reparación en caso de acceso por parte de autoridades públicas estadounidenses

Estado actual del Privacy Shield

En virtud del artículo 29 de la Directiva 95/46/CE se creó un organismo consultivo europeo independiente sobre protección de datos y privacidad. A este grupo de trabajo se le llamó WP29 (Working Party). Básicamente procura que se cumpla la elaboración del marco ley del Escudo de Privacidad (Privacy Shield). Sus tareas se describen en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE.

Las Autoridades de Protección de Datos de la UE (APD) dicen que a pesar de las mejoras en el marco del Escudo de la Privacidad han identificado una serie de preocupaciones importantes que deben ser abordadas tanto por la Comisión de la UE como por las autoridades estadounidenses.

A menos que sus preocupaciones se resuelvan antes del 25 de mayo de 2018 cuando el RGPD entre en vigor, las APD llevarán la decisión de Adecuación del Escudo de Privacidad a los tribunales nacionales para que hagan una referencia al Tribunal de Justicia de la Unión Europea para una resolución preliminar.

Así que llegado el 25 de mayo de 2018 habrá dos posibles situaciones legales en relación a la privacidad de datos personales y transacciones comerciales:

  1. Puede dejarse el estado de la cuestión en un vacío legal considerable.
  2. Puede haberse creado un marco legal suficientemente satisfactorio para su aplicación y listo para seguir evolucionándolo.

En cualquier caso debes procurar estar al día con la ley.

¿Cómo debes actuar?

Esta ley te afecta si tienes un negocio que transfiere datos entre EU y EEUU. Esto es posible considerando distintas casuísticas independientemente si tu negocio reside en EU o EEUU:

  • Existen transacciones comerciales entre EU y EEUUque tratan datos personales .
  • Usas herramientas de marketing o productividad que intercambia datos personales entre EU o EEUU.
  • Tu organización empresarial tiene sede/s en EU o EEUU y necesitan compartir datos personales de clientes y/o trabajadores.

Estas tres situaciones no son las únicas. En cualquier caso un agente legal debe asesorarte y procurar adaptar tu negocio a las leyes vigentes. La protección de datos es una cuestión muy delicada, que aún dará que hablar, y que todo negocio debe asegurar unas buenas prácticas regulando sus acciones a la ley vigente.

Recuerda que con Expertos LOPD he llegado a un acuerdo con el que podrás beneficiarte de un 10% de descuento en sus servicios. Expertos LOPD te podrán asesoras sobre aspectos legales sobre privacidad, implantarlos en tus proyectos y entrar en una situación de estabilidad legal. Solo tienes que ponerte en contacto con ellos y comentarles que vienes de parte de automatizalo.com o puedes utilizar el cupón “automatizalo” en el momento de contratar.En su apartado Contratación y Presupuesto podrás calcular con total detalle y sin compromiso el coste de implantación para tu entidad.

Suscríbete a nuestra newsletter semanal