Transferencia de datos entre la UE y EEUU. Escudo de Privacidad

Índice

1. El escudo de privacidad

1.1 La aplicación del Escudo de Privacidad

2. Política de Privacidad de Google


1. El escudo de privacidad

La Comisión Europea adoptó el Escudo de Privacidad UE-EE.UU. (o EU-US Privacy Shield, en inglés) el 12 de julio de 2016. El objetivo del acuerdo es permitir los flujos de datos personales transatlánticos desde la Unión Europea hacia los Estados Unidos de América garantizando, no solamente, un nivel de protección adecuado de los derechos de los ciudadanos europeos, sino también, mecanismos y recursos eficaces en pro de la seguridad jurídica.

Con la adopción del Escudo de Privacidad UE-EE.UU. se reconoce que los Estados Unidos garantiza un nivel de protección de datos personales esencialmente adecuado, permitiendo los flujos de datos desde la Unión Europea hacia dicho país. De esta manera, las empresas estadounidenses que voluntariamente deseen autocertificarse bajo el sistema del Escudo de Privacidad, no necesitarán ni Cláusulas Contractuales Tipo, ni Normas Corporativas Vinculantes, ni algún otro tipo de autorización por parte de una autoridad de control europea competente para poder realizar sus transferencias de datos.

1.1 La aplicación del Escudo de Privacidad

El mecanismo de adecuación es un marco jurídico vinculante al que se someterán voluntariamente las empresas estadounidenses que se encuentren bajo la jurisdicción de la Comisión Federal de Comercio de Estados Unidos (Federal Trade Commission o FTC) y que deseen ser certificadas bajo el mecanismo del Escudo de Privacidad. Las empresas certificadas gozarán de un reconocimiento de sus políticas de privacidad y de los procedimientos de tratamiento y procesamiento de datos personales implementados al interior de la misma. Para esto las empresas interesadas deberán presentar una política de privacidad que esté totalmente en conformidad con los principios previstos en la decisión de adecuación y deberán prever una cláusula en donde se exprese clara y públicamente que dicha empresa forma parte del Escudo de Privacidad. Dicha Política deberá ser clara, comprensible y fácilmente accesible.

Las empresas de Estados Unidos deberán poder probar que cumplen los principios establecidos en el acuerdo Privacy Shield, entre los cuales cabe destacar:

1. Principio de notificación y opción: Proporcionar información a los usuarios en sus políticas de privacidad sobre el tratamiento de los datos personales (tipo de datos recopilados, finalidad del tratamiento, el derecho de acceso y de oposición, las condiciones para las transferencias posteriores, el régimen de responsabilidad, etc).

Deberán además facilitar en sus políticas el enlace a la web del Departamento de Comercio en la que se tenga publicada la Lista Shield, así como la web de un proveedor adecuado para la solución de alternativa de controversias que puedan suscitarse en relación al tratamiento de datos transferidos.

Deberá además darse la opción a los interesados de elegir si su información personal se transfiere a una tercera parte o si su información se utiliza para un fin distinto al que se recabaron los datos inicialmente.

2. Limitar el almacenamiento y tratamiento de datos a lo estrictamente relevante y compatible con la finalidad para la que fueron recabados conforme al consentimiento prestado por el titular de los datos.

3. Garantizar la obtención del consentimiento expreso y explícito en sentido afirmativo a la finalidad concreta por parte del titular de los datos y, más concretamente en caso de tratamiento de datos sensibles (opt in), así como el principio de oposición (opt out) a los usuarios en el caso de que la finalidad con la que se recabarán los datos haya sido modificada .

4. Conservar los datos sólo durante el tiempo que sirve a la finalidad para la que fueron inicialmente recogidos o autorizados. El tratamiento de datos personales extra-limitado a dicho plazo sólo se permite en la medida que el tratamiento sirva para fines de archivo en interés público, periodismo, literatura y arte, ciencia e investigación histórica y análisis estadístico.

5. Tomar las medidas de seguridad técnicas y organizativas “razonables y adecuadas” a la recogida de datos, su almacenamiento y tratamiento, teniendo en cuenta los riesgos involucrados en el tratamiento y la naturaleza de los datos.

Entre estas medidas no debe olvidarse la necesaria firma de contrato con el encargado de tratamiento de datos en el caso de cesión de los mismos con dicha finalidad, obteniendo así el mismo nivel de compromiso a la protección y medidas de seguridad que garanticen el cumplimiento del acuerdo.

6. Garantizar el derecho de acceso al titular de los datos, así como a la corrección, modificación y eliminación de información personal inexacta o tratada en incumplimiento de los principios establecidos en el acuerdo.

7. Proporcionar mecanismos robustos para asegurar el cumplimiento de los principios y establecer las vías necesarias de recurso y reparaciones efectivas para los interesados de la Unión Europea cuyos datos personales sean tratados de forma contraria al acuerdo

Es importante notar que, el Escudo de Privacidad no compromete solamente a las empresas o ámbito comercial, sino también al Gobierno federal de los Estados Unidos.

Cabe destacar que las empresas europeas que transfieran datos de usuarios europeos a empresas en Estados Unidos no tendrán que solicitar autorización previa a la Agencia de Protección de Datos sino verificar que la empresa a la que transfieren datos se haya en adherida al acuerdo y comunicar la transferencia.

Dado que las empresas norteamericanas que realicen esta importación de datos personales de usuarios europeos tendrán que renovar anualmente su certificación de adhesión al acuerdo, verificando que sus políticas cumplen los principios establecidos en el acuerdo, será conveniente revisar la Lista Shield con regularidad para verificar que se continúa dentro de los parámetros de cumplimiento.

2. Política de Privacidad de Google

Google siempre mantiene una copia actualizada de su política de privacidad y que puede encontrarse en el siguiente enlace:

https://www.google.com/intl/es/policies/privacy/

Además, tenemos los códigos de autorregulación actualizados a 20 de septiembre de 2016:

 https://www.google.com/policies/privacy/frameworks/

Tal y como se ha mencionado en el apartado anterior, las políticas de privacidad publicadas por las empresas de EEUU deben adaptarse al Escudo de Privacidad previamente adoptado y firmado por la UE y EEUU.

La presente Política de privacidad describe fundamentalmente los siguientes puntos