Safe Harbor
Safe Harbor es un acuerdo alcanzado en el año 2000 entre la Unión Europea y EEUU para permitir el libre flujo de datos entre ambas regiones.
Contenido
Definición
En el año 1998 entró en vigor la Directiva de Protección de datos de la UE, que entre otras cosas prohibía que se transfirieran datos personales de ciudadanos europeos a otros países de fuera de la Unión si estos países no cumplían con ciertos estándares de protección de datos. Según dicha Directiva, muchas compañías de Estados Unidos -entre las que se encontraban nombres propios como Facebook, Google o Twitter- se quedaban fuera.
Para solucionar esto, la Unión Europea y Estados Unidos llegaron en el año 2000 a un acuerdo que llamaron Safe Harbor. Cualquier empresa estadounidense podía solicitar adherirse a dicho acuerdo que, sin embargo, tenía unos requisitos muy fáciles de cumplir y que estaban por debajo de los que pedía la Unión Europea en lo que a política de protección de datos se refiere. Se trataba de una una especie de atajo o trato de favor, por definirlo de alguna forma: a las empresas estadounidenses se les exigían sólo unas condiciones muy laxas y que ellas mismas comprobaban para poder transferir datos personales de europeos a sus sedes en Estados Unidos.
Puesta en duda de Safe Harbor
En octubre de 2015, un ciudadano austriaco llevó a juicio a la Agencia de Protección de Datos irlandesa, por la que se rige Facebook,después de que las filtraciones de Edward Snowden demostraran que la red social no hizo nada por evitar la vigilancia masiva de la NSA durante años. Esto probó que, de hecho, el acuerdo Safe Harbor era de todo menos seguro.
La Agencia de Protección de Datos irlandesa replicó entonces que ellos poco podían hacer ya que, si bien la compañía tiene sede en Irlanda, gracias al acuerdo "Safe Harbour" puede enviar los datos de sus usuarios a Estados Unidos y tratarlos allí cumpliendo unas directrices mínimas de seguridad. Ellos, según dicho tratado, no podían decir nada sobre ello ya que el acuerdo se cerró entre la Unión Europea y Estados Unidos, sin margen de acción para los países miembros.
Sentencia del Tribunal de Justicia
A raíz de la denuncia comentada, el Tribunal de Justicia de la UE decretó que las agencias nacionales de protección de datos pudieran dar su opinión acerca de la aplicación de Safe Harbor dentro de su país, pudiendo incluso llegar a prohibirlo.
Esto permitía que dichas agencias obligaran a las compañías internacionales a tomar una decisión: o almacenan y tratan todos los datos de sus usuarios dentro de las fronteras de la Unión Europea o se comprometen a dar una protección real a dicha información, a salvo de la NSA y otras agencias de inteligencia.
Privacy Shield
El 29 de enero de 2016, Safe Harbor quedó definitivamente anulado en favor de un nuevo acuerdo llamado Privacy Shield. Dicho documento implica nuevas obligaciones para las empresas estadounidenses, que colaborarán con las autoridades de protección de datos de los 28 y estarán obligadas a publicar reglas específicas sobre el tratamiento de los datos que recopilan; una normativa que supervisará el propio Departamento de Comercio y cuyo incumplimiento deberá ser respondido ante los tribunales correspondientes.
El Privacy Shield incluirá los elementos siguientes: Obligaciones rigurosas para las empresas que trabajan con los datos personales de los europeos y estricta aplicación, dichas empresas deberán comprometerse a cumplir obligaciones rigurosas por lo que respecta a las modalidades de tratamiento de los datos personales y a la garantíade los derechos individuales. Además, toda empresa que gestione datos de recursos humanos de Europa deberá comprometerse a cumplir las decisiones adoptadas por las autoridades europeas de protección de datos.Salvaguardias y obligaciones en materia de transparencia claras para el acceso de la administración estadounidense, ya que por primera vez, los Estados Unidos han concedido a la UE garantías de que el acceso de las autoridades públicas encargadas de los servicios coercitivos y de la seguridad nacional estará sujeto a limitaciones, salvaguardas y mecanismos de supervisión claros.Protección eficaz de los derechos de los ciudadanos de la UE con varias posibilidades de recurso, todos los ciudadanos que consideren que sus datos se han utilizado de forma indebida en el nuevo mecanismo disponen de varias posibilidades de recurso. Se fijan plazos para que las empresas respondan a las reclamaciones. Además, la resolución alternativa de litigios será gratuita y se creará un nuevo Defensor del Pueblo para tratar las reclamaciones relativas al acceso por parte de lasautoridades de inteligencia nacionales.
