Safe Harbor

From FdIwiki ELP
Jump to: navigation, search

Principios internacionales safe harbor

Los principios internacionales safe harbor en materia de privacidad hacen referencia a un proceso de cooperación por el que las organizaciones de Estados Unidos cumplen con la Directiva 95/46/CE de la Unión Europea, relativa a la protección de datos personales. Pensados para organizaciones que operen entre Estados Unidos y la Unión Europea y que alojen datos personales de sus clientes y/o usuarios, los principios internacionales safe harbor están pensados para prevenir pérdidas o filtraciones no autorizadas de información. Para optar a incorporarse al programa safe harbor deberán cumplir con los siete principios de la Directiva 95/46/CE. Los principios fueron desarrollados por el Departamento de Comercio de Estados Unidos en colaboración con la Unión Europea. El 6 de octubre de 2015, los acuerdos de "safe harbor" entre la Comunidad Europea y los Estados Unidos fueron declarados inválidos, como consecuencia de las revelaciones de Edward Snowden.

Definición

En el año 1998 entró en vigor la Directiva de Protección de datos de la UE, que entre otras cosas prohibía que se transfirieran datos personales de ciudadanos europeos a otros países de fuera de la Unión si estos países no cumplían con ciertos estándares de protección de datos. Según dicha Directiva, muchas compañías de Estados Unidos -entre las que se encontraban nombres propios como Facebook, Google o Twitter- se quedaban fuera.

Para solucionar esto, la Unión Europea y Estados Unidos llegaron en el año 2000 a un acuerdo que llamaron Safe Harbor. Cualquier empresa estadounidense podía solicitar adherirse a dicho acuerdo que, sin embargo, tenía unos requisitos muy fáciles de cumplir y que estaban por debajo de los que pedía la Unión Europea en lo que a política de protección de datos se refiere. Se trataba de una una especie de atajo o trato de favor, por definirlo de alguna forma: a las empresas estadounidenses se les exigían sólo unas condiciones muy laxas y que ellas mismas comprobaban para poder transferir datos personales de europeos a sus sedes en Estados Unidos.

Contexto

Para entender la creación de los principios safe harbor hemos de situarnos en el contexto proteccionista que la Unión Europea establece para la privacidad de sus ciudadanos. Esta protección es mucho más fuerte en Europa que en otras regiones del mundo. Las organizaciones que operan en la Unión Europea no están autorizadas a realizar transferencias internacionales de datos a países ubicados fuera del Espacio Económico Europeo a no ser que los mismos ostenten niveles adecuados de protección. Dicha protección puede producirse a nivel nacional (si las leyes del país se comprometen a ofrecer la misma protección) o a nivel de organización (si una multinacional elabora y cumple sus controles internos de protección de datos). Los principios internacionales safe harbor permiten a las organizaciones de Estados Unidos registrar su certificado si cumplen con los requisitos de la Unión Europea.

Puesta en duda de Safe Harbor

En octubre de 2015, un ciudadano austriaco llevó a juicio a la Agencia de Protección de Datos irlandesa, por la que se rige Facebook,después de que las filtraciones de Edward Snowden demostraran que la red social no hizo nada por evitar la vigilancia masiva de la NSA durante años. Esto probó que, de hecho, el acuerdo Safe Harbor era de todo menos seguro.

La Agencia de Protección de Datos irlandesa replicó entonces que ellos poco podían hacer ya que, si bien la compañía tiene sede en Irlanda, gracias al acuerdo "Safe Harbour" puede enviar los datos de sus usuarios a Estados Unidos y tratarlos allí cumpliendo unas directrices mínimas de seguridad. Ellos, según dicho tratado, no podían decir nada sobre ello ya que el acuerdo se cerró entre la Unión Europea y Estados Unidos, sin margen de acción para los países miembros.

Sentencia del Tribunal de Justicia

A raíz de la denuncia comentada, el Tribunal de Justicia de la UE decretó que las agencias nacionales de protección de datos pudieran dar su opinión acerca de la aplicación de Safe Harbor dentro de su país, pudiendo incluso llegar a prohibirlo.

Esto permitía que dichas agencias obligaran a las compañías internacionales a tomar una decisión: o almacenan y tratan todos los datos de sus usuarios dentro de las fronteras de la Unión Europea o se comprometen a dar una protección real a dicha información, a salvo de la NSA y otras agencias de inteligencia.

Privacy Shield

El 29 de enero de 2016, Safe Harbor quedó definitivamente anulado en favor de un nuevo acuerdo llamado Privacy Shield. Dicho documento implica nuevas obligaciones para las empresas estadounidenses, que colaborarán con las autoridades de protección de datos de los 28 y estarán obligadas a publicar reglas específicas sobre el tratamiento de los datos que recopilan; una normativa que supervisará el propio Departamento de Comercio y cuyo incumplimiento deberá ser respondido ante los tribunales correspondientes.

El Privacy Shield incluirá los elementos siguientes: Obligaciones rigurosas para las empresas que trabajan con los datos personales de los europeos y estricta aplicación, dichas empresas deberán comprometerse a cumplir obligaciones rigurosas por lo que respecta a las modalidades de tratamiento de los datos personales y a la garantíade los derechos individuales. Además, toda empresa que gestione datos de recursos humanos de Europa deberá comprometerse a cumplir las decisiones adoptadas por las autoridades europeas de protección de datos.Salvaguardias y obligaciones en materia de transparencia claras para el acceso de la administración estadounidense, ya que por primera vez, los Estados Unidos han concedido a la UE garantías de que el acceso de las autoridades públicas encargadas de los servicios coercitivos y de la seguridad nacional estará sujeto a limitaciones, salvaguardas y mecanismos de supervisión claros.Protección eficaz de los derechos de los ciudadanos de la UE con varias posibilidades de recurso, todos los ciudadanos que consideren que sus datos se han utilizado de forma indebida en el nuevo mecanismo disponen de varias posibilidades de recurso. Se fijan plazos para que las empresas respondan a las reclamaciones. Además, la resolución alternativa de litigios será gratuita y se creará un nuevo Defensor del Pueblo para tratar las reclamaciones relativas al acceso por parte de lasautoridades de inteligencia nacionales.

Principios

Son siete los principios clave que recoge la Directiva 95/46/CE y que deben cumplir aquellas organizaciones que quieran ostentar el calificativo de safe harbor:

  • Información: los interesados deberán ser informados de que sus datos personales están siendo recogidos y que serán tratados únicamente con la finalidad para la que fueron recogidos.
  • Elección: los interesados tendrán el derecho de cancelación y oposición a que sus datos sean recogidos una vez sean recabados y a oponerse a la cesión o transferencia a terceros.
  • Transferencia progresiva: la cesión de datos a terceros se llevará a cabo con organizaciones que también garanticen un adecuado nivel de cumplimiento de protección de datos.
  • Seguridad: se deben establecer y cumplir determinadas medidas de seguridad para prevenir pérdidas de información y accesos no autorizados.
  • Integridad de los datos: los datos deberán ser relevantes y exactos para el propósito para el que fueron recogidos.
  • Acceso: los interesados podrán acceder en todo momento a la información que haya sido recabada acerca de ellos y podrán corregirla o eliminarla si es inexacta o inadecuada.
  • Ejecución: se deben destinar medios y recursos para garantizar el debido cumplimiento de estos principios.

Enlaces externos