La Comisión Europea ha adoptado el Escudo de la Privacidad UE-EE.UU

La Comisión Europea ha adoptado el Escudo de la Privacidad UE-EE.UU

Escudo privacidad 2

Anunciamos en su momento el nuevo acuerdo Privacy Shield o Escudo de Privacidad entre la Unión Europea y Estados Unidos, pero señalamos también los problemas a los que se enfrentaba su desarrollo. Pues bien, el tema parece haber llegado a su fin y de forma definitiva ya tenemos una regulación para la transferencia internacional hacia USA.

Declaraciones de comisarios

Este nuevo marco protege los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a los Estados Unidos y aporta claridad jurídica para las empresas que dependen de transferencias transatlánticas de datos.

Andrus Ansip, vicepresidente de la Comisión responsable del Mercado Único Digital, ha declarado: «Hoy hemos aprobado el nuevo Escudo de la privacidad UE-EE.UU. Este Escudo protegerá los datos personales de nuestros ciudadanos y aportará claridad a las empresas. Hemos trabajado mucho junto con todos nuestros socios en Europa y en los Estados Unidos para obtener este acuerdo y para tenerlo lo antes posible. Los flujos de datos entre nuestros dos continentes son esenciales para nuestra sociedad y economía: ahora tenemos un marco sólido que garantiza que dichas transferencias se realicen en condiciones mejores y más seguras.»

Escudo privacidad 3

Vĕra Jourová, comisaria de Justicia, Consumidores e Igualdad de Género, ha declarado: «El Escudo de la privacidad UE-EE.UU es un nuevo sistema sólido para proteger los datos personales de los europeos y garantizar la seguridad jurídica a las empresas. Aporta normas más estrictas de protección de datos que se aplican mejor, salvaguardias en cuanto al acceso del Gobierno y un recurso más fácil para los particulares en caso de reclamaciones. El nuevo marco restablecerá la confianza de los consumidores cuyos datos sean transferidos al otro lado del Atlántico. Hemos colaborado con las autoridades europeas de protección de datos, el Parlamento Europeo, los Estados miembros y nuestros homólogos de los Estados Unidos para establecer un sistema con las normas más estrictas para proteger los datos personales de los europeos».

Principios fundamentales del acuerdo

El Escudo de la privacidad UE-EE.UU. se basa en los siguientes principios:

  • Obligaciones rigurosas para las empresas que trabajan con datos: al amparo del nuevo sistema, el Departamento de Comercio de los Estados Unidos llevará a cabo actualizaciones y revisiones periódicas de las empresas participantes, con el fin de garantizar que sigan las normas que ellas mismas han suscrito. Si las empresas no cumplen en la práctica, se enfrentan a sanciones y a ser retiradas de la lista. El endurecimiento de las condiciones para las transferencias ulteriores de datos a terceros garantizará el mismo nivel de protección en caso de transferencia desde una empresa adherida al Escudo de la privacidad.
  • Obligaciones en materia de transparencia y salvaguardias claras para el acceso de la administración estadounidense: los Estados Unidos han dado a la UE garantías de que el acceso de las autoridades públicas a efectos de aplicación de la ley y de seguridad nacional está sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros. También por primera vez, cualquier persona en la UE tendrá a su disposición vías de recurso en la materia. Los Estados Unidos han descartado una vigilancia masiva indiscriminada de los datos personales transferidos hacia ese país en el marco del acuerdo del Escudo de la privacidad UE-EE UU. La Oficina del Director de Inteligencia Nacional explica además que la recopilación en bloque de datos solo podrá utilizarse en condiciones específicas predeterminadas y tiene que ser lo más concreta y precisa posible. Detalla las salvaguardias existentes para la utilización de los datos en esas circunstancias excepcionales. El secretario de Estado estadounidense ha establecido un mecanismo de recurso en el ámbito de la inteligencia nacional para los europeos a través de la figura del Defensor del Pueblo dentro del Departamento de Estado.
  • Protección eficaz de los derechos individuales: cualquier ciudadano que considere que sus datos se han utilizado de forma indebida en el nuevo sistema del Escudo de la privacidad se beneficiarán de varios mecanismos de resolución de litigios accesibles y asequibles. Lo ideal es que las reclamaciones las resuelva la propia empresa; o se ofrecerán gratuitamente mecanismos de resolución alternativa de litigios. Los particulares también podrán dirigirse a sus autoridades nacionales de protección de datos, que colaborarán con la Comisión Federal de Comercio para garantizar que las reclamaciones de los ciudadanos de la UE se investiguen y resuelvan. Si un asunto no se resuelve por un medio u otro, estará previsto, en última instancia, un mecanismo dearbitraje. El mecanismo de recurso en el ámbito de la seguridad nacional para los ciudadanos de la UE será gestionado por un Defensor del pueblo independiente de los servicios de inteligencia de los Estados Unidos.
  • Mecanismo de revisión conjunta anual: el mecanismo hará un seguimiento del funcionamiento del Escudo de la privacidad, incluidos los compromisos y garantías en lo que se refiere al acceso a los datos a efectos de aplicación de la ley o de seguridad nacional. La Comisión Europea y el Departamento de Comercio de los Estados Unidos llevarán a cabo el examen y asociarán al mismo a expertos nacionales de inteligencia de los Estados Unidos y a las autoridades europeas de protección de datos. La Comisión se basará en todas las demás fuentes de información disponibles y presentará un informe público al Parlamento Europeo y al Consejo.

Desde la presentación del proyecto de Escudo de la privacidad en febrero, la Comisión ha tenido en cuenta los dictámenes de las autoridades europeas de protección de datos (Grupo de Trabajo del Artículo 29) y del Supervisor Europeo de Protección de Datos, y la Resolución del Parlamento Europeo de incluir una serie de aclaraciones y mejoras adicionales. La Comisión Europea y los Estados Unidos acordaron en particular introducir aclaraciones adicionales sobre la recopilación de datos en bloque, reforzar el mecanismo del Defensor del Pueblo e introducir obligaciones más explícitas para las empresas por lo que respecta a los límites de conservación y de transferencias ulteriores.

Escudo privacidad 4

Próximas etapas: la «decisión de adecuación» será notificada hoy a los Estados miembros y, con ello, entrará en vigor inmediatamente. Por parte de los Estados Unidos, el marco del Escudo de la privacidad se publicará en el Federal Register (Registro Federal), el equivalente a nuestro Diario Oficial. El Departamento de Comercio de los Estados Unidos comenzará a operar el Escudo de la privacidad. Una vez las empresas hayan tenido ocasión de revisar el marco y de actualizar su cumplimiento, podrán certificarse ante el Departamento de Comercio a partir del 1 de agosto. Al mismo tiempo, la Comisión publicará una breve guía para los ciudadanos en la que explica las vías de recurso disponibles en caso de que un particular considere que sus datos personales se han utilizado sin tener en cuenta las normas de protección de datos.

Antecedentes

El 2 de febrero de 2016, la Comisión Europea y el Gobierno de los Estados Unidos alcanzaron un acuerdo político sobre un nuevo marco para los intercambios transatlánticos de datos personales con fines comerciales: el Escudo de la privacidad UE-EE.UU (IP/16/216). La Comisión presentó los textos del proyecto de decisión el 29 de febrero de 2016. Tras el dictamen del Grupo de Trabajo del Artículo 29 (autoridades de protección de datos) de 13 de abril y la Resolución del Parlamento Europeo de 26 de mayo, la Comisión culminó el procedimiento de adopción el 12 de julio de 2016.

El Escudo de la privacidad UE-EE.UU refleja los requisitos establecidos por el Tribunal de Justicia en su sentencia de 6 de octubre de 2015, en la que declaraba inválido el antiguo marco de «puerto seguro».

Escudo privacidad

Preguntas frecuentes

¿Qué es el escudo de privacidad de la UE-Estados Unidos?

Después de dos años y medio de negociaciones, la Comisión Europea y el Departamento de Comercio de Estados Unidos el 2 de febrero el año 2016 llegaron a un acuerdo sobre un nuevo marco para los intercambios transatlánticos de datos personales con fines comerciales: el Escudo de Privacidad UE-Estados Unidos. Este nuevo marco proteger los derechos fundamentales de las personas, donde sus datos se transfieren a los Estados Unidos y garantizar la seguridad jurídica para las empresas. El 12 de julio de 2016, tras una votación positiva por parte de los Estados miembros (artículo 31 de la comisión) el 8 de julio, el Colegio de Comisarios adoptó formalmente el escudo de privacidad.

La privacidad de la UE-EEUU Escudo refleja los requisitos establecidos por el Tribunal de Justicia en su sentencia el 6 de octubre de 2015, que declaró el antiguo marco de puerto seguro válido.

El nuevo acuerdo va a imponer obligaciones más estrictas en las compañías en los EE.UU. para proteger los datos personales de los individuos y más fuerte vigilancia y el cumplimiento por el Departamento de Comercio de Estados Unidos y la Comisión Federal de Comercio (FTC), que incluye un aumento de la cooperación con las autoridades de protección de datos europeos. El nuevo acuerdo incluye el compromiso y la garantía escrita por los EE.UU. que cualquier acceso de las autoridades públicas a los datos personales transferidos en virtud de la nueva disposición por razones de seguridad nacional estará en condiciones claramente, limitaciones y supervisión, evitando el acceso generalizado. El mecanismo Defensor recién creada se encargará de resolver las quejas y o consultas planteadas por los individuos de la UE en este contexto.

¿Qué es una decisión de adecuación?

Una “decisión de adecuación” es una decisión adoptada por la Comisión Europea, que establece que un país no perteneciente a la UE garantiza un nivel adecuado de protección de datos personales en virtud de su legislación nacional y los compromisos internacionales.

El efecto de esta decisión es que los datos personales pueden fluir de los 28 Estados miembros de la UE (y los tres países miembros del Espacio Económico Europeo: Noruega, Liechtenstein e Islandia) a ese país tercero, sin ninguna restricción adicional.

El marco Escudo de Privacidad UE-Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos a la privacidad de EE.UU., la UE y Estados Unidos Escudo consta de principios de privacidad que las empresas deben acatar y compromisos sobre cómo se hará cumplir la disposición (compromisos por escrito y la garantía de el Secretario de Estado John Kerry, el secretario de Comercio Penny Pritzker, la Comisión Federal de Comercio y la Oficina del director de Inteligencia Nacional, entre otros).

¿Qué ofrece el nuevo escudo de privacidad de la UE-Estados Unidos?

La privacidad de la UE-EEUU se dirige Escudo tanto las recomendaciones formuladas por la Comisión en noviembre de 2013 y los requisitos establecidos por el Tribunal de Justicia en su sentencia el 6 de octubre de 2015, que declaró el antiguo marco de puerto seguro válido.

El nuevo acuerdo incluirá:

  • Las revisiones periódicas de las empresas por el Departamento de Comercio de los participantes en cuanto a su cumplimiento de las normas de protección de datos aplicables.
  • El nuevo acuerdo será transparente y contienen mecanismos de supervisión eficaces para garantizar que las empresas siguen las reglas se sometieron a. Si las empresas no cumplen en la práctica se enfrentan a sanciones y retirada de la lista Escudo de privacidad.
  • Condiciones más estrictas para las transferencias posteriores a terceros por parte de las empresas participantes en el esquema.La obligación de proporcionar al “mismo nivel de protección” se aclaró durante el proceso de adopción y ahora incluye la obligación de que el tercero interesado a informar a la compañía escudo de privacidad cuando ya no es capaz de garantizar el nivel adecuado de protección de datos, que luego tendrá que tomar las medidas adecuadas.
  • La limitación actual de retención de datos se ha hecho más explícito. Las empresas pueden mantener los datos personales sólo el tiempo que ello contribuya a la finalidad se recogieron los datos para.
  • Limitaciones claras y garantías con respecto al acceso gobierno de los EE.UU.
  • Compromisos fuertes y por escrito de la Oficina del Director de Inteligencia Nacional (Casa Blanca), descartando la vigilancia masiva indiscriminada en los datos transferidos en virtud de la disposición de protección de privacidad.
  • En el curso del proceso de adopción, la Oficina del Director de Inteligencia Nacional aclarada mediante un documento adicional de cómo recolección masiva de datos sólo puede ser utilizado bajo condiciones específicas y tiene que ser lo más centrado posible, en particular mediante el uso de filtros y la necesidad de reducir al mínimo la recogida de información no pertinente. También explica por qué salvaguardias existen para el uso de estos datos. El nuevo documento una vez más descarta el uso de la vigilancia masiva indiscriminada por parte de los EE.UU.
  • La secretaria de Estado estadounidense, John Kerry ha comprometido a establecer una posibilidad de reparación en el área de la seguridad nacional para las personas de la UE a través de un Defensor dentro del Departamento de Estado, que será independiente de los servicios de seguridad nacionales. El Defensor dará seguimiento a las quejas y consultas por parte de personas de la UE con respecto al acceso a la seguridad nacional y confirmar a la persona que las leyes pertinentes se han cumplido o, en caso de incumplimiento, que tal incumplimiento ha sido subsanado.
  • Para vigilar periódicamente el funcionamiento de la disposición habrá una revisión conjunta anual, que incluirá también la cuestión del acceso de seguridad nacional. La Comisión Europea y el Departamento de Comercio de Estados Unidos llevará a cabo el examen y los expertos en seguridad nacional de los EE.UU. asociados y las autoridades europeas de protección de datos a la misma. El Privacy Shield es un mecanismo vivo, que será revisada continuamente para comprobar si funciona bien. En caso de un nivel adecuado de protección de datos por parte del escudo de privacidad ya no está garantizada, la Comisión Europea tomará las medidas apropiadas, incluida la suspensión de su decisión de adecuación.
  • La protección efectiva de los derechos de europeos. Cualquier ciudadano que considere que sus datos han sido mal bajo el esquema de Privacidad Escudo se beneficiará de varios mecanismos de resolución de conflictos accesibles y asequibles:
  • Idealmente, ya partir de la experiencia, la queja será resuelta por la propia empresa.
  • Empresas Escudo de privacidad pueden optar entre el libre de la resolución alternativa de conflictos carga (ADR) o la sumisión voluntaria a la supervisión de las autoridades de protección de datos de la UE.
  • En cualquier caso, las personas pueden acudir a las autoridades de protección de datos de la UE que va a canalizar sus quejas al Departamento de Comercio y / o la Comisión Federal de Comercio (FTC) para asegurar que las quejas por parte de personas son investigadas y resueltas. Estos casos deben ser resueltos en un plazo de tiempo razonable: si DPA somete el asunto a los EE.UU., el Departamento de Comercio tendrá un plazo para responder. En cuanto a la FTC, se ha comprometido a dar prioridad a las quejas de los individuos.
  • Si un caso no se resuelve por cualquiera de los otros medios, como último recurso, habrá un mecanismo de arbitraje disponible.
  • Compensación en el ámbito de la seguridad nacional para cualquier persona cuyos datos se transfiere a los EE.UU. será manejada por una organización independiente Defensor de los servicios de inteligencia de Estados Unidos. Durante el proceso de adopción el funcionamiento y la independencia del Defensor se han aclarado aún más, en particular, su independencia y su cooperación con otros órganos de supervisión independientes con facultades de investigación.

¿Cómo será en concreto trabajar con el escudo de privacidad?

Las empresas estadounidenses que se registren para estar en la lista Escudo de privacidad y auto-certificar que cumplen con las normas de protección de datos de alta establecidos por la disposición. Ellos tendrán que renovar su registro cada año.

El Departamento de Comercio de Estados Unidos va a supervisar y verificar activamente que las políticas de privacidad de las empresas están en línea con los principios del escudo de privacidad relevantes y de fácil acceso para el público.

Los EE.UU. ha comprometido a mantener una lista actualizada de los miembros actuales del escudo de privacidad y la eliminación de aquellas empresas que han salido de la disposición. El Departamento de Comercio se asegurará de que las empresas que están no son miembros de Privacy Shield aún deben continuar aplicando sus principios a los datos personales recibidos cuando estaban en la Privacy Shield, durante todo el tiempo a medida que continúan para retenerlos.

¿Cómo pueden las personas obtener una reparación en los EE.UU. si sus datos están mal utilizado por empresas comerciales?

Cualquier persona que considera que ha sido mal sus datos tendrán varias posibilidades de recurso en virtud de la nueva disposición:

  • Presentar una reclamación ante la propia empresa: Las empresas se comprometen a responder a las quejas dentro de los 45 días.Además, cualquier empresa de manejo de datos de recursos humanos de individuos tiene que comprometerse a cumplir con el asesoramiento de la Autoridad competente de la UE de protección de datos (DPA), mientras que otras compañías pueden voluntariamente tal compromiso. La Comisión anima a las empresas a hacerlo.
  • Llevar su queja a su DPA “casa”: El DPA remitirá la queja al Departamento de Comercio, que responderá dentro de 90 días, o la Comisión Federal de Comercio, si el Departamento de Comercio no es capaz de resolver el asunto.
  • Usar resolución alternativa de conflictos, una herramienta libre de cargo a la que las compañías estadounidenses pueden inscribirse como uno de los mecanismos de reparación necesarios para la participación bajo el escudo de privacidad. Se requerirá a las empresas a incluir en sus políticas de privacidad publicadas sobre el organismo independiente de resolución de conflictos donde los consumidores pueden dirigir sus quejas. Deben proporcionar un enlace a la página web de su proveedor de solución de controversias elegido y el Departamento de Comercio verificará que las empresas han puesto en práctica esta obligación.
  • Si un caso no se resuelve por cualquiera de los otros medios, como último recurso, habrá un mecanismo de arbitraje. Los individuos serán capaces de recurrir a la privacidad Panel Shield, un mecanismo de resolución de disputas que puede tomar decisiones vinculantes contra las empresas autocertificados estadounidenses. Se asegura de que cada denuncia se está tratando y que el individuo obtiene un remedio. Varias características favorables al consumidor ” (por ejemplo, sin costo, posibilidad de participar por videoconferencia, libre de cargo traducción e interpretación) garantizar que las personas no se animan a hacer uso del panel.

¿Qué cambios se han realizado en los EE.UU. desde las revelaciones de Snowden?

El Gobierno de Estados Unidos y el Congreso puso en marcha importantes reformas de vigilancia en respuesta a las revelaciones de Snowden.

En enero de 2014, el presidente Obama emitió la Directiva Presidencial Política 28 (PPD-28), que impone limitaciones importantes para las operaciones de inteligencia. Se especifica que la recopilación de datos por los servicios de inteligencia debería, por regla general, ser objetivo. Además, el PPD-28 limita el uso excepcional de recolección masiva de datos a seis fines de seguridad nacional (contrarrestar las amenazas de espionaje, el terrorismo, las armas de destrucción masiva, las amenazas a la seguridad cibernética o de las Fuerzas Armadas, o amenazas criminales transnacionales) para proteger mejor la privacidad de todas las personas, incluidos los ciudadanos no estadounidenses.

Desde 2015, la Ley de Libertad de EE.UU. también limita recolección masiva de datos y permite a las empresas para emitir informes de transparencia sobre el número aproximado de solicitudes de acceso del gobierno.

La Comisión supervisará continuamente la situación y seguir los próximos informes de la privacidad y las libertades Junta de Supervisión Civil evaluación de la ejecución del PPD-28, así como la revisión de la Sección 702 de la FISA Programa relativo a la vigilancia externa con vencimiento en 2017.

¿Cuáles son las garantías en cuanto al acceso de seguridad nacional para los datos transferidos a los EE.UU.?

Por primera vez, los EE.UU. han dado garantías por escrito de la UE, que se publicará en el Registro Federal, que el acceso de las autoridades públicas para la aplicación de la ley y seguridad nacional será objeto de despejar limitaciones, garantías y mecanismos de supervisión. Los EE.UU. asegura explícitamente que no hay vigilancia indiscriminada o masa. Para vigilar periódicamente el funcionamiento de la disposición y los compromisos adquiridos, habrá una revisión conjunta anual, que incluirá también la cuestión del acceso de seguridad nacional. La Comisión Europea y el Departamento de Comercio de Estados Unidos llevará a cabo la revisión y invitar a expertos nacionales de inteligencia de las autoridades de protección de datos de Estados Unidos y Europa a la misma.

¿Cuál será el papel del mecanismo Defensor?

La posibilidad de reparación en el ámbito de la seguridad nacional para todo el mundo, cuyos datos se transfiere a los EE.UU. estará a cargo de un Defensor, independiente de los servicios de inteligencia de Estados Unidos. Este es un nuevo mecanismo introducido por la disposición de protección de privacidad.

El mecanismo Defensor se ocupará de las quejas individuales de las personas si temen que su información personal se ha utilizado de forma ilícita por las autoridades estadounidenses en el área de la seguridad nacional. Este mecanismo de recurso informará al reclamante si el asunto ha sido investigado adecuadamente y que, o bien la ley estadounidense se ha cumplido o, en caso de incumplimiento, esto ha sido subsanado.

¿Cómo han sido satisfechos los requisitos de la sentencia del TJCE?Escudo privacidad 2

  • El seguimiento y la supervisión. El nuevo acuerdo será transparente y contienen mecanismos de supervisión eficaces para garantizar que las empresas siguen las reglas se sometieron a. Los EE.UU. se ha comprometido a una mayor supervisión por el Departamento de Comercio, así como una mayor cooperación entre las autoridades de protección de datos europeos y la Comisión Federal de Comercio. Esto transformará el sistema de un auto-regulación de uno en un sistema de vigilancia que es más sensible, así como proactivo.
  • Las limitaciones al acceso a los datos personales con fines de seguridad nacional. Las autoridades de Estados Unidos establecen el mecanismo de control de seguridad y limitación y supervisión en el lugar de cualquier acceso a los datos de las autoridades públicas con fines de seguridad nacional. Los EE.UU. afirma que no hay vigilancia indiscriminada, en masa.Para quejas sobre la posible acceso de las autoridades nacionales de inteligencia, un nuevo mecanismo Defensor será establecido, independiente de los servicios de inteligencia.
  • Todas las quejas individuales serán atendidas y resueltas. Habrá un número de maneras de abordar las quejas, a partir de la resolución de disputas por la empresa Escudo de privacidad y libre de soluciones alternativas de resolución de conflictos cargo. Las personas también pueden acudir a las autoridades de protección de datos que van a trabajar en conjunto con el Departamento de Comercio y la Comisión Federal de Comercio de Estados Unidos para asegurar que las quejas por parte de personas son investigadas y resueltas. Si un caso no se resuelve por cualquiera de los otros medios, como último recurso, habrá un mecanismo de arbitraje. Compensación en el ámbito de la seguridad nacional de los individuos será manejada por una organización independiente Defensor de los servicios de inteligencia de Estados Unidos.
  • La revisión regular de las decisiones de adecuación. La UE y los EE.UU. han acordado establecer un nuevo mecanismo para controlar el funcionamiento del escudo de privacidad a través de un examen anual conjunto. La Comisión y el Departamento de Comercio llevarán a cabo esta revisión, que servirá para fundamentar los compromisos adquiridos.El examen conjunto implicaría, en su caso, los representantes de la comunidad de inteligencia de Estados Unidos y proporcionará un proceso dinámico y continuo para asegurar que la privacidad del escudo está funcionando de acuerdo con los principios y compromisos adquiridos.


1 comentario

Deja un comentario