Dábamos comienzo al mes de agosto con un análisis en nuestro Blog, de las consecuencias que la resolución del Tribunal de Justicia de la Unión Europea (TJUE) que anulaba el famoso “Privacy Shield” tenía en las transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EEUU) basadas en esta decisión de adecuación.

Con esta resolución, todos los medios se hicieron eco de la novedad, reviviendo así una situación similar a la ya surgida tras la anulación del Safe Harbor en octubre del año 2015. Una diferencia destacable en ese caso fue que, aquellos Responsables de “fichero” que hubiesen notificado a la Agencia Española de Protección de Datos (AEPD), algún fichero con transferencias de datos con destino a EEUU basadas en Safe Harbor, dispusieron de unos meses para responder al requerimiento de la autoridad de control, remitido con el fin de obtener información acerca de la continuidad de dichas transferencias internacionales de datos, sin “exigir” de forma inmediata a la publicación de la resolución la adecuación de estas transferencias internacionales de datos.

Sin embargo, ahora la AEPD no ha previsto o proporcionado periodo alguno para que los responsables y encargados del tratamiento afectados, encuentren alternativas al Privacy Shield, en base al que realizaban ciertas transferencias internacionales de datos, debiendo adaptarse de forma inmediata para que tales flujos transfronterizos sean conformes con la resolución del TJUE.

Precisamente, las transferencias internacionales de datos han vuelto a ser noticia, y en esta ocasión, en relación con el gigante tecnológico Facebook.

Que la licitud de la actividad de Facebook, en lo que al tratamiento de datos personales y privacidad de sus usuarios se refiere, es continuamente cuestionada, no es ninguna novedad. En esta ocasión, la entidad con matriz estadounidense se ha visto afectada entre las 101 reclamaciones sobre transferencias entre la UE y EEUU, presentadas por Noyb (Centro Europeo de Derechos Digitales). Aunque el nombre de Noyb pueda resultar menos conocido, sí que lo es el de Max Schrems, uno de sus cofundadores, abogado y activista de privacidad, que actúa como cara visible de esta organización sin ánimo de lucro, cuyo objetivo es lanzar casos judiciales estratégicos e iniciativas de medios, en apoyo del Reglamento Europeo de Protección de Datos (RGPD), y la privacidad de la información en general.

¿Cuál es el motivo de esta reclamación a Facebook? Tal y como comentábamos al inicio de esta publicación, la anulación del Privacy Shield o Escudo de Privacidad, ha supuesto un gran golpe para empresas como Facebook, y Noyb, que no da tregua a la red social, no ha hecho esperar su reclamación, al comprobar que la entidad continúa realizando transferencias internacionales de datos, antes basadas en el Privacy Shield, desde su sede en Irlanda, Facebook Ireland Limited, a la organización principal Facebook, Inc., con sede en California.

Gracias a la publicación en la página de Noyb de las comunicaciones intercambiadas entre Noyb, Facebook Ireland, y también la Comisión de Protección de Datos de Irlanda (en adelante DPC por sus siglas en inglés: Data Protection Commissioner), hemos podido revisar cuáles son los argumentos de cada una de las partes en esta ida y venida de comunicaciones (aquí las cartas intercambiadas entre Noyb y Facebook):

Publicado en Blog

El pasado 17 de julio iniciábamos el día con una resolución del Tribunal de Justicia de la Unión Europea (TJUE) de mucho peso en el ámbito de la protección de datos. Dicha resolución anula el conocido “Privacy Shield” que hacía posible que se llevasen a cabo transferencias internacionales de datos entre la Unión Europea (UE) y los Estados Unidos (EE. UU).

Las transferencias internacionales: suponen un flujo de datos personales desde el territorio español a destinatarios establecidos en países fuera del Espacio Económico Europeo (los países de la Unión Europea más Liechtenstein, Islandia y Noruega).

El “Privacy Shield” (Escudo de privacidad): es el acuerdo firmado en 2016 en sustitución al anterior marco legal conocido como “Safe Harbour” (Puerto seguro), se encarga de proteger los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfieran a los Estados Unidos aportando claridad jurídica para las empresas que dependen de transferencias internacionales de datos. Asimismo, la propia Decisión 2016/1250 indica queel escudo de la privacidad UE-EE. UU. se basa en un sistema de auto certificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la presente Decisión”.

Pero, ¿qué ha llevado al TJUE a tomar esta decisión?

El origen de la Decisión del TJUE tiene lugar en dos reclamaciones presentadas por el Sr. Schrems, un ciudadano austríaco y usuario de Facebook desde 2008. Este usuario de la red social presentó una reclamación ante la autoridad irlandesa de control en la que solicitaba, esencialmente, que se prohibiesen las transferencias de sus datos personales desde Facebook Ireland a servidores pertenecientes a Facebook Inc., situados en el territorio de Estados Unidos, donde son objeto de tratamiento

En su reclamación alegaba que el Derecho y las prácticas de los Estados Unidos no ofrecían suficiente protección frente al acceso, por parte de las autoridades públicas, a los datos transferidos a ese país. Esta reclamación fue el origen de la antedicha sentencia que declaraba nulo el “Safe Harbor” en 2015 (sentencia del TJUE 6 de octubre de 2015).

En una segunda reclamación este ciudadano austríaco argumenta que Estados Unidos no ofrece una protección suficiente de los datos que se transfieren a ese país y solicita la suspensión o prohibición, de cara al futuro, de las transferencias de sus datos personales desde la Unión a los Estados Unidos por parte de Facebook Ireland.

En base a las reclamaciones indicadas, los principales motivos por los que el TJUE ha tomado la decisión de invalidación del escudo de privacidad son:

En primer lugar, por el riesgo que entiende que presentan los programas de vigilancia estadounidenses para los datos de carácter personal de todos los ciudadanos europeos, dado que expone que el escudo de privacidad puede llegar a menoscabar los derechos fundamentales de las personas cuyos datos se transfieren a servidores que se encuentran alojados en Estados Unidos. El Tribunal estima dicha pretensión toda vez que el tratamiento de los datos no se limita a lo estrictamente necesario, si no que podrían llegar a utilizarse para otros fines que difieren totalmente de lo estipulado, y esto es así ya que la legislación norteamericana en materia de protección de datos es considerada por los jueces como “menos estricta” que la europea, indicando textualmente el TJUE:

«las personas cuyos datos personales se transfieren a un país tercero deben gozar de un nivel de protección sustancialmente equivalente al garantizado dentro de la Unión», aspecto que no se está cumpliendo a través del “Privacy Shield”.

En segundo lugar, otro de los principales motivos por los que lleva al TJUE a tomar la decisión de anular el escudo de privacidad, es la constatación de las limitaciones del derecho a la tutela judicial efectiva que existen en EE. UU. Se ha podido comprobar que la normativa de Estados Unidos no prevé posibilidad alguna de que el justiciable ejerza acciones en Derecho para acceder a los datos personales que le conciernen o para obtener su rectificación o supresión, lo cual está yendo en contra de las garantías prestadas por los países de la Unión Europea.

Entonces, ¿qué alternativas tienen las empresas para realizar Transferencias Internacionales a EE. UU con el Escudo de Privacidad invalidado?

Publicado en Blog

Actualmente y con plenos efectos hasta mayo 2018, si queremos realizar una transferencia internacional de datos, debemos tener presente tanto lo establecido en nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y en nuestro RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, (en adelante RD 1720/2007) ambas normas en vigor y de plena aplicación.

A día de hoy, las transferencias/movimientos internacionales de datos se regulan en los artículos 65 a 70 de la LOPD y en los artículos 33 y 34 del RD 1720/2007, y tenemos como principio general que no pueden realizarse transferencias internacionales de datos con destino a países fuera del Espacio Económico Europeo (EEE) que no proporcionen un nivel de protección equiparable nuestro, salvo autorización previa de la Directora de la Agencia Española de Protección de Datos, (en adelante AEPD).

Según la AEPD países, fuera del EEE, que proporcionan un nivel adecuado de protección son actualmente: Suiza, Guernsey, Isla de Man, Jersey e Islas Feroe, Canadá, Argentina, Andorra, Israel, Uruguay, Nueva Zelanda y EEUU pero sólo aplicable a las entidades estadounidenses adheridas a los principios del vigente Privacy Shield aprobado en julio 2016 y que busca proteger los derechos fundamentales de cualquier ciudadano europeo cuyos datos personales se transfieran a los Estados Unidos, así como aportar claridad jurídica para las entidades que dependen de transferencias internacionales de datos. (Para ver la lista completa de entidades en https://www.privacyshield.gov/list).

Como excepción a la regla general nos encontramos con supuestos legalmente excluidos de la autorización de la Directora de la Agencia Española de Protección de Datos, a modo de resumen:

Publicado en Blog
Viernes, 15 Julio 2016 08:39

¡Ya tenemos Privacy Shield!

El pasado 12 de julio la Comisión Europea adoptaba el Escudo de la Privacidad UE-EE.UU.

El nuevo acuerdo de privacidad con Estados Unidos, el conocido Privacy Shield, refleja los requisitos que el TJUE establecía en su sentencia de 6 de octubre de 2015, conocida como Sentencia del caso Schremes, que declaraba inválido el antiguo acuerdo de Puerto Seguro.

El Privacy Shield busca proteger los derechos fundamentales de cualquier ciudadano europeo cuyos datos personales se transfieran a los Estados Unidos, y aportar claridad jurídica para las empresas que dependen de transferencias internacionales de datos.

El Privacy Shield se basa en los siguientes principios:

Publicado en Blog

El pasado lunes 29 de febrero la Comisión Europea hacía público el borrador del nuevo acuerdo que sustituirá al derogado Safe Harbor, el ya famoso Privacy Shield.

Asimismo, se han dado a conocer los compromisos que el Gobierno de los Estados Unidos ha realizado sobre la aplicación del nuevo acuerdo, garantizando y estableciendo límites al acceso a los datos por las autoridades nacionales de seguridad, asegurando que no habrá vigilancia indiscriminada.

El objetivo principal del Privacy Shield será garantizar a los ciudadanos de la UE los mismos derechos de protección respecto de sus datos de carácter personal cuando sean tratados por entidades norteamericanas. En el caso de que estos derechos no estén garantizados, los datos no saldrán de la Unión Europea.

En el nuevo acuerdo se recogerán también los requisitos establecidos por el Tribunal de Justicia en la sentencia de 6 de octubre de 2015.

Los principales pilares del Privacy Shield serán:

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal