La Comisión Europea adoptó el Escudo de Privacidad UE-EE.UU. (o EU-US Privacy Shield, en inglés) el 12 de julio de 2016. Su adopción es el resultado de importantes negociaciones que empezaron en 2013 y que fueron encabezadas por Andrus Ansip (Vicepresidente de la Comisión Europea y Comisario europeo de Mercado Único Digital), Věra Jourová (Comisaria europea de Justicia, Consumidores e Igualdad de Género) y Penny Pritzker (Secretaria de Comercio de los Estados Unidos de América).
El objetivo del acuerdo es de permitir los flujos de datos personales transatlánticos desde la Unión Europea hacia los Estados Unidos de América garantizando, no solamente, un nivel de protección adecuado de los derechos de los ciudadanos europeos, sino también, mecanismos y recursos eficaces en pro de la seguridad jurídica. Cabe mencionar que el acuerdo predecesor del Escudo de Privacidad es el Safe Harbor –una decisión de adecuación que fue invalidada por el Tribunal de Justicia de Unión Europea (TJUE) el 6 de octubre de 2015.
Es importante recordar que la regla general prevista en la Directiva 95/46/CE es la interdicción de transferencias fuera de la Unión Europea y que, en principio, sólo se pueden transferir datos a un país tercero si éste garantiza un nivel de protección adecuado (artículo 25 de la Directiva 95/46/CE). En la Unión Europea existen tres mecanismos de conformidad para las transferencias de datos personales: las Cláusulas Contractuales Tipo (CCT), las Normas Corporativas Vinculantes (también conocidas como Binding Corporate Rules o BRC) y las Decisiones de adecuación.
Una decisión de adecuación es una fallo adoptado por la Comisión Europea, fundado y motivado por el apartado 6 del artículo 25 de la Directiva 95/46/CE, la misma que da paso a un mecanismo de adecuación en el cual se reconoce que un país tercero garantiza, en razón de su legislación interna o de sus compromisos internacionales, un nivel suficientemente adecuado o equivalente al europeo en materia de protección de datos personales. Con la adopción del Escudo de Privacidad UE-EE.UU. se reconoce que los Estados Unidos garantiza un nivel de protección de datos personales esencialmente adecuado, permitiendo los flujos de datos desde la Unión Europea hacia dicho país. De esta manera, las empresas estadounidenses que voluntariamente deseen autocertificarse bajo el sistema del Escudo de Privacidad, no necesitarán ni Cláusulas Contractuales Tipo, ni Normas Corporativas Vinculantes, ni algún otro tipo de autorización por parte de una autoridad de control europea competente para poder realizar sus transferencias de datos.
Los antecedentes
Para entender los grandes momentos de la historia de las negociaciones del escudo de protección, hay que situarse desde un ángulo político, económico y jurídico para poder comprender el alcance de las disposiciones del Escudo de Privacidad. Así, un momento que marcó drásticamente las negociaciones fue cuando, en junio de 2013, Edward Snowden reveló información sobre la red de vigilancia masiva e indiscriminada a nivel mundial y las actividades de inteligencia de la Agencia de Seguridad Nacional de los Estados Unidos (NSA, por sus siglas en inglés) como, por ejemplo, los programas secretos de vigilancia PRISM o el XKeyscore. De esta manera, y bajo un clima de gran tensión, empezaron las negociaciones con los Estados Unidos que llevan un objetivo primordial -llegar a acuerdos marco (generales y específicos como, por ejemplo, en transferencias de datos) capaces de restablecer la confianza.
Rápidamente, las señales de una verdadera voluntad política para mejorar las relaciones entre la Unión Europea y los Estados Unidos fueron dadas por parte de los estadounidenses. Por ejemplo, en enero de 2014, el Presidente Barack Obama confirmó la necesidad de reformar algunos aspectos en materia de inteligencia y vigilancia masiva. En este sentido, Obama presentó el Presidential Policy Directive (PPD-28), que establece una serie de principios generales que rigen y restringen la recopilación masiva de datos y que tiene por finalidad la seguridad nacional, comprometiéndose a establecer claras limitaciones en lo relativo a la recopilación masiva de datos, asegurando garantías y mecanismos de supervisión de las actividades de inteligencia.
Adicionalmente, en junio de 2015, se promulgó el USA Freedom Act, que modifica algunas disposiciones del Patriot Act, imponiendo nuevos límites a la recopilación de metadatos de los ciudadanos estadounidenses por medio de los sistemas de telecomunicación interceptados por parte de las agencias de inteligencia de los Estados Unidos. Posteriormente, en septiembre de 2015, la Unión Europea y los Estados Unidos llegaron a un acuerdo que garantiza altos estándares de protección de datos para las transferencias transatlánticas de información con fines policiales, dicho acuerdo es mejor conocido como el EU-US Umbrella Agreement.
Volviendo al ámbito comercial de los flujos transatlánticos, en noviembre de 2013, la Comisión Europea se manifestó sobre las revelaciones de Snowden y reconoció que el espionaje había afectado negativamente la confianza en la que se basa la cooperación con los Estados Unidos. En ese sentido, la Comisión hizo un llamado al diálogo considerando las salvaguardias jurídicas que fueron presentadas en forma de 13 recomendaciones para llegar a un acuerdo general de protección de datos en el que se otorgue -entre otras exigencias- el derecho a un recurso judicial para los ciudadanos europeos en los Estados Unidos cuando sus datos personales se traten en su suelo. Además, la sentencia dictada por el TJUE, el 6 de octubre de 2015, en el caso nº C‑362/14, mejor conocido como la sentencia Schrems, que invalidó la decisión de adecuación Safe Harbor (nº 2000/520/CE del 26 de julio de 2000), aceleró significativamente las negociaciones del proyecto del Escudo de Privacidad. De esta manera, las recomendaciones de la Comisión Europea y la sentencia del TJUE se convirtieron en una especie de checklist en la que se enlistaron los principios y requisitos que la nueva decisión de adecuación debía garantizar.
La aplicación del Escudo de Privacidad
El mecanismo de adecuación es un marco jurídico vinculante al que se someterán voluntariamente las empresas estadounidenses que se encuentren bajo la jurisdicción de la Comisión Federal de Comercio de Estados Unidos (Federal Trade Commission o FTC) y que deseen ser certificadas bajo el mecanismo del Escudo de Privacidad. Las empresas certificadas gozarán de un reconocimiento de sus políticas de privacidad y de los procedimientos de tratamiento y procesamiento de datos personales implementados al interior de la misma. Para esto las empresas interesadas deberán presentar una política de privacidad que esté totalmente en conformidad con los principios previstos en la decisión de adecuación y deberán prever una cláusula en donde se exprese clara y públicamente que dicha empresa forma parte del Escudo de Privacidad. Dicha Política deberá ser clara, comprensible y fácilmente accesible.
Además, las empresas interesadas deberán implementar medidas organizacionales y de seguridad basadas en los siguientes principios:
- Notice Principle: el principio de notificación e información basado en la transparencia y la exactitud de la información que las empresas deberán comunicar a los titulares de derechos;
- Choice Principle: el principio de elección dispone que las personas deberán tener la posibilidad de oponerse a que sus datos personales sean transmitidos a un tercero o que sean el objeto de un tratamiento ulterior. En lo que se relaciona con el tratamiento de los datos sensibles, se deberá informar separadamente y se deberá obtener el consentimiento expreso del interesado;
- Security Principle: el principio de seguridad prevé la obligación de implementar medidas de seguridad específicas para la protección de datos personales, las mismas que deberán ser adecuadas al tipo o categoría de datos que serán transmitidos;
- Data Integrity and Purpose Limitation Principle: el principio de integridad y de limitación del tratamiento supone que el uso de los datos personales estará limitado únicamente a la finalidad prevista. Además, la empresa deberá asegurarse que los datos son exactos, actualizados y adaptados de acuerdo a su utilización, para así garantizar la calidad del dato personal;
- Access Principle: el principio de acceso reposa sobre el derecho que tienen los titulares de derechos a acceder a sus datos personales;
- Accountability for Onward Transfer Principle: por medio del principio de responsabilidad, el encargado del tratamiento deberá, contractualmente, asegurar que una eventual transferencia a un tercero gozará de las mismas garantías y obligaciones que son previstas en el sistema del escudo de seguridad; y
- Recourse, Enforcement and Liability Principle: éste principio garantiza la implantación de medios alternativos de resolución de litigios comerciales.
Además de los principios arriba mencionados se suman 16 principios suplementarios específicos (sobre los datos sensibles, las excepciones periodísticas y la responsabilidad secundaria, entre otros) que se deberán tener en cuenta. Las empresas interesadas en la autocertificación se verán con la obligación de respetar un marco jurídico particularmente vinculante, estricto y vigilante. De hecho, un control anual será efectuado por parte del Departamento de Comercio estadounidense. La empresa que no cumpla con lo previsto en la decisión de adecuación correrán el riesgo de ser sancionada, al punto de ver retirada su certificación al Escudo de Privacidad, lo que podría representar un gran riesgo para la reputación y la imagen corporativa de la empresa.
Es importante notar que, el Escudo de Privacidad no compromete solamente a las empresas o ámbito comercial, sino también al Gobierno federal de los Estados Unidos. De esta manera, las cuestiones relativas a la seguridad nacional y las actividades de inteligencia son también previstas en el acuerdo. Por primera vez, los Estados Unidos se compromete a garantizar el acceso a un mediador para los ciudadanos europeos, dando la posibilidad de interponer una queja en caso de dudas sobre la utilización de sus datos personales por parte de las agencias de inteligencia de los Estados Unidos y que, evidentemente, salieron del marco previsto por el Escudo de Privacidad. Así, el ombudsperson o defensor del Pueblo es previsto en el texto. El ombudsperson es, a priori, una instancia independiente en el seno del servicio de inteligencia de los Estados Unidos.
Finalmente, las empresas estadounidenses que fueron certificadas vía el mecanismo Safe Harbor no serán automáticamente certificadas bajo el sistema del Escudo de Privacidad.
La opinión del Grupo de Trabajo del Artículo 29
Si bien la opinión del Grupo de Trabajo del Artículo 29 (GT29) no es vinculante, su opinión representa un verdadero peso jurídico y político ya que es la voz de todas las autoridades de control en la Unión Europea y, que reunidas en el seno del GT29, defienden la postura que se debería respetar en materia de protección de datos personales.
Es así como, el 13 de abril de 2016, el GT29 presentó su opinión nº 01/2016 – WP238 sobre el proyecto de decisión de adecuación presentado el 29 de febrero de 2016 por la Comisión Europea y el Gobierno federal de los Estados Unidos. Algunas de las reservas expuestas en esa oportunidad fueron retomadas en un comunicado de prensa publicado el 26 de julio de 2016, es decir, 14 días después de la adopción del Escudo de Privacidad. En el comunicado de prensa el GT29 vuelve a felicitar el importante trabajo realizado y los esfuerzos que se reflejan en el texto final. Sin embargo, solicita algunas aclaraciones en temas que estima no fueron lo suficientemente tratados o esclarecidos como, por ejemplo, (i) en el ámbito comercial del texto, lamenta que no se hayan previsto disposiciones específicas sobre las decisiones automatizadas y el derecho de oposición; (ii) en lo que se relaciona con el acceso de los datos por parte de las autoridades estadounidenses, el GT29 vuelve a manifestarse sobre la poca independencia del ombudsperson y sobre el efectivo ejercicio e impacto de sus poderes; y (iii) emitió sus reservas sobre el procedimiento de revisión anual conjunto, especialmente sobre el rol de las autoridades de control ya que no ha sido precisado claramente.
Si bien la adopción del Escudo de Privacidad representa un necesario paso en materia de flujos transatlánticas de datos personales, hay que tomar esta adopción con mucha prudencia ya que, por un lado, tenemos un GT29 que no está totalmente satisfecho sobre la efectividad y las garantías prácticas y jurídicas del texto, y por otro lado, tenemos el escepticismo generalizado sobre la validez del acuerdo; es más, muchos no creían en la adopción del texto, mientras que otros estimaban que el acuerdo tiene sus “días contados” en la espera del nuevo Maximillian Schrems.
En definitiva, la realidad es que, desde el 1º de agosto de 2016, el Departamento de Comercio de Estados Unidos ya comenzó el procedimiento de certificación por medio de un sitio web específico y una guía en donde detalla el proceso de autocertificación. Ya veremos qué sucederá en los próximos meses o año. Ya veremos si las empresas estadounidenses consideran estar listas a comprometerse en un marco que es basado en el derecho europeo y que, naturalmente, reposa sobre principios y garantías que no necesariamente forman parte de la cultura jurídica estadounidense. Ya veremos si, efectivamente, algún día conoceremos a un “Schrems II”.