El Margen de la Ley :: El Blog de Audens
Audens >
Blog >
Protección de Datos >
Aprobado el Privacy Shield

Aprobado el Privacy Shield

En pleno proceso de apaciguar fieras hambrientas de conocimiento sobre cómo les iba a afectar el entonces futuro Reglamento General de Protección de Datos (por aquel entonces, otra versión de un borrador que había que estudiar), en octubre de 2015 el Tribunal de Justicia de la Unión Europea tuvo a bien cargarse el acuerdo de Safe Harbor. Recuerdo que reinó el caos. Era como si para muchos el invierno hubiera llegado sin avisar, de golpe, sin cinco temporadas avisando de que sucedería… (lo siento, todavía estoy impactado por el último capítulo de Juego de Tornos).

Empiezo por el final y hago un spoiler¡El Privacy Shield ha llegado! O lo que es lo mismo, las empresas vuelven a tener el amparo de un acuerdo entre la Comisión Europea y el Departamento de Comercio de Estados Unidos para que los flujos de datos entre uno y otro lado del Atlántico vuelvan a producirse sin necesidad de complicadas y costosas cargas legales y administrativas.

Volviendo la vista atrás, el Tribunal de Justicia de la Unión Europea invalidaba el acuerdo al considerar que las garantías de protección en EE.UU. no eran adecuadas, lo que provocó un buen susto a las empresas de nuestro país (y a las europeas, en general) que, bien por formar parte de un grupo multinacional, bien por tener proveedores de cloud computing, hosting o servicios web al otro lado del Atlántico, realizaban estos flujos en forma de operaciones intragrupo o de prestaciones de servicios. Tras la sentencia, la AEPD anunció el cambio de criterio, dando de plazo hasta finales de enero de 2016 para comenzar a perseguir las posibles infracciones, tal y como se acordó en el seno del Grupo del Artículo 29. Y a partir de ahí reinó el caos, pues ello suponía, para muchísimas empresas, exponerse a importantes sanciones.

La movilización fue total. De esta forma y en tales plazos, no sólo se produjo un éxodo a proveedores de servicios Europeos (o de EE.UU. pero con instalaciones en la Unión) por parte de las empresas, sino que, en muchas ocasiones, los abogados tuvimos que actuar rápidamente en las tareas más engorrosas. Tratar de restablecer un marco de seguridad jurídica, perdido tras la sentencia, mediante un proceso mucho más complejo, caro y muchas veces ininteligible por parte de éstas, era necesario y urgente. Así que hubimos de volcarnos en la redacción de solicitudes de autorización al Director de la Agencia Española de Protección de Datos para realizar transferencias internacionales, o en proponer la ardua tarea de adoptar normas corporativas vinculantes (“BCR”) en el seno de organizaciones internacionales, un proceso todavía más complicado. Más caos.

Sin embargo, la maquinaria de la Comisión Europea se activó, y comenzó a negociar con el Departamento de Comercio estadounidense un nuevo acuerdo. Algo que creímos que sería rápido e indoloro para las empresas, y que llegaría a finales de enero, con el atratactivo nombre de Privacy Shield, apurando los plazos previstos por las autoridades de supervisión… pero que no se terminó de concretar, en gran medida por la airada reacción del Grupo del Artículo 29 al primer texto publicado desde Bruselas. Otro revés del guión que nos dejaba en vilo.

De hecho, no eran muy esperanzadoras las noticias que nos trasladaban desde la Comisión Europea nos trasladaron en el IV Congreso de Privacidad APEP. Al parecer la negociación estaba siendo larga, dura, e incluso la alargada sombra del acuerdo comercial TTIP (Tratado Transatlántico de Comercio e Inversiones) influía en el tira y afloja de las negociaciones. El segundo plazo para alcanzar un nuevo acuerdo (junio) no se iba a cumplir, y así nos lo pareció y nos lo creímos. Siendo sinceros, ¿cómo íbamos a imaginar que esta vez se cumplirían los plazos?

Llegó el 30 de junio y sin rastro del ansiado acuerdo. Pero finalmente, con algo de retraso sobre el plan previsto, han cumplido: bienvenida sea la Decisión de la Comisión de 12 de julio de 2016.

El invierno se aleja y vuelve la luz a las empresas, que desde hoy cuentan con un marco habilitante para transferencias internacionales sencillo, económico y adecuado para el desarrollo de los negocios digitales. Un nuevo acuerdo que comparte muchos principios con el Safe Harbour e incluye otros nuevos, tendentes a que exista una mayor protección de los datos de europeos que acaban en EE.UU. Si bien lo analizaremos con más detenimiento en un próximo artículo, la noticia debe ser entendida como motivo de alivio y satisfacción. Pero la vida real es como la ficción con la que encabezaba esta entrada, cuando ya parece que va a haber calma y las cosas vuelven a su sitio… ¡van los Británicos y hacen un BrexTICs! Otro giro de guión para mantener la tensión.

Por cierto, en respuesta a las preguntas que formulaba Eneko en su artículo, qué duda cabe de que cuando los británicos abandonen la U.E., los flujos de datos a este país serán transferencias internacionales. La verdadera cuestión es: ¿será preciso reconocer al Reino Unido como país adecuado? ¿Harán un acuerdo del tipo Beefeater Privacy? ¿O tendremos que volver a empezar a lidiar con la documentación legal, las policy y las autorizaciones, pero esta vez con los sajones originales? Lo que está claro es que esta serie sobre la protección de datos y su libre circulación da muchos giros, y nos tiene a todos pendientes.

¿Te ha resultado interesante?
Somos expertos en auditoría e implementación de la normativa de Protección de Datos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Al hacer clic en "ENVIAR", aceptas nuestras condiciones generales y nuestra política de privacidad.