Un mecanismo de transferencia de datos de hace un año que es utilizado por miles de empresas para autorizar las transferencias de datos personales entre la Unión Europea y los EE. UU. Para su procesamiento, ha recibido el visto bueno después de su primera revisión anual.
“La opinión general de la Comisión es que las autoridades estadounidenses están cumpliendo sus compromisos y que el sistema funciona”, dijo la comisionada Vera Jourova hoy. “El lado estadounidense ha puesto en marcha las estructuras y procedimientos necesarios para garantizar el correcto funcionamiento del Escudo de privacidad. Tales como nuevas posibilidades de reparación para individuos de la UE y canales de cooperación con las autoridades europeas de protección de datos “.
Pero mientras que la Comisión dijo que la implementación es, en su opinión, funcionando bien en esta etapa incipiente, también quiere ver mejoras, y ha hecho una serie de recomendaciones.
Estos incluyen un monitoreo más proactivo y regular del cumplimiento de las compañías estadounidenses con sus obligaciones bajo el Escudo de Privacidad; sensibilizar a los usuarios de la UE de que existe una vía de denuncia si tienen dudas sobre cómo una empresa estadounidense maneja sus datos personales; y una cooperación más estrecha entre las autoridades de los EE. UU. y la UE para hacer cumplir la privacidad, como mediante el desarrollo de directrices para empresas y ejecutores.
La Comisión dijo que trabajará con las autoridades estadounidenses para hacer un seguimiento de sus recomendaciones en “los próximos meses”, así como para continuar “vigilando de cerca” el funcionamiento del marco de transferencia de datos, incluido el “cumplimiento de sus compromisos por parte de las autoridades estadounidenses” “
Su informe de revisión también se está enviando al Parlamento de la UE, el Consejo y el Grupo de trabajo del artículo 29, por lo que es probable que se presenten respuestas adicionales de otras instituciones de la UE en los próximos meses.
Jourova también confirmó que la CE está presionando activamente a los políticos estadounidenses que participan en el debate sobre la reforma de la Sección 702 de la Ley de Inteligencia de Vigilancia Extranjera (FISA). Entonces, mientras las agencias de inteligencia estadounidenses presionan duramente por la controvertida porción de la ley que permite que el gobierno de los EE. UU. Intercepte las comunicaciones de objetivos de inteligencia extranjeros para que sean permanentes, los funcionarios de la UE están empujando en la dirección opuesta.
Su posición de cabildeo se ve reforzada por el hecho de que unas 2,400 compañías se han inscrito en el programa de Escudo de Privacidad UE-EE. UU., Incluidos gigantes tecnológicos como Google, Facebook y Microsoft. La CE tiene el poder de suspender el mecanismo en cualquier momento si cree que ya no proporciona una protección adecuada de la privacidad para la fecha de los ciudadanos de la UE.
Jourova dijo hoy que la CE está escuchando dos líneas en Washington con respecto a la renovación de FISA 702: una opinión es que el Congreso volverá a autorizar la versión actual de la ley; y la otra es que, como dijo ella, “hay un espacio para mejorar nuestros intereses, que la protección de los ciudadanos no estadounidenses podría agregarse”.
En caso de que este último se haga pasar, Jourova dijo que “sería una muy buena noticia” para Privacy Shield, y señaló que el mecanismo de transferencia de datos actualmente se basa “en gran medida” en una Directiva de Política Presidencial, firmada por la administración Obama en 2014 (PPD -28), que impone una serie de límites en las operaciones de inteligencia de señal.
Tener provisiones de privacidad para los datos de los extranjeros incluidos en FISA ofrecería una “protección mucho más fuerte” y sería una “solución mucho más sostenible”, continuó, y agregó: “Ayer hablé con varios Congresistas y Congresistas … Estamos presionando por mejoras en esta Ley pero tenemos que esperar hasta el final del año “.
Dicho esto, en una hoja informativa relacionada con la revisión de Privacy Shield, la CE pregunta pero no responde exhaustivamente a la pregunta: “¿Cuántas solicitudes de acceso de las autoridades de vigilancia recibieron las empresas bajo el Escudo de Privacidad?”, Sino que simplemente se retira algunas cifras reveladas por las empresas certificadas por Privacy Shield que ya publican informes de transparencia, alegando que son “ilustrativas” del hecho de que “sigue siendo un porcentaje de las cuentas de usuarios totales el número de cuentas afectadas por solicitudes de acceso gubernamental a datos personales” limitado”. (Una pregunta más pertinente podría ser qué proporción de las solicitudes de acceso involucran directamente los datos de los ciudadanos de la UE)
Por lo tanto, queda mucho por ver cuán roja será la línea de la UE si las agencias de inteligencia estadounidenses se salen con la suya y rechazan cualquier reforma favorable de la Sección 702 de FISA.
El Escudo de Privacidad EU-US es el sustituto del acuerdo Safe Harbour, que fue rechazado por el tribunal superior de Europa hace dos años después de que un defensor legal argumentara con éxito que las protecciones de datos no eran adecuadamente equivalentes en virtud del acuerdo a cuenta del gobierno de EE. UU. programas de vigilancia masiva (revelados por las divulgaciones de Snowden para recopilar datos personales de los ciudadanos de la UE a través del programa Prism de la NSA).
Safe Harbor estuvo presente durante 15 años y funcionarios de la UE y EE. UU. Intentaron negociar un nuevo acuerdo para tratar de restablecer la seguridad jurídica de las empresas que confían en poder procesar los datos personales de los usuarios en los EE. UU. El resultado fue el Escudo de Privacidad EU-US, que se lanzó para registrarse en agosto del año pasado .
Más compañías se han suscrito al plan en su primer año que se inscribieron en Safe Harbor en sus primeros 10 años de operación, dijo Jourova hoy.
Sin embargo, el nuevo mecanismo de transferencia de datos ha recibido críticas desde el principio, como por la falta de salvaguardas de privacidad adecuadas, y por la complejidad de los procesos de denuncia que proporciona a los ciudadanos de la UE que buscan reparación de una empresa estadounidense.
Las preocupaciones actuales también han sido expresadas por los influyentes jefes de protección de datos del bloque. Y tanto ella como los mecanismos alternativos para autorizar transferencias de datos personales fuera de la región enfrentan desafíos legales dentro de la UE.
Jourova dijo que un desafío existente contra las denominadas cláusulas contractuales estándar (SCC), que son utilizadas por Facebook (y muchas otras empresas) para transferir datos personales entre sus empresas de la UE y los Estados Unidos, y que a principios de este mes el Irish High dijo que se referiría al tribunal superior de Europa por una resolución preliminar, es relevante para Privacy Shield porque podría tener implicaciones para la viabilidad futura de este último (es decir, si el ECJ decide que los SCC no brindan una protección adecuada a los datos de los ciudadanos).
A pesar de que una vez más expresó confianza en la solidez legal de Privacy Shield, y dijo que había sido negociada con conocimiento de la sentencia anterior de Safe Harbor. “Este desafío ante la corte será el primero, probablemente cuando considere el momento, que declarará algo nuevo sobre el funcionamiento de Privacy Shield”, dijo sobre la remisión del desafío a los SCC al ECJ. “Tiene relevancia para Privacy Shield.
“Hemos adaptado el Escudo de privacidad sobre la base de los criterios muy claros establecidos por el Tribunal de Justicia Europeo en el caso Schrems [puerto seguro]. Y es por eso que creo en la continuidad. Creo en las nuevas sentencias de la corte que considerarán Privacy Shield en todos sus parámetros y evaluarán de manera justa si trajo la protección necesaria de los datos privados de la población de la UE o no. Y estoy seguro de que Privacy Shield soportará tal examen judicial “.
A diferencia del acuerdo anterior, Privacy Shield hornea en revisiones periódicas (anuales) del mecanismo para asegurarse de que funciona como está previsto. Y son los resultados de la primera revisión que la CE ha anunciado hoy .