Tratamiento de datos a nivel internacional.Abogados en Sevilla
17846
post-template-default,single,single-post,postid-17846,single-format-standard,cookies-not-set,ajax_fade,page_not_loaded,,qode-theme-ver-7.6.1,wpb-js-composer js-comp-ver-6.0.5,vc_responsive
 

El tratamiento de datos personales a nivel internacional.

protección-datos-internacional

28 Jul El tratamiento de datos personales a nivel internacional.

Que los datos personales merecen protección no es nada nuevo. Por ello el movimiento proteccionista, cada vez más, se está haciendo eco incluso más allá de nuestras fronteras. La preocupación ha ido in crescendo en los últimos años cuando, en un mundo globalizado como el nuestro, las empresas –en este caso europeas– estaban utilizando servicios de hosting (alojamiento) para el almacenaje de datos al otro lado del charco, concretamente en EE.UU.

Y, aunque esto parezca de ciencia ficción, ¿quién no ha guardado sus datos en Dropbox? Como ves, no es tan lejano.

Intentar poner límites a Internet es como intentar poner puertas al campo: aparte de imposible, un sinsentido. Por ello los gobiernos estadounidenses y la Comisión Europea han querido acercar posturas en cuanto a dicho movimiento proteccionista. Con independencia de la valoración u opinión que cada sector tenga de los acuerdos a los que nuestros gobernantes llegan, lo que, en principio, trata este post plasma la evolución reciente en esta materia.

Desde el pasado año 2.000 entre Estados Unidos y la Unión Europea (también Suiza tenía trozo de esta tarta) venía regulándose la materia a través del acuerdo «Safe HarbourPrivacyPrinciples», acuerdo aprobado tras la Decisión 2000/520/EC en relación Directiva 95/46/EC reguladora de la protección de datos en la UE; dicha directiva, en su art. 29, regulaba la creación de un grupo de expertos que velase por la aplicación y vigencia de los principios que la norma del ’95 aprobaba. Se llaman El Grupo de Trabajo del art. 29, o «Art. 29 WP», y fueron promotores de la decisión que empujó a la Unión a acordar el acuerdo SafeHarbour.

No obstante, recientemente ha habido un cambio de giro o de trama –otro ejemplo más que demuestra la cercanía del tema–. El pasado octubre de 2.015 el Tribunal de Justicia de la Unión Europea declaró inválido el acuerdo respondiendo al procedimiento interpuesto por un ciudadano comunitario contra Facebook por violación de la protección de datos. Momento en el cual hubo un punto de inflexión: cambiar el acuerdo o mejorarlo.

Es aquí donde surge el nuevo «EU-US PrivacyShield»que, como bien dicen el Grupo de Trabajo del art. 29, si bien ha venido a mejorar el sistema anterior aun adolece de tres debilidades que, bajo su criterio, no superaría un nuevo escrutinio del Alto Tribunal comunitario. Estas debilidades están relacionadas con el derecho al olvido, el «Big Data» o sistemas que manipulan grandes conjuntos de datos, y el mecanismo para el nombramiento del Defensor del Pueblo en esta materia. Sin embargo, el pasado 8 de julio pasó su filtro final y fue aprobada su versión definitiva.

Vale, ok, hasta aquí bien, pero ¿En qué consiste el acuerdo de PrivacyShield? La respuesta a esta pregunta es la aplicabilidad práctica a nuestro día a día.

  • El nuevo acuerdo supone nuevas obligaciones para empresas: obligaciones en materia de cumplimiento normativo y de protocolos de seguridad (famoso compliance), cuya supervisión está sometida a los tribunales correspondientes –cuya competencia puede llegar a imponer sanciones a las empresas incumplidoras.
  • Acceso limitado a las autoridades estadounidenses: parece que empieza a ponerse coto a la C.I.A. y al F.B.I. entre otras agencias, para que no puedan tener acceso ilimitado a los datos personales procedentes el viejo continente. El acceso, en todo caso, se hará cumpliendo una serie de garantías y solo en caso de ser imprescindible.
  • Sistema de recursos mejorados: los ciudadanos no solo tendrán la posibilidad de dirigirse contra empresas concretas, sino también con las autoridades nacionales (Agencia Española de Protección de Datos – AEPD, en nuestro caso) para que no se olviden en el cajón las reclamaciones no resueltas y se investiguen. E incluso, si no se resolviese hay una instancia arbitral de última instancia, que garantizará una solución jurídica gratuita y totalmente ejecutable.
  • Obligación de respuesta en determinados plazos: las disputas habrán de resolverse en un período inferior a 45 días.
    • Creación de un mediador estadounidense.
    • Revisión y cumbre anual sobre el acuerdo y su cumplimiento.

    Bueno,  ¿y eso que he leído sobre el nuevo reglamento de protección de datos de la UE cómo se solapa con este acuerdo? Aunque no sea objeto de este post, aquí os dejo un enlace de FAQs que la AEPD tiene publicado en su página web sobre la materia: https://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2016/notas_prensa/news/2016_05_26-ides-idphp.php

    El Reglamento, aunque en vigor, no será aplicable hasta 2.018. No esperéis hasta el último momento si vuestra empresa maneja datos personales, pues las obligaciones que conlleva el nuevo reglamento harán que pronto sea necesaria la adecuación de la empresa. ¿No estaría bien que el motivo de adecuación fuese la primera sanción que os llegue, no?

    Juan Carlos Guerrero Marín | Abogado en López de Castro Abogados

    López de Castro Abogados.

    Juan Carlos en Linkedin

    Juan Carlos en Twitter

No hay comentarios

Post A Comment