La UE y Estados Unidos pusieron en marcha el nuevo acuerdo de protección de datos personales que se transfieren de un continente a otro, al que denominaron Privacy Shield (o escudo de privacidad). Este acuerdo sustituye el marco legal anterior, que fue anulado por la Justicia europea en octubre por considerar que no garantizaba un nivel de protección suficiente.

Para la comisaria de Justicia y Consumidores de la UE, Vera Jourová, el nuevo marco, que fue acordado el 12 de julio, contiene “fuertes obligaciones” de protección de datos para las empresas. Se establece que las compañías deberán certificarse ante el Departamento de Comercio de Estados Unidos para usar los datos de ciudadanos europeos. Esa autoridad será la que supervisará el cumplimiento de las normativas y se encargará de determinar si las empresas que violen esas reglas pueden ser sancionadas o retiradas de la lista de entidades participantes en el acuerdo.

“Estoy segura de que el Privacy Shield restaurará la confianza de los europeos en la forma en que sus datos personales se transfieren a través del Atlántico y son procesados por las empresas”, aseguró Jourová al tiempo que animaba a las compañías a que se inscribieran en el registro del Departamento de Comercio. La funcionaria dijo que el acuerdo es diferente al anterior porque ahora existirá un mecanismo de revisión conjunta anual.

Jourová destacó que desde que se presentó el primer borrador, en febrero, la Comisión Europea ha introducido recomendaciones de la autoridad de protección de datos del bloque y de la Eurocámara, para reforzar el papel del defensor del Pueblo (que funcionará en Estados Unidos) y aclarar cuándo hay o no una recopilación masiva de datos. Del mismo modo, aumentó algunas de las obligaciones previstas para las empresas.

Quejas y revisiones

Por su parte, la secretaria de Comercio de Estados Unidos, Penny Pritzker, consideró que el nuevo acuerdo es un “hito para la privacidad” y aseguró que este es “un momento en el que el intercambio de datos impulsa el crecimiento en cualquier sector”. Pritzker consideró que el acuerdo facilitará el comercio y las inversiones entre ambas partes, y dijo que al mismo tiempo que permite a los consumidores el acceso a los servicios en línea favoritos y las últimas tecnologías, “se protege su privacidad”.

El nuevo acuerdo prevé que si un ciudadano de la UE eleva una queja por el tratamiento de su información personal a una compañía, esta deberá contestarle en menos de 45 días. Si la respuesta no satisface al demandante, podrá recurrir a un sistema de resolución de litigios y dirigirse a sus autoridades nacionales de protección de datos.

En caso de que el problema no llegara a resolverse, un mecanismo de arbitraje incluido en el acuerdo garantizará una solución jurídica.

El Privacy Shield prevé la revisión anual de sus compromisos y garantías, y cada año, tanto Estados Unidos como la Unión Europea realizarán un examen. Si una de las autoridades estadounidenses no cumple sus promesas, se podría suspender el acuerdo. Además, aquellas empresas que se unan al Privacy Shield y no cumplan las disposiciones podrán ser eliminadas de la lista.

Por otra parte, las autoridades estadounidenses tendrán un acceso más limitado a los datos personales que provengan de Europa. Para esto se habilitará la figura del defensor del Pueblo dentro del Departamento de Estado estadounidense, independiente de las agencias nacionales de seguridad europeas.

Para sus defensores, el acuerdo es bueno porque viene a llenar el vacío legal dejado por la anulación del anterior, denominado Safe Harbor (Puerto Seguro). Argumentan además que equipara las diferentes legislaciones adoptadas a uno y otro lado del Atlántico.

La repercusión inmediata del acuerdo es que garantiza que exista una normativa sobre el uso de los datos que se transfieran y que gozarán de un nivel de protección equiparable al europeo, al menos en el papel. Sin embargo, la propia legislación de Estados Unidos -más laxa y menos restrictiva que el modelo europeo- puede hacer que las reclamaciones en contra de las empresas que violen el acuerdo caigan en saco roto.

En lo que todos están de acuerdo es en que la vigilancia masiva e indiscriminada queda ahora más limitada, ya que esta recolección masiva de datos deberá justificarse y focalizarse, aunque seguirá existiendo.

Qué miseria

Para Max Schrems, el abogado austríaco que en octubre de 2015 presentó y ganó una demanda contra empresas como Facebook, Google o Yahoo por no cumplir con la política europea de protección de datos, el acuerdo es “miserable”.

Schrems considera que el Privacy Shield sólo limita dos operaciones de tratamiento de datos, mientras que en la normativa europea son 16 las operaciones de uso de datos que son limitadas. El abogado austríaco critica también el sistema de reclamaciones previsto y resalta la contradicción de que el gobierno de Estados Unidos se haya comprometido a que no va a llevar adelante prácticas de vigilancia a los ciudadanos, pero en los anexos del acuerdo que entró en vigencia aparece una lista de seis excepciones que se aplican a esas limitaciones.

Schrems no es el único crítico con el acuerdo. Diversas organizaciones defensoras de los derechos de los usuarios de internet se quejaron de la real utilidad de algunas de las normas que incluye Privacy Shield. Bajo el punto de vista de estas organizaciones, los diversos problemas que presentaba el Safe Harbor todavía están presentes porque la ley de vigilancia en Estados Unidos no ha cambiado, el organismo de reclamaciones no es independiente y no se notifica a los individuos cuándo su información personal es recogida, difundida o usada.

Para Mark Klein, ex técnico de la empresa global de telecomunicaciones estadounidense AT&T, el acuerdo vigente desde la semana pasada no cambiará las prácticas estadounidenses de vigilancia. En 2006 Klein reveló que existió un acuerdo secreto entre AT&T y la Agencia de Seguridad Nacional (NSA) de Estados Unidos para que esa agencia de espionaje estatal vigilara todo el tráfico de internet conectándose a la infraestructura de la empresa. Klein dijo que no confía en las leyes de privacidad, “por muy agradables que suenen en papel”.

“Cuando los agarran con las manos en la masa -como sucedió tras mis revelaciones sobre AT&T y las filtraciones de [el ex técnico de la NSA Edward] Snowden- pretenden taparlo todo con una nueva ley ‘reformista’ que en realidad no hace sino legalizar lo que era ilegal anteriormente”, dijo Klein.