Los Principios Internacionales de Privacidad de Puerto Seguro o Principios de Privacidad de Puerto Seguro fueron principios desarrollados entre 1998 y 2000 con el fin de evitar que las organizaciones privadas dentro de la Unión Europea o Estados Unidos que almacenan datos de clientes revelen o pierdan accidentalmente información personal . Fueron revocadas el 6 de octubre de 2015 por el Tribunal de Justicia Europeo (TJCE), lo que permitió a algunas empresas estadounidenses cumplir con las leyes de privacidad que protegen a los ciudadanos de la Unión Europea y Suiza . [1] Las empresas estadounidenses que almacenan datos de clientes podrían autocertificar que se adhirieron a 7 principios, para cumplir con la Directiva de protección de datos de la UE y con los requisitos suizos. El Departamento de Comercio de EE. UU. desarrolló marcos de privacidad en conjunto con la Unión Europea y el Comisionado Federal de Información y Protección de Datos de Suiza. [2]
En el contexto de una serie de decisiones sobre la idoneidad de la protección de los datos personales transferidos a otros países, [3] la Comisión Europea tomó la decisión en 2000 de que los principios de los Estados Unidos cumplían con la Directiva de la UE [4] – la la llamada decisión de puerto seguro . [5] Sin embargo, después de que un cliente se quejara de que sus datos de Facebook no estaban suficientemente protegidos, el Tribunal de Justicia de la UE declaró en octubre de 2015 que la decisión de puerto seguro era inválida, lo que llevó a que la Comisión mantuviera nuevas conversaciones con las autoridades estadounidenses para lograr "una solución renovada y sólida". marco para los flujos de datos transatlánticos". [6]
La Comisión Europea y los Estados Unidos acordaron establecer un nuevo marco para los flujos de datos transatlánticos el 2 de febrero de 2016, conocido como " Escudo de Privacidad UE-EE.UU. ", [7] al que siguió de cerca el Marco del Escudo de Privacidad Suiza-EE.UU .
En 1980, la OCDE emitió recomendaciones para la protección de datos personales en forma de ocho principios. Estos no eran vinculantes y en 1995, la Unión Europea (UE) promulgó una forma de gobernanza más vinculante, es decir, legislación, para proteger la privacidad de los datos personales en la forma de la Directiva de Protección de Datos . [8]
Según la Directiva de Protección de Datos, las empresas que operan en la Unión Europea no pueden enviar datos personales a "terceros países" fuera del Espacio Económico Europeo , a menos que garanticen niveles de protección adecuados, "el propio interesado acepte la transferencia" o "si se han autorizado Normas Corporativas Vinculantes o Cláusulas Contractuales Tipo." [8] [9] Esto último significa que la protección de la privacidad puede ser a nivel organizacional, donde una organización multinacional produce y documenta sus controles internos sobre datos personales o pueden ser a nivel de un país si se considera que sus leyes ofrecen protección. igual a la UE.
Los Principios de Privacidad de Puerto Seguro se desarrollaron entre 1998 y 2000. El actor clave fue el Art. 29, en aquel momento presidido por la Autoridad Italiana de Protección de Datos www.garanteprivacy.it. El presidente, Prof. Stefano Rodotà, uno de los padres del marco de privacidad en Europa, ayudado por el secretario general de la Autoridad Italiana de Protección de Datos, Sr. Giovanni Buttarelli, recientemente nombrado Supervisor Europeo de Protección de Datos (SEPD). Los Principios de Puerto Seguro fueron diseñados para evitar que las organizaciones privadas dentro de la Unión Europea o los Estados Unidos que almacenan datos de clientes revelen o pierdan accidentalmente información personal. Las empresas estadounidenses podrían optar por participar en un programa y obtener la certificación si cumplieran siete principios y 15 preguntas y respuestas frecuentes según la Directiva. [10] En julio de 2000, la Comisión Europea (CE) decidió que las empresas estadounidenses que cumplieran con los principios y registraran su certificación de que cumplían con los requisitos de la UE, el llamado "esquema de puerto seguro", podían transferir datos desde la UE. A los E.U. Esto se conoce como la decisión de Puerto Seguro . [11]
El 6 de octubre de 2015, el Tribunal de Justicia de las Comunidades Europeas invalidó la Decisión de Puerto Seguro de la CE, porque "debe considerarse que la legislación que permite a las autoridades públicas tener acceso de forma generalizada al contenido de las comunicaciones electrónicas compromete la esencia del derecho fundamental al respeto para la vida privada ” [énfasis en el original] . [1] : 2-3
Según la Comisión Europea, el Escudo de Privacidad UE-EE.UU. acordado el 2 de febrero de 2016 "refleja los requisitos establecidos por el Tribunal de Justicia Europeo en su sentencia del 6 de octubre de 2015, que declaró inválido el antiguo marco de Puerto Seguro. El nuevo acuerdo Proporcionar obligaciones más estrictas a las empresas de los EE. UU. para proteger los datos personales de los europeos y un seguimiento y aplicación más estrictos por parte del Departamento de Comercio de los EE. UU. y la Comisión Federal de Comercio , incluso mediante una mayor cooperación con las Autoridades Europeas de Protección de Datos. El nuevo acuerdo incluye compromisos por parte de los EE. UU. Las posibilidades que ofrece la legislación estadounidense para que las autoridades públicas accedan a los datos personales transferidos en virtud del nuevo acuerdo estarán sujetas a condiciones, limitaciones y supervisión claras, lo que impedirá que el acceso generalizado tenga la posibilidad de presentar cualquier consulta o queja en este contexto ante un nuevo Defensor del Pueblo especializado. ". [12]
Los siete principios del año 2000 son: [11]
Sólo las organizaciones estadounidenses reguladas por la Comisión Federal de Comercio o el Departamento de Transporte pueden participar en este programa voluntario. Esto excluye a muchas instituciones financieras (como bancos, casas de inversión, cooperativas de crédito e instituciones de ahorro y préstamo ), operadores comunes de telecomunicaciones (incluidos proveedores de servicios de Internet ), asociaciones laborales, organizaciones sin fines de lucro, cooperativas agrícolas y procesadores de carne . periodistas y la mayoría de los seguros, [13] aunque puede incluir bancos de inversión. [14]
Después de optar por participar, una organización debe contar con la capacitación adecuada de sus empleados y un mecanismo de disputa efectivo, y volver a certificarse por escrito cada doce meses de que acepta adherirse a los principios del Marco de Puerto Seguro UE-EE. UU., incluidos aviso, elección, acceso. y aplicación de la ley. [15] Puede realizar una autoevaluación para verificar que cumple con los principios o contratar a un tercero para que realice la evaluación. Las empresas pagan una tarifa anual de $100 por el registro, excepto por el registro por primera vez ($200). [dieciséis]
El gobierno de Estados Unidos no regula Safe Harbor, que se autorregula a través de sus miembros del sector privado y las entidades de resolución de disputas que ellos eligen. La Comisión Federal de Comercio "administra" el sistema bajo la supervisión del Departamento de Comercio de Estados Unidos. [17] Para cumplir con los compromisos, los infractores pueden ser sancionados en virtud de la Ley de la Comisión Federal de Comercio mediante órdenes administrativas y sanciones civiles de hasta 16.000 dólares por día por infracciones. Si una organización no cumple con el marco, debe notificarlo de inmediato al Departamento de Comercio, o de lo contrario puede ser procesada bajo la Ley de Declaraciones Falsas. [15]
En un caso de 2011 , la Comisión Federal de Comercio obtuvo un decreto de consentimiento de un minorista en línea con sede en California que había vendido exclusivamente a clientes en el Reino Unido . Entre sus muchas supuestas prácticas engañosas estaba presentarse como si se hubiera autocertificado bajo Safe Harbor cuando en realidad no lo había hecho. Se le prohibió utilizar tales prácticas engañosas en el futuro. [18]
El 'esquema de autocertificación' de los principios de puerto seguro UE-EE. UU. ha sido criticado con respecto a su cumplimiento y aplicación en tres evaluaciones externas de la UE:
En junio de 2011, el director general de Microsoft Reino Unido, Gordon Frazer, dijo que " los datos de la nube , independientemente de dónde se encuentren en el mundo, no están protegidos contra la Ley Patriota ". [22]
Los Países Bajos rápidamente descartaron a los proveedores de nube estadounidenses de los contratos con el gobierno holandés, e incluso consideraron una prohibición de los contratos de nube proporcionados por Microsoft y Google. Una filial holandesa de la Computer Sciences Corporation (CSC), con sede en Estados Unidos, administra los registros médicos electrónicos del sistema nacional de servicios de salud holandés y advirtió que, a menos que CSC pudiera garantizar que no estaba sujeta a la Ley Patriota, pondría fin al contrato. [23]
Un año después, en 2012, un artículo de investigación jurídica apoyó la idea de que la Ley Patriota permitía a las fuerzas del orden estadounidenses eludir las leyes de privacidad europeas. [23]
En octubre de 2015, el TJCE respondió a una remisión del Tribunal Superior de Irlanda en relación con una denuncia del ciudadano austriaco Maximillian Schrems sobre el procesamiento por parte de Facebook de sus datos personales desde su filial irlandesa a servidores en Estados Unidos. Schrems se quejó de que "a la luz de las revelaciones hechas en 2013 por Edward Snowden sobre las actividades de los servicios de inteligencia de los Estados Unidos (en particular, la Agencia de Seguridad Nacional ), la ley y la práctica de los Estados Unidos no ofrecen suficiente protección contra la vigilancia. por parte de los poderes públicos". El TJUE consideró que los Principios de Puerto Seguro no eran válidos, ya que no exigían que todas las organizaciones autorizadas a trabajar con datos relacionados con la privacidad de la UE los cumplieran, por lo que no ofrecían garantías suficientes. Las agencias del gobierno federal de EE. UU. podían utilizar datos personales según la ley estadounidense, pero no estaban obligadas a aceptarlo. El tribunal sostuvo que las empresas que optaban por participar estaban "obligadas a ignorar, sin limitación, las reglas de protección establecidas por ese esquema cuando entren en conflicto con la seguridad nacional". , interés público y requisitos de aplicación de la ley". [1]
De conformidad con las normas de la UE para la remisión de una decisión prejudicial al TJUE , el Comisario irlandés de Protección de Datos desde entonces ha tenido que "examinar el caso del Sr. Schrems 'con toda la debida diligencia' y... decidir si... la transferencia de Los datos personales de los suscriptores europeos de Facebook a Estados Unidos deberían suspenderse". [1] Los reguladores de la UE dijeron que si el TJUE y Estados Unidos no negociaban un nuevo sistema en un plazo de tres meses, las empresas podrían enfrentar acciones por parte de los reguladores de privacidad europeos. El 29 de octubre de 2015, un nuevo acuerdo "Safe Harbor 2.0" parecía estar a punto de finalizarse. [24] Sin embargo, la Comisaria Jourova esperaba que Estados Unidos actuara a continuación. [25] Las ONG estadounidenses se apresuraron a ampliar la importancia de la decisión. [26]
El eurodiputado alemán Jan Philipp Albrecht y el activista Max Schrems han criticado el nuevo fallo, y este último predice que la Comisión podría estar haciendo un "viaje de ida y vuelta a Luxemburgo" (donde se encuentra el Tribunal de Justicia de la Unión Europea). [27] La Comisaria de Consumidores de la UE, Vera Jourova, expresó su confianza en que se alcanzaría un acuerdo a finales de febrero. [28] Muchos europeos exigían un mecanismo para que los ciudadanos europeos presentaran quejas sobre el uso de sus datos, así como un plan de transparencia para garantizar que los datos de los ciudadanos europeos no cayeran en manos de las agencias de inteligencia estadounidenses. [29] El Grupo de Trabajo del Artículo 29 ha asumido esta demanda y ha declarado que esperaría otro mes hasta marzo de 2016 para decidir sobre las consecuencias de la nueva propuesta de la Comisaria Jourova. [30] El Director de Derechos Fundamentales de la Comisión Europea, Paul Nemitz, explicó en una conferencia en Bruselas en enero cómo decidiría la Comisión sobre la "adecuación" de la protección de datos. [31] El periódico The Economist predice que "una vez que la Comisión haya emitido una 'decisión de adecuación' reforzada, será más difícil para el TJCE anularla". [32] El activista de la privacidad Joe McNamee resumió la situación señalando que la Comisión ha anunciado acuerdos prematuramente, perdiendo así su derecho de negociación. [33] Al mismo tiempo, comenzaron los primeros recursos judiciales en Alemania: en febrero de 2016, la autoridad de protección de datos de Hamburgo se disponía a multar a tres empresas por basarse en Safe Harbor como base jurídica para sus transferencias transatlánticas de datos y otras dos empresas fueron bajo investigación. [34] Desde el otro lado, una reacción parecía inminente. [35]
El 25 de marzo de 2021, la Comisión Europea y el Secretario de Comercio de Estados Unidos informaron que se estaban llevando a cabo "negociaciones intensificadas". [36] Las discusiones continuaron en la Cumbre UE-EE.UU. celebrada en Bruselas en junio de 2021. [37]
La Comisión Europea puede emitir un viaje de ida y vuelta a Luxemburgo