stringtranslate.com

Principios internacionales de privacidad de Safe Harbor

Los Principios de Privacidad de Puerto Seguro Internacional o Principios de Privacidad de Puerto Seguro fueron principios desarrollados entre 1998 y 2000 con el fin de evitar que las organizaciones privadas dentro de la Unión Europea o Estados Unidos que almacenan datos de clientes divulguen o pierdan información personal accidentalmente . Fueron revocados el 6 de octubre de 2015 por el Tribunal de Justicia de la Unión Europea (TJUE), lo que permitió a algunas empresas estadounidenses cumplir con las leyes de privacidad que protegen a los ciudadanos de la Unión Europea y Suiza . [1] Las empresas estadounidenses que almacenan datos de clientes podrían autocertificar que se adhirieron a 7 principios, para cumplir con la Directiva de Protección de Datos de la UE y con los requisitos suizos. El Departamento de Comercio de EE. UU. desarrolló marcos de privacidad en conjunto con la Unión Europea y el Comisionado Federal de Protección de Datos e Información de Suiza. [2]

En el contexto de una serie de decisiones sobre la adecuación de la protección de los datos personales transferidos a otros países, [3] la Comisión Europea tomó una decisión en 2000 en la que se afirmaba que los principios de los Estados Unidos cumplían con la Directiva de la UE [4] – la llamada decisión Safe Harbor . [5] Sin embargo, después de que un cliente se quejara de que sus datos de Facebook no estaban suficientemente protegidos, el TJUE declaró en octubre de 2015 que la decisión Safe Harbor no era válida, lo que llevó a la Comisión a mantener nuevas conversaciones con las autoridades estadounidenses en pos de "un marco renovado y sólido para los flujos de datos transatlánticos". [6]

El 2 de febrero de 2016, la Comisión Europea y los Estados Unidos acordaron establecer un nuevo marco para los flujos de datos transatlánticos, conocido como el « Escudo de privacidad UE-EE.UU. » [7] , al que siguió de cerca el Marco del Escudo de privacidad entre Suiza y EE.UU.

Antecedentes históricos

En 1980, la OCDE emitió recomendaciones para la protección de datos personales en forma de ocho principios. Estos no eran vinculantes y en 1995, la Unión Europea (UE) promulgó una forma de gobernanza más vinculante, es decir, una legislación, para proteger la privacidad de los datos personales en forma de la Directiva de Protección de Datos . [8]

Según la Directiva de Protección de Datos, las empresas que operan en la Unión Europea no están autorizadas a enviar datos personales a "terceros países" fuera del Espacio Económico Europeo , a menos que garanticen niveles adecuados de protección, "el propio interesado consienta la transferencia" o "si se han autorizado normas corporativas vinculantes o cláusulas contractuales estándar". [8] [9] Esto último significa que la protección de la privacidad puede ser a nivel organizacional, donde una organización multinacional produce y documenta sus controles internos sobre datos personales o pueden ser a nivel de un país si se considera que sus leyes ofrecen una protección igual a la de la UE.

Los Principios de Protección de Datos de los Clientes (Safe Harbor Privacy Principles) se desarrollaron entre 1998 y 2000. El actor clave fue el Grupo de Trabajo del Art. 29, en ese momento presidido por la Autoridad de Protección de Datos de Italia (www.garanteprivacy.it). Su presidente, el Prof. Stefano Rodotà, uno de los padres del marco de protección de datos en Europa, con la ayuda del Secretario General de la Autoridad de Protección de Datos de Italia, el Sr. Giovanni Buttarelli, recientemente nombrado Supervisor Europeo de Protección de Datos (SEPD). Los Principios de Protección de Datos de los Clientes se diseñaron para evitar que las organizaciones privadas dentro de la Unión Europea o los Estados Unidos que almacenan datos de clientes divulguen o pierdan información personal accidentalmente. Las empresas estadounidenses podían optar por participar en un programa y obtener la certificación si se adherían a siete principios y 15 preguntas y respuestas frecuentes según la Directiva. [10] En julio de 2000, la Comisión Europea (CE) decidió que las empresas estadounidenses que cumplieran con los principios y registraran su certificación de que cumplían con los requisitos de la UE, el llamado "esquema de puerto seguro", podían transferir datos de la UE a los EE. UU. Esto se conoce como la decisión de Safe Harbor . [11]

El 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea invalidó la Decisión Safe Harbor de la CE, porque "una legislación que permite a las autoridades públicas tener acceso de forma generalizada al contenido de las comunicaciones electrónicas debe considerarse como una violación de la esencia del derecho fundamental al respeto de la vida privada " [énfasis en el original] . [1] : 2–3 

Según la Comisión Europea, el Escudo de Privacidad UE-EE.UU. acordado el 2 de febrero de 2016 "refleja los requisitos establecidos por el Tribunal de Justicia de la Unión Europea en su sentencia del 6 de octubre de 2015, que declaró inválido el antiguo marco de Safe Harbor. El nuevo acuerdo establecerá obligaciones más estrictas para las empresas de EE.UU. en materia de protección de los datos personales de los europeos y una supervisión y aplicación más estrictas por parte del Departamento de Comercio y la Comisión Federal de Comercio de EE.UU. , incluso mediante una mayor cooperación con las autoridades europeas de protección de datos. El nuevo acuerdo incluye compromisos por parte de EE.UU. de que las posibilidades que ofrece la legislación estadounidense para que las autoridades públicas accedan a los datos personales transferidos en virtud del nuevo acuerdo estarán sujetas a condiciones, limitaciones y supervisión claras, impidiendo el acceso generalizado. Los europeos tendrán la posibilidad de plantear cualquier consulta o reclamación en este contexto ante un nuevo Defensor del Pueblo específico". [12]

Principios

Los siete principios del año 2000 son: [11]

Alcance, certificación y cumplimiento

Sólo las organizaciones estadounidenses reguladas por la Comisión Federal de Comercio o el Departamento de Transporte pueden participar en este programa voluntario. Esto excluye a muchas instituciones financieras (como bancos, casas de inversión, cooperativas de crédito e instituciones de ahorro y préstamo ), operadores comunes de telecomunicaciones (incluidos los proveedores de servicios de Internet ), asociaciones laborales, organizaciones sin fines de lucro, cooperativas agrícolas y procesadores de carne , periodistas y la mayoría de las compañías de seguros, [13] aunque puede incluir a los bancos de inversión. [14]

Una vez que la organización se ha sumado a la iniciativa, debe contar con una formación adecuada para sus empleados y un mecanismo eficaz de resolución de disputas, y debe volver a certificar por escrito cada doce meses que acepta adherirse a los principios del Marco de Puerto Seguro UE-EE. UU., incluidos la notificación, la elección, el acceso y la aplicación. [15] Puede realizar una autoevaluación para verificar que cumple con los principios o contratar a un tercero para que realice la evaluación. Las empresas pagan una tarifa anual de 100 dólares por el registro, excepto si se registran por primera vez (200 dólares). [16]

El gobierno de Estados Unidos no regula Safe Harbor, que se autorregula a través de sus miembros del sector privado y las entidades de resolución de disputas que ellos eligen. La Comisión Federal de Comercio "administra" el sistema bajo la supervisión del Departamento de Comercio de Estados Unidos. [17] Para cumplir con los compromisos, los infractores pueden ser penalizados en virtud de la Ley de la Comisión Federal de Comercio mediante órdenes administrativas y sanciones civiles de hasta 16.000 dólares por día por infracciones. Si una organización no cumple con el marco debe notificarlo de inmediato al Departamento de Comercio, o de lo contrario puede ser procesada en virtud de la Ley de Declaraciones Falsas. [15]

En un caso de 2011 , la Comisión Federal de Comercio obtuvo un decreto de consentimiento de un minorista en línea con sede en California que había vendido exclusivamente a clientes en el Reino Unido . Entre sus muchas presuntas prácticas engañosas se encontraba la de presentarse como si se hubiera autocertificado bajo Safe Harbor cuando en realidad no lo había hecho. Se le prohibió utilizar tales prácticas engañosas en el futuro. [18]

Crítica y evaluación

Evaluaciones de la UE

El sistema de «autocertificación» de los Principios de puerto seguro entre la UE y los EE.UU. ha sido criticado en relación con su cumplimiento y aplicación en tres evaluaciones externas de la UE:

Galexia recomendó a la UE que renegocie el acuerdo de puerto seguro, que emita advertencias a los consumidores de la UE y que considere la posibilidad de revisar exhaustivamente todas las entradas de la lista. Recomendó a los EE. UU. que investigue a los cientos de organizaciones que hacen afirmaciones falsas , que revise sus declaraciones sobre el número de participantes, que abandone el uso de la marca de certificación de puerto seguro, que investigue el uso no autorizado y engañoso de su logotipo departamental y que suspenda automáticamente la membresía de una organización si no renueva su certificación de puerto seguro. [21]

El alcance de la Ley Patriota

En junio de 2011, el director general de Microsoft UK, Gordon Frazer, dijo que " los datos en la nube , independientemente de dónde se encuentren en el mundo, no están protegidos contra la Ley Patriota ". [22]

Los Países Bajos descartaron rápidamente la posibilidad de que los proveedores estadounidenses de servicios de nube no pudieran participar en los contratos con el gobierno holandés, e incluso consideraron la posibilidad de prohibir los contratos de servicios de nube proporcionados por Microsoft y Google. Una filial holandesa de la Computer Sciences Corporation (CSC), con sede en Estados Unidos, gestiona los registros médicos electrónicos del sistema nacional de salud holandés y advirtió que, a menos que la CSC pudiera asegurar que no estaba sujeta a la Ley Patriota, rescindiría el contrato. [23]

Un año después, en 2012, un artículo de investigación jurídica respaldó la idea de que la Ley Patriota permitía a las fuerzas de seguridad estadounidenses eludir las leyes de privacidad europeas. [23]

Denuncia ciudadana sobre seguridad de datos en Facebook

En octubre de 2015, el TJUE respondió a una remisión del Tribunal Superior de Irlanda en relación con una denuncia del ciudadano austriaco Maximillian Schrems sobre el procesamiento por parte de Facebook de sus datos personales desde su filial irlandesa a servidores en los EE. UU. Schrems se quejó de que "a la luz de las revelaciones hechas en 2013 por Edward Snowden sobre las actividades de los servicios de inteligencia de los Estados Unidos (en particular, la Agencia de Seguridad Nacional ), la ley y la práctica de los Estados Unidos no ofrecen suficiente protección contra la vigilancia por parte de las autoridades públicas". El TJUE sostuvo que los Principios de Puerto Seguro no eran válidos, ya que no exigían que todas las organizaciones con derecho a trabajar con datos relacionados con la privacidad de la UE los cumplieran, por lo que no ofrecían garantías suficientes. Las agencias del gobierno federal de los EE. UU. podían usar datos personales bajo la ley estadounidense, pero no estaban obligadas a optar por participar. El tribunal sostuvo que las empresas que optaban por participar estaban "obligadas a ignorar, sin limitación, las reglas de protección establecidas por ese esquema cuando entraran en conflicto con la seguridad nacional, el interés público y los requisitos de aplicación de la ley". [1]

De acuerdo con las normas de la UE para la remisión al TJUE para una decisión prejudicial , el Comisario de Protección de Datos irlandés ha tenido que "examinar el caso del Sr. Schrems 'con toda la debida diligencia' y... decidir si... la transferencia de los datos personales de los suscriptores europeos de Facebook a los Estados Unidos debería suspenderse". [1] Los reguladores de la UE dijeron que si el TJUE y los Estados Unidos no negociaban un nuevo sistema en un plazo de tres meses, las empresas podrían enfrentarse a medidas de los reguladores europeos de privacidad. El 29 de octubre de 2015, un nuevo acuerdo "Safe Harbor 2.0" parecía estar cerca de concretarse. [24] Sin embargo, la Comisaria Jourova esperaba que Estados Unidos actuara a continuación. [25] Las ONG estadounidenses se apresuraron a ampliar la importancia de la decisión. [26]

Respuesta al Acuerdo sobre el Escudo de Privacidad entre la UE y EE. UU.

El eurodiputado alemán Jan Philipp Albrecht y el activista Max Schrems han criticado la nueva sentencia, y este último ha predicho que la Comisión podría estar haciendo un "viaje de ida y vuelta a Luxemburgo" (donde se encuentra el Tribunal de Justicia de la Unión Europea). [27] La ​​Comisaria de Consumidores de la UE, Vera Jourova, expresó su confianza en que se alcanzaría un acuerdo a finales de febrero. [28] Muchos europeos estaban pidiendo un mecanismo para que los ciudadanos europeos individuales presentaran quejas sobre el uso de sus datos, así como un plan de transparencia para asegurar que los datos de los ciudadanos europeos no cayeran en manos de las agencias de inteligencia estadounidenses. [29] El Grupo de Trabajo del Artículo 29 ha recogido esta demanda y ha declarado que esperaría otro mes hasta marzo de 2016 para decidir sobre las consecuencias de la nueva propuesta de la Comisaria Jourova. [30] El Director de Derechos Fundamentales de la Comisión Europea, Paul Nemitz, declaró en una conferencia en Bruselas en enero cómo decidiría la Comisión sobre la "adecuación" de la protección de datos. [31] El periódico The Economist predice que "una vez que la Comisión haya emitido una 'decisión de adecuación' reforzada, será más difícil para el TJUE revocarla". [32] El activista de la privacidad Joe McNamee resumió la situación señalando que la Comisión ha anunciado acuerdos prematuramente, perdiendo así su derecho de negociación. [33] Al mismo tiempo, han comenzado los primeros desafíos judiciales en Alemania: la autoridad de protección de datos de Hamburgo se estaba preparando durante febrero de 2016 para multar a tres empresas por confiar en Safe Harbor como base legal para sus transferencias de datos transatlánticas y otras dos empresas estaban siendo investigadas. [34] Desde el otro lado, una reacción parecía inminente. [35]

El 25 de marzo de 2021, la Comisión Europea y el Secretario de Comercio de Estados Unidos informaron que se estaban llevando a cabo "negociaciones intensificadas". [36] Las discusiones continuaron en la Cumbre UE-EE. UU. en Bruselas en junio de 2021. [37]

Véase también

Lectura adicional

Referencias

  1. ^ abcd «Sentencia en el asunto C-362/14 Maximillian Schrems contra Data Protection Commissioner: El Tribunal de Justicia declara que la Decisión de puerto seguro de la Comisión en EE. UU. es inválida» (Comunicado de prensa). Tribunal de Justicia de la Unión Europea. 6 de octubre de 2015. p. 3. Consultado el 7 de octubre de 2015 .
  2. ^ Bienvenido al puerto seguro entre Estados Unidos y Suiza, consultado el 1 de noviembre de 2015
  3. ^ Decisiones de la Comisión sobre la adecuación de la protección de los datos personales en terceros países, consultado el 1 de noviembre de 2015
  4. ^ 2000/520/CE: Decisión de la Comisión, de 26 de julio de 2000, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección proporcionada por los principios de protección de la vida privada del puerto seguro y preguntas frecuentes relacionadas emitidas por el Departamento de Comercio de los EE. UU. (notificada con el número de documento C(2000) 2441), consultada el 1 de noviembre de 2015
  5. ^ Declaración del Grupo de Trabajo de Protección de Datos sobre el Escudo de Privacidad UE-EE.UU., texto adicional.
  6. ^ Vera Jourova, "Observaciones de la Comisaria Jourová sobre la sentencia Safe Harbor del Tribunal de Justicia de la UE ante la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE)", 26 de octubre de 2015
  7. ^ El nuevo “Privacy Shield” transatlántico de datos, consultado el 25 de febrero de 2016
  8. ^ ab Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
  9. ^ Comisión Europea (15 de junio de 2001)Decisión 2001/497/CE de la Comisión, de 15 de junio de 2001, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países con arreglo a la Directiva 95/46/CE, 15 de junio de 2001, Diario Oficial L 181 de 04.07.2001.
  10. ^ "Documentos del marco de puerto seguro entre Estados Unidos y la Unión Europea". Gobierno de Estados Unidos. Archivado desde el original el 5 de abril de 2015.
  11. ^ ab Tribunal de Justicia de la Unión Europea 2000/520/CE: Decisión de la Comisión, de 26 de julio de 2000, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección proporcionada por los principios de protección de la vida privada del puerto seguro y preguntas frecuentes relacionadas emitidas por el Departamento de Comercio de los EE. UU. (notificada con el número de documento C(2000) 2441) (Texto pertinente a efectos del EEE). 25 de agosto de 2000, consultado el 30 de octubre de 2015
  12. ^ La Comisión Europea y Estados Unidos acuerdan un nuevo marco para los flujos transatlánticos de datos: Escudo de privacidad UE-EE.UU., publicado el 2 de febrero de 2016
  13. ^ Departamento de Comercio de los EE. UU. Bienvenido a los marcos de puerto seguro entre EE. UU., la UE y EE. UU. y Suiza Archivado el 9 de junio de 2010 en Wayback Machine. 9 de octubre de 2015, consultado el 30 de octubre de 2015
  14. ^ Preguntas frecuentes del Departamento de Comercio de los Estados Unidos: banca de inversión y auditorías, 29 de enero de 2009, consultado el 30 de octubre de 2015
  15. ^ ab Departamento de Comercio de EE. UU. Descripción general del acuerdo de puerto seguro entre EE. UU. y la UE, 18 de diciembre de 2013, consultado el 30 de octubre de 2015
  16. ^ Tasas de puerto seguro del Departamento de Comercio de EE. UU. 9 de abril de 2015, consultado el 30 de octubre de 2015
  17. ^ Zach Whittaker Safe Harbor: Por qué los datos de la UE necesitan "protección" frente a las fallas de la ley estadounidense Zdnet, 25 de abril de 2011
  18. ^ Redactor (9 de junio de 2011). "Un acuerdo de la FTC prohíbe a un minorista estadounidense de productos electrónicos engañar a los consumidores con nombres de sitios web extranjeros" (Comunicado de prensa). Washington. Comisión Federal de Comercio . Consultado el 5 de marzo de 2015 .
  19. ^ Comisión Europea (2002) La aplicación de la Decisión de la Comisión sobre la protección adecuada de los datos personales proporcionada por los Principios de privacidad de Safe Harbor 11 páginas, consultado el 30 de octubre de 2015
  20. ^ Comisión Europea (2004) La aplicación de la Decisión de la Comisión sobre la protección adecuada de los datos personales prevista en los Principios de privacidad de Safe Harbor 11 páginas, consultado el 30 de octubre de 2015
  21. ^ Chris Connolly (Galexia) US Safe Harbor - Fact or Fiction? Privacy Laws and Business International , número 96, diciembre de 2008, publicado en Galexia.com, consultado el 30 de octubre de 2015
  22. ^ Zack Whittaker, Microsoft admite que la Ley Patriota puede acceder a datos de la nube de la UE Zdnet.com, 28 de junio de 2011, consultado el 30 de octubre de 2015
  23. ^ de Zack Whittaker, la Ley Patriota puede "obtener" datos en Europa, dicen los investigadores CBS News 4 de diciembre de 2012
  24. ^ Georgina Prodhan (29 de octubre de 2015). "Estados Unidos ve un nuevo pacto de intercambio de datos con la UE al alcance de la mano". Reuters . Consultado el 30 de octubre de 2015 .
  25. ^ Peter Sayer (6 de noviembre de 2015). "EU tells US it must make next move on new Safe Harbor deal, Nov. 6, 2015". Computerworld . Consultado el 9 de noviembre de 2015 .
  26. ^ ONG (13 de octubre de 2015). «Privacidad digital en Estados Unidos y Europa». New York Times . Consultado el 13 de noviembre de 2015 .
  27. ^ Schrems, Max (2 de febrero de 2016). "EU US Privacy Shield (Safe Harbor 1.1)" (PDF) . Consultado el 3 de febrero de 2016. La Comisión Europea podría estar emitiendo un viaje de ida y vuelta a Luxemburgo
  28. ^ "Jourová: El nuevo puente entre la UE y EE.UU. [Entrevista]". Nueva Europa . Consultado el 3 de febrero de 2016 .
  29. ^ Lomas, Natasha (3 de febrero de 2016). "Las transferencias de datos entre la UE y EE. UU. no se bloquearán mientras se negocian los detalles del Escudo de privacidad, dice WP29". TechCrunch . Consultado el 3 de febrero de 2016 .
  30. ^ "Declaración sobre las consecuencias de la sentencia Schrems" (PDF) . 2 de febrero de 2016 . Consultado el 6 de febrero de 2016 .
  31. ^ Bracy, Jedidiah (28 de enero de 2015). "El lunes podría llegar a un nuevo acuerdo sobre transferencia de datos". The Privacy Advisor . Consultado el 3 de febrero de 2016 .
  32. ^ "Carlomagno: "Espadas y escudos". Estados Unidos y la Unión Europea han llegado a un acuerdo sobre protección de datos". The Economist . 6 de febrero de 2016 . Consultado el 8 de febrero de 2016 .
  33. ^ "¿Qué hay detrás del escudo? Desmitificando el discurso del "escudo de la privacidad"". Iniciativa Europea de Derechos Digitales (EDRi) . 2 de febrero de 2016. Consultado el 10 de febrero de 2016 .
  34. ^ Meyer, David. "Here Comes the Post-Safe Harbor EU Privacy Crackdown, 25 de febrero de 2016". Revista Fortune . Consultado el 26 de febrero de 2016 .
  35. ^ Martin, Alexander J. (13 de junio de 2016). "Estados Unidos planea intervenir en el caso UE vs Facebook causado por el espionaje de la NSA". The Register . Consultado el 16 de junio de 2016 .
  36. ^ Comisión Europea, Intensificación de las negociaciones sobre los flujos transatlánticos de privacidad de datos: Declaración de prensa conjunta del Comisario Europeo de Justicia, Didier Reynders, y la Secretaria de Comercio de Estados Unidos, Gina Raimondo, publicada el 25 de marzo de 2021, consultada el 23 de julio de 2021
  37. ^ Departamento de Comercio, La secretaria de Comercio de EE. UU., Gina M. Raimondo, se une al presidente Biden en la cumbre entre EE. UU. y la UE y aborda cuestiones tecnológicas y comerciales con los líderes de la Unión Europea y del sector privado, publicado el 23 de junio de 2021, consultado el 28 de julio de 2021

Enlaces externos