El pasado 2 de Febrero de 2016, la Comisión Europea anunció la próxima definición de un nuevo marco de privacidad, que regulará las transferencias internacionales de datos personales de ciudadanos Europeos a los Estados Unidos, llamado “ Privacy Shield". En dicha entrada, analizaremos el contexto internacional que ha llevado a la creación de dicho marco, así como las características más destacadas del mismo.
La Directiva de Protección de datos de la Unión Europea, en vigor desde el año 1998, prohibía que se transfirieran datos personales de ciudadanos europeos a otros países fuera de la Unión que no cumplieran con unos requisitos mínimos de seguridad y protección, cosa que dificultaba las relaciones comerciales entre Europa y los Estados Unidos (hay que tener en cuenta que las leyes estadounidenses de protección de datos personales son más laxas que las Europeas). Para facilitar las relaciones comerciales entre los Estados Unidos y Europa, en el año 2000 fue aprobado el acuerdo de Puerto Seguro ( Safe Harbor), desarrollado por el Departamento de Comercio de Estados Unidos, en colaboración con la Unión Europea, y que permite a las compañías de Estados Unidos las transferencias internacionales de este tipo de datos. Para que dicho acuerdo fuera válido, las empresas de Estados Unidos debían cumplir con las medidas de seguridad de datos indicadas en la Directiva 95/46/CE, que establecía los siguientes principios clave:
- Información: Los ciudadanos deben ser informados en todo momento de que sus datos personales están siendo recogidos y que serán tratados únicamente con la finalidad para la que fueron recogidos.
- Elección: Los ciudadanos tienen el derecho de cancelación y/o oposición a que sus datos sean recogidos una vez hayan sido recabados, y pueden oponerse en cualquier momento a la cesión o transferencia de dichos datos a un tercero.
- Transferencia progresiva: La cesión de datos a terceros debe llevarse a cabo con organizaciones que también garanticen un adecuado nivel de cumplimiento de protección de datos.
- Seguridad: Deben establecerse y cumplirse determinadas medidas de seguridad para prevenir pérdidas de información y accesos no autorizados a los datos personales.
- Integridad: Los datos deben ser relevantes y exactos según el propósito para el que fueron recogidos.
- Acceso: Los ciudadanos podrán acceder en todo momento a la información que haya sido recabada acerca de ellos, y podrán corregirla o eliminarla si es inexacta o inadecuada.
- Ejecución: Las compañías deben destinar medios y recursos para garantizar el debido cumplimiento de los principios anteriormente citados.
No obstante, durante todos los años de vigencia del Safe Harbor, dicho marco fue criticado por los países miembros de la Unión Europea, ya que siempre se había considerado que los requisitos de seguridad que establecía eran muy laxos y fáciles de cumplir por las compañías implicadas, y que por lo tanto, se encontraba muy por debajo del nivel de exigencia de la Unión Europea para la protección de datos de sus ciudadanos. Hay que recordar además, que las leyes Europeas en este aspecto son cada vez más estrictas, como lo demuestra la reciente actualización de su reglamento de protección de datos.
Además, el Safe Harbor pasaba por encima de las leyes y regulaciones de protección de datos locales de cada país de la Unión Europea, como por ejemplo la Ley Orgánica de Protección de Datos (LOPD) vigente en España, quitando potestad a dichas regulaciones locales en favor de los requerimientos indicados en Safe Harbor.
En este clima de críticas, y después de las filtraciones de Edward Snowden, indicando el supuesto espionaje y análisis de datos llevado a cabo por parte de la NSA sobre los datos personales de los ciudadanos en Facebook, un ciudadano austríaco decidió llevar a juicio a dicha red social en el Comisionado de Protección de Datos de Irlanda (homólogo de la Agencia Española de Protección de Datos), por el tratamiento inadecuado de sus datos personales. Finalmente, hace poco más de cuatro meses, el 6 de Octubre de 2015, el Tribunal de Justicia de la Unión Europea emitió una sentencia en favor de este ciudadano europeo, anulando el acuerdo Safe Harbor.
Dicho tribunal, indicaba que:
"La existencia de una Decisión de la Comisión que declara que un país tercero garantiza un nivel de protección adecuado de los datos personales transferidos no puede dejar sin efecto ni limitar las facultades de las que disponen las autoridades nacionales de control".
Desde entonces, las transferencias internacionales de datos quedaron en el limbo, y se definió un plazo hasta el 29 de Enero de 2016, para que desde Europa y los Estados Unidos se regularan dicho aspecto.
Así pues, el pasado 2 de Febrero de 2016, la Comisión Europea anunció un acuerdo con el Departamento de Comercio de los Estados Unidos, indicando un nuevo marco de regulación para las transferencias internacionales de datos de ciudadanos Europeos, llamado “ Privacy Shield”, o Escudo de Privacidad, que entrará en vigor dentro de tres meses, y que será revisado y actualizado por ambas partes de manera anual, permitiendo su adaptación constante a las nuevas necesidades vigentes.
Aunque por el momento se conocen pocos detalles sobre dicho nuevo marco, la Comisión Europea ha avanzado que cumplirá con las siguientes premisas:
- Fuertes obligaciones para las compañías que traten datos personales de ciudadanos de la Unión Europea, garantizando los derechos de los mismos. El Departamento de Comercio de los Estados Unidos monitorizará además que las entidades afectadas cumplan con sus obligaciones al respeto.
- Se establecerán de manera clara y transparente los derechos de acceso del gobierno de los Estados Unidos a los datos personales. Dichos accesos serán limitados, se realizarán con todas las garantías necesarias y no serán generalizados, llevándose a cabo solamente cuando esto sea estrictamente necesario y de forma proporcionada.
- Se protegerán de manera efectiva los derechos de los ciudadanos, creando la figura de un “Defensor del Usuario”, que vele por las reclamaciones o quejas de los mismos. En caso de que se detecte que se han vulnerado los derechos de los usuarios en relación a sus datos personales, éstos deberán ser compensados por la compañía responsable del tratamiento de dichos datos, con sanciones o multas que serán definidas en cada caso.
Desde Internet Security Auditors, seguiremos atentamente la evolución y definición de dicho marco de privacidad, y en cuando se hagan públicos más detalles y características del mismo, los analizaremos en profundidad en este blog.
Referencias:
http://europa.eu/rapid/press-release_IP-16-216_en.htm
http://www.nytimes.com/2016/02/03/technology/us-europe-safe-harbor-data-deal.html?_r=1
http://blog.isecauditors.com/2016/01/europa-actualiza-el-reglamento-de-proteccion-datos.html
https://es.wikipedia.org/wiki/Principios_internacionales_safe_harbor
https://www.agpd.es
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:es:HTML
http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117es.pdf
http://tecnologia.elpais.com/tecnologia/2015/10/05/actualidad/1444071970_946053.html
Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría.