Finalmente, a fecha de 12 de Julio de 2016, la Comisión Europea y el Gobierno de los Estados Unidos ha aprobado
Privacy Shield, un nuevo marco internacional que regula las transferencias de datos personales de ciudadanos de la Unión Europea entre compañías de Europa y los Estados Unidos. Dicho marco
pasa a ser vigente desde el 1 de Agosto de este mismo año.
Esta aprobación llega con retraso, pretendiendo llenar el vacío legal existente con las transferencias de información entre ambos países, desde que el acuerdo
Safe Harbor fuera anulado en octubre de 2015.
El contexto que llevó a la Comisión Europea a la elaboración del marco
Privacy Shield y las características más destacadas del mismo fueron analizadas en detalle en anteriores entradas de este blog:
Privacy Shield, nuevo marco internacional de transferencia de datos
Primer borrador de Privacy Shield
Para ofrecer orientación a los grupos afectados con este nuevo marco, el gobierno de los Estados Unidos ha habilitado un
portal público oficial, con la siguiente información útil:
- Orientación a las empresas de los Estados Unidos que deseen adherirse al nuevo marco.
- Orientación a las empresas de Europa que por sus actividades comerciales deseen hacer transferencias internacionales de datos personales de ciudadanos europeos a empresas de los Estados Unidos.
- Orientación a los ciudadanos de la Unión Europea sobre los derechos de protección de sus datos personales en base a las características de este nuevo marco.
- Orientación a las autoridades de protección de datos locales europeas (como por ejemplo la Agencia Española de Protección de Datos), sobre como adaptar sus regulaciones y normativas locales de cada país miembro a las necesidades de este marco de seguridad.
- Listados oficiales de empresas de los Estados Unidos adheridas a dicho marco de protección de datos internacional.
Al igual que ya pasaba con el acuerdo internacional
Safe Harbor, el marco
Privacy Shield es de obligada aplicación para compañías de los Estados Unidos que deban llevar a cabo transferencias internacionales de datos personales de ciudadanos de la Unión Europea en sus actividades comerciales, y el programa de cumplimiento va a ser mantenido por el Departamento de Comercio de los Estados Unidos, concretamente por la agencia ITA (
International Trade Administration).
Las compañías de los Estados Unidos que deseen adherirse a dicho marco, deberán registrase en el portal oficial indicado anteriormente, e iniciar un proceso de auto-certificación online, donde deberán demostrar su adecuación al mismo. Además, también deberán pagar unas tasas anuales al Departamento de Comercio de los Estados Unidos, que variarán en función del nivel de ingresos de la compañía afectada.
Referencias
http://europa.eu/rapid/press-release_IP-16-2461_en.htm
https://www.commerce.gov/news/secretary-speeches/2016/07/remarks-us-secretary-commerce-penny-pritzker-eu-us-privacy-shield
https://www.privacyshield.gov
http://blog.isecauditors.com/2016/02/privacy-shield-nuevo-marco-internacional-de-transferencia-datos.html
http://blog.isecauditors.com/2016/03/primer-borrador-de-privacy-shield.html
Autor: Guillem Fàbregas -
PCI QSA,
PCIP,
CISSP, CISA, CISM, CRISC,
ISO 27001 L.A.
Departamento de Consultoría.