Al parecer, dicho organismo ha detectado las siguientes deficiencias en la aplicación del programa a lo largo de este año:
- Falta de reglas específicas en la toma de decisiones automatizada y en el derecho general a objetar sobre dichas decisiones, y falta de claridad sobre cómo los principios de Privacy Shield se aplican a los procesadores de datos existentes.
- Sigue siendo posible una vigilancia a gran escala de los datos de los ciudadanos de la UE, si las autoridades de los EEUU lo consideran justificado en base a sus estados de seguridad y vigilancia.
- Ni los principios de protección de la privacidad ni las cartas de la administración de los Estados Unidos demuestran la existencia de unos derechos judiciales eficaces para los individuos en la UE cuyos datos personales se transfieren a los EEUU.
- El mecanismo del “Defensor del Pueblo” establecido por el Departamento de Estado de los Estados Unidos no es suficientemente independiente, y no está dotado de poderes efectivos y suficientes para llevar a cabo sus funciones acordadas.
Según ha confirmado la Comisión Europea, en septiembre de este mismo año se realizará una revisión conjunta de dicho marco en Washington, que contará con la presencia de representantes de las autoridades de protección de datos de la Unión Europea y de los Estados Unidos, y dónde se pretende ajustar dicho programa para solventar las deficiencias detectadas.
Es importante recordar no obstante, que des de la llegada de Donald Trump a la presidencia de los Estados Unidos, la política de protección de datos de dicho país ha experimentado grandes cambios, siendo uno de los más destacados la orden ejecutiva de 25 de Enero de este año, donde entre otras cosas, se detalla que “las agencias deberán, de manera compatible con la legislación aplicable, garantizar que sus políticas de privacidad excluyen a las personas que no sean ciudadanas de los Estados Unidos o residentes permanentes legales”.
Por lo tanto, parece evidente que las autoridades europeas no lo tendrán nada sencillo para ajustar Privacy Shield a sus intereses en la revisión de septiembre, y no hay que descartar que no se lleguen a acuerdos satisfactorios entre los representantes de la UE y los EEUU, cosa que podría significar que se vuelva a repetir una situación similar a la de octubre de 2015, cuando el marco Safe Harbour fue declarado inválido por parte de la Unión Europea, y anulado en todos sus efectos.
Desde Internet Security Auditors estaremos atentos a las novedades al respeto, para analizarlas en profundidad en este blog.
Referencias
http://blog.isecauditors.com/2016/02/privacy-shield-nuevo-marco-internacional-de-transferencia-datos.html
http://blog.isecauditors.com/2016/09/aprobacion-oficial-del-marco-privacy-shield.html
http://blog.isecauditors.com/2016/03/primer-borrador-de-privacy-shield.html
http://www.europarl.europa.eu/news/en/press-room/20170321IPR67934/privacy-shield-key-deficiencies-urgently-need-to-be-resolved-meps-say
http://europa.eu/rapid/press-release_SPEECH-17-826_en.htm
https://www.whitehouse.gov/the-press-office/2017/01/25/presidential-executive-order-enhancing-public-safety-interior-united
Autor: Guillem Fàbregas - PCI QSA, PCIP, CISSP, CISA, CISM, CRISC, ISO 27001 L.A.
Departamento de Consultoría