Privacy Shield: Un nuevo capítulo en la protección de datos personales en Europa

Anteriormente en Safe Harbor...

Puede que recuerdes que en el otoño pasado, el Tribunal de Justicia de la Unión Europea invalidó Safe Harbor, un acuerdo de certificación individual que se usaba para regular la transferencia de datos entre Estados Unidos y la Unión Europea.  

Desde entonces, ha habido unos cuantos avances: en febrero de 2016, un nuevo texto conocido como Privacy Shield fue creado in extremis para regular estas transferencias de información. El texto fue luego estudiado por el Grupo de trabajo del Artículo 29 (también conocido como WP29, un grupo de 29 organismos nacionales para la protección de datos en la Unión Europea).

El pasado mes de abril, después de dos meses analizando el texto en profundidad, el WP29 hizo una declaración pública al respecto en la que reconocían las mejoras que Privacy Shield traía consigo, pero señalaba ciertos puntos en los que aún queda trabajo por hacer. Algunos de estos puntos son la complejidad del acuerdo en sí mismo, la ausencia de medidas para prevenir la recolección masiva de información por parte de los programas de vigilancia estadounidenses y lo difícil que resultaría a los ciudadanos europeos el reclamar por un mal uso de su información personal.

 

blue-1283011_1920 Image

En el capítulo de esta semana de Privacy Shield…

El 8 de julio, la Unión Europea validó Privacy Shield de forma oficial, por lo que este acuerdo viene a reemplazar a Safe Harbor de forma oficial, ofreciendo así un nuevo marco para que las empresas estadounidenses transfieran información personal de ciudadanos europeos de forma legal a los Estados Unidos.

Espera. ¿Esto quiere decir que todo ha vuelto a la normalidad? ¿La transferencia de información personal entre la Unión Europea y Estados Unidos es segura de nuevo¿ ¿Ya podemos ser felices y comer perdices con nuestros proveedores estadounidenses? ¿Estamos de verdad ante el final de esta serie?

Bueno, no exactamente… Ya sabes que siempre hay un “pero”.

En la actualidad, cualquier empresa estadounidense que recibe información personal de ciudadanos europeos debe adoptar uno de los siguientes métodos para la transferencia internacional de datos:

(1) Cláusulas Contractuales Estándar,

(2) Reglas Corporativas Vinculantes (para transferencias entre empresas o afiliados),

(3) Privacy Shield.

 

¿Cómo puedo asegurarme de que estoy siguiendo las normas de protección de datos personales en Europa?

Vale, hemos dicho que hay tres opciones.

Las empresas no pertenecientes a países de la Unión Europea pueden usar las cláusulas de protección de datos estándares incluidas en las opciones (1) y (2) en sus contratos. En esencia, esto cubre cualquier transferencia de datos transatlántica llevada a cabo por una empresa estadounidense. Para que estas opciones sean válidas, una empresa de Estados Unidos debe optar por los mismo estándares de protección de datos personales a los que están sujetos las empresas de la Unión Europea. Esto debe quedar claramente indicado en sus contratos, tanto los usados internamente entre empresas como los usados de forma externa con los clientes. Sin embargo, no todas las empresas usan estas opciones del mismo modo, por lo que los clientes deben comprobar los acuerdos de protección de datos de las empresas para determinar hasta qué punto están sus datos seguros. Esto quiere decir que los consumidores no siempre tienen los mismos estándares de seguridad al trabajar con empresas de fuera de la Unión Europea.  

Entonces, ¿esto quiere decir que cada empresa puede decidir cómo quiere proteger la información personal? No necesariamente. Una vez entre en funcionamiento, la opción (3), Privacy Shield, debería ser la ley que prevalezca a la hora de regular la transferencia de datos personales. Sin embargo, aún hay muchas dudas sobre el nivel de protección que ofrece, comparado con la garantizada por las leyes europeas.

Desde no hace mucho, las empresas estadounidenses pueden usar Privacy Shield como forma de acreditar sus estándares de protección de datos. Puedes certificar de forma individual que cumplen con los requisitos de la nueva regulación. De hecho, la ley ya se aplica a muchas empresas estadounidenses (incluidas Facebook, Google, Microsoft…).

Para las empresas europeas, todo esto es un poco diferente. En estos países, Privacy Shield tiene que ser integrado en la legislación local de los estados miembros. La fecha límite para llevar a cabo el proceso es el 6 de mayo de 2018, aunque tampoco sería demasiado sorprendente si al final lleva más tiempo. Mientras tanto, sólo puede confiarse en las opciones (1) y (2), descritas anteriormente, cuando queramos estar seguros de que nuestras transferencias de información transatlánticas son seguras.

Si usas Mailjet como tu proveedor de email marketing, no tienes de qué preocuparte. No sólo porque cumplimos con la Directriz 95/46/CE de Protección de Datos, sino porque todos nuestros servidores están localizados en Europa. Además, siempre aspiramos a alcanzar los estándares de protección de datos más elevados. ¿Ves? Nada de lo que preocuparse.

Ahora, es hora de irse a ver unos cuantos capítulos de Juego de Tronos.

Si tienes alguna pregunta sobre Privacy Shield y cómo puede impactar a tu política de envíos y la protección de tu información personal, no dudes en ponerte en contactos con nosotros o compartir tu opinión en Twitter, con el hashtag #MailjetMarketing.