Ya vimos en la anterior entrada que en Europa se impone el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Este reglamento deroga la Directiva 95/46/CE y se le denomina Reglamento general de protección de datos (RGPD). Es interesante conocer sus principios y la evolución de la relación que enmarca entre distintos países, cómo afecta a la transferencia internacional de datos y qué nuevas leyes hay que tener en cuenta.
Principios de la RGPD
Aún habiéndose resuelto el RGPD en 2016, este no entrará en vigor en España hasta el 25 de Mayo del 2018. Hasta entonces seguirá vigente la LOPD con el reglamento especificado en la Directiva 95/46/CE. Junto al RGPD se imponen nuevos principios, nuevas obligaciones para empresas, administraciones y otras entidades y nuevos derechos para los ciudadanos resumidos en los siguientes puntos:
Nuevos principios
- De responsabilidad
- De protección de datos por defecto y desde el diseño
- De transferencia
Nuevas obligaciones para empresas, administraciones y otras entidades
- Puede establecerse un Delegado de Protección de Datos (DPO)
- Puede que se deban realizar evaluaciones de impacto sobre la privacidad
- Garantías adicionales para las transferencias internacionales de datos
- No obligación de inscribir los ficheros de datos
- Incremento de las sanciones
Nuevos derechos para los ciudadanos
- Transparencia e información
- Consentimiento inequívoco
- Derecho al olvido
- Derecho a la limitación del tratamiento
- Portabilidad de los datos
- Denuncias
- Indemnizaciones por tratamiento ilícito de datos privados
- Canon a la contestación de los ejercicios del derecho de acceso
Este nuevo reglamento (RGPD) estará vigente en todos los países de la Comunidad Europea. En cierta forma tranquiliza conocer que existirá un reglamento de este tipo. No obstante, cómo se tratan los datos recolectados a nivel mundial es algo en lo que debe prestarse especial atención. Un claro ejemplo es la relación Unión Europea con Estados Unidos. Las leyes que regulan la transferencia de datos entre continentes puede levantar recelos en cuanto quién tiene acceso una vez los datos han aterrizado en los países destinatarios. De la misma forma es interesante saber si los datos deben residir en el país de su generación o por el contrario puede circular libremente bajo unas directrices concretas. Conocer cuál es el procedimiento, leyes y posibles fisgones es de antemano un conocimiento útil en el momento de elegir herramientas tecnológicas que afecten a datos educativos.
Protección y privacidad de datos UE-EEUU
La transferencia de datos entre la Unión Europea y Estados Unidos es una historia digna de ser contada, puesto que ha estado regulada por distintas leyes a lo largo del tiempo. Finalmente el marco legal presenta un escenario más o menos estable.
Safe Harbor
Un safe harbor es un reglamento que especifica que cierta conducta no viola una norma. Este tipo de reglamento o disposición de ley acostumbra a encontrarse en relaciones entre países debido a una ambigüedad lingüística. De esta forma se procura reducir la incertidumbre legal existente.
La Directiva europea 95/46/CE integrada aún en la LOPD es una ejemplo de una ley safe harbor. Prohíbe a estados Europeos compartir información de carácter personal a países que estén considerados de un nivel de protección por debajo de unos estándares de calidad. La posibilidad de establecer excepciones está abierta si los países deciden cumplir, y lo hacen, con los principios establecidos en el safe harbor de esta directiva.
Principios internacionales safe harbor
La Unión Europea definió en la Directiva 95/46/CE en cooperación con el Departamento de Comercio de Estados Unidos unos principios que las organizaciones de este último país debían cumplir en materia de protección de datos personales con el objeto de ser consideradas seguras y poder hacer transferencia de datos. De esta forma se prevenían pérdidas o filtración no autorizada de datos personales. La emisión de un certificado anual -atención, autoemitido por las mismas organizaciones- indica la capacidad de las organizaciones de Estados Unidos de operar en calidad de ente cumplidor de siete principios suficientes para garantizar una protección de datos personales:
- Información: debe informarse de que los datos personales recogidos serán tratados para la funcionalidad por la cual se recogen.
- Elección: existe el derecho de cancelación, a la oposición a datos recogidos una vez recabados y a la oposición de cesión o transferencia a terceros.
- Transferencia progresiva: solo pueden transferirse datos a terceros que cumplan con un adecuado nivel de cumplimiento de protección de datos.
- Seguridad: deben cumplirse unos criterios de seguridad para evitar pérdida de datos y filtraciones no autorizados.
- Integridad de los datos: debe asegurarse que los datos recabados sean correctos y relevantes para el propósito por los cuales fueron recabados.
- Acceso: debe existir el derecho de acceso, rectificación o eliminación de los datos recabados.
- Ejecución: debe garantizarse el cumplimiento de los 7 principios destinando los medios y recursos necesarios.
UE-EEUU Escudo de privacidad
El reglamento y principios del safe harbor fue anulado en octubre de 2015 por el Tribunal de Justicia de la Unión Europea en la sentencia referida al caso Schrems. Maximillian Schrems hizo una reclamación basándose en que sus datos personales estaban comprometidos ya que Facebook Ireland Ltd estaba transfiriendo a Estados Unidos los datos personales de sus usuarios, incluidos los suyos, además de conservarlos en los servidores ahí situados.
Se destaca que el sello del escudo de privacidad lo expedían las propias organizaciones de Estados Unidos avaladas por el Departamento de Comercio de este país. Gracias a la denuncia de Schrems la Comisión Europea anuló el safe harbor del 2015 estableciendo otras directivas para dar protección y privacidad a los datos personales de los ciudadanos europeos.
En febrero de 2016 la Comisión Europea y el gobierno de Estados Unidos llegaron a un nuevo acuerdo en el que se establecían unos nuevos principios bajo el nombre Escudo de Privacidad.
Principios del Escudo de Privacidad
El Escudo de Privacidad establece una serie de derechos para los ciudadanos y obligaciones a empresas para asegurar una protección de datos personales –información extraída de la AGPD-:
- Derecho a ser informado
- Limitaciones en el uso de sus datos para diversos fines
- Minimización de los datos y obligación de guardar los datos únicamente durante el tiempo necesario
- Obligación de asegurar los datos
- Obligación de proteger los datos si se transfieren a otra empresa
- Derecho de acceso y rectificación de sus datos
- Derecho a presentar una reclamación y a obtener reparación
- Reparación en caso de acceso por parte de autoridades públicas estadounidenses
Es interesante comprobar que hay una última directriz directamente relacionada con las autoridades públicas estadounidenses. La intención de este principio es limitar el acceso de estas autoridades a los datos personales de ciudadanos europeos recolectados por organizaciones privadas. Solo puede existir un acceso posible si hay un interés público, relacionado con la seguridad del país o la aplicación de sus leyes.
Tomando los principios del escudo de privacidad, las autoridades publicas de dicho país deberían informar a los afectados en caso de acceder o al menos ofrecer la posibilidad de saber que se está accediendo y por la acción en concreto. En definitiva es un principio muy genérico en el que no se termina de blindar el acceso de estados unidos a los datos personales de ciudadanos europeos.