Como recordaréis, el pasado 12 de julio de 2016 se adoptó el famoso “Privacy Shield” entre la Unión Europea y los Estados Unidos de América (el “escudo de la privacidad UE-EE.UU.”, tal y como fue traducido al español).
Desde entonces no han dejado de darse acciones y de aparecer noticias entorno a este marco de compromisos, cartas, procedimientos y buenas intenciones que actualmente regulan la transferencia de datos personales desde el territorio de la UE hacia responsables de nacionalidad americana. Y así, poco a poco, estamos a punto de llegar al momento en que deberá llevarse a cabo la primera evaluación entre las partes sobre el estado de cumplimiento de este complejo “escudo de defensa de la privacidad”.
Como ejercicio de memoria, y con ánimo de difundir algunos aspectos que quizá no hayan llamado tanto la atención desde que Privacy Shield sustituyó al marco regulatorio entonces conocido como “Safe Harbor”, nos proponemos realizar un breve repaso como antesala a la reunión que próximamente tendrá lugar en Washington, D.C.
Comencemos con el 1 de agosto de 2016, día en el cual se publicó en el Diario Oficial de la Unión Europea el texto de la Decisión de la Comisión Europea que reconocía la adecuación de Privacy Shield a la protección conferida por la normativa europea a los datos personales (la Decisión de Adecuación). En la misma fecha, se anunció que Privacy Shield funcionaba de manera integral, permitiendo la adhesión de las empresas americanas a este nuevo modelo de auto-certificación en materia de protección de datos personales.
Desde entonces y al día de hoy (26 de junio de 2017), desde la web gestionada por el Departamento de Comercio de los EEUU (www.privacyshield.gov) se informa que actualmente figuran 2.244 entidades adheridas a Privacy Shield. Si deseas saber quiénes son todas ellas (¡¡!!), o quieres buscar si alguna en concreto ya figura en “la lista”, simplemente haz clic aquí.
Por otro lado, ya hemos contado antes en Law&Trends que el camino hacia la adopción y entrada en vigor de Privacy Shield no ha sido un camino de rosas, y tampoco lo ha sido su entrada en vigor. Y es que el 16 de septiembre de 2016 la organización Digital Rights Ireland (DRI) demandó ante el Tribunal de Justicia de la Unión Europea (TJUE) que se declare la nulidad de la Decisión de la Comisión Europea (CE) por la cual se reconoció la “adecuación” de Privacy Shield, aduciendo DRI que dicha decisión “adolece de un error manifiesto de apreciación cometido por la Comisión, en la medida en que declara la existencia de un nivel adecuado de protección de datos personales en Estados Unidos, conforme con la Directiva 95/46/CE.”
Por simplificar el argumento, digamos que DGI desea que Privacy Shield caiga por las mismas razones que cayó Safe Harbor, pero si desean ver los motivos y principales alegaciones que DRI presentó contra la Decisión de la CE, pueden hacerlo aquí. El recurso continuará su camino hasta que el TJUE resuelva las alegaciones presentadas contra la Decisión de la CE.
Tengamos también presente (porque suele pasarse por alto) que Suiza contaba con su propio Safe Harbor, y que ahora también cuenta con su propio Privacy Shield. En este sentido, veamos que el pasado 11 de enero de 2017 el Comisionado Federal de Protección de Datos e Información de aquel país anunció la finalización de su propio acuerdo con los EEUU, y que desde el 12 de abril el Departamento de Comercio comenzó a aceptar las comunicaciones de auto-certificación correspondientes. Así pues, desde abril de 2017 funcionan dos escudos, que a su manera particular regulan la misma cuestión con los EEUU.
En medio de los movimientos helvéticos y americanos antes referidos, el 31 de marzo de 2017 Věra Jourová pronunció un discurso en el cual anunció que ella y su contraparte Wilbur Ross habían acordado llevar a cabo la primera reunión periódica de evaluación de Privacy Shield (prevista en los Anexos I, II y VI de la Decisión de Adecuación) en el mes de septiembre de 2017. Como podemos ver en la trascripción de dicho discurso, no se especificaron más detalles sobre la reunión anunciada.
Pero entonces apareció en escena el Grupo de Trabajo del Artículo 29 (GT29), quien a través de una carta fechada el 15 de junio de 2017, dejaron saber a Věra Jourová que estaban al tanto de que la reunión de evaluación tendría lugar la semana del 18 de septiembre, y que como conjunto de autoridades de control en materia de protección de datos de la Unión Europea, tienen varias cuestiones que plantear en la víspera de dicha reunión.
En primer lugar, el GT29 resalta que, desde su perspectiva, el objetivo de la reunión de evaluación debe ser la obtención de evidencia que demuestre la solidez de Privacy Shield. Asimismo, el grupo de autoridades europeas aporta su visión sobre el contenido de la reunión, indicando que en la misma se deberá dar respuesta a las primeras preocupaciones que se expresaron en relación con el borrador de lo que finalmente terminó siendo la Decisión de la CE sobre Privacy Shield (el (Dictamen 01/2016 del GT29), la aplicación específica de la decisión y la evolución de las leyes y jurisprudencia de los EEUU desde la adopción de Privacy Shield.
A tales efectos, el WP29 manifiesta que ha redactado una serie de preguntas en relación con los aspectos comerciales, de aplicación de la ley y de acceso por cuestiones de seguridad nacional, para que sean respondidas por las diversas autoridades implicadas (en este punto, debo pedir el apoyo de cualquier amigo lector para informar a Law & Trends sobre el contenido de las mencionadas preguntas, ya que a pesar de los esfuerzos de búsqueda no hemos podido localizarlas; en cuanto contemos con ellas actualizaremos esta información).
Adicionalmente, el GT29 indica que desea proponer a 8 personas para participar en la primera reunión de evaluación, adelantando con ello sus intenciones de participar de forma activa en esta tarea de revisión; asimismo, indica que la reunión debe durar, al menos, de 2 a 3 días para considerar que se cuenta con tiempo suficiente para abordar todos los temas. No menos importante es la enumeración de autoridades americanas que el Grupo de Trabajo considera deben participar en las reuniones que se organicen en el marco de la revisión de Privacy Shield, dentro de las que destacan el Departamento de Justicia, el FBI, el Departamento de Seguridad Nacional, la CIA y la Agencia Nacional de Seguridad (NSA).
Finalmente, en cuanto a la carta emitida por el GT29, destaca una clara declaración de sus intenciones en cuanto a la participación que da por hecho tendrá oportunidad de tener en la revisión del informe que “entiende” deberá emitir la Comisión después de la reunión de evaluación, así como la “advertencia” que comunica, en el sentido de reservarse el derecho a emitir un informe público separado, en función del resultado de la reunión de revisión y del informe de la Comisión. Insistimos: toda una declaración de intenciones, en la que el GT29 deja clara su intención para participar en los trabajos de esta primera reunión de revisión de Privacy Shield.
Como temas adicionales, creo que es conveniente no pasar por alto dos acciones “de implementación” que también podemos incluir en este recuento previo a la primera reunión de revisión de Privacy Shield:
- La puesta en marcha del mecanismo de supervisión denominado “Defensor del Pueblo en el ámbito del Escudo de la Privacidad” (EU - U.S. Privacy Shield Ombudsperson), cuya responsabilidad ha recaído en el en el Departamento de Estado de los EEUU, a través de la Subsecretaría de Estado para el Crecimiento Económico, la Energía y el Medio Ambiente, quien a su vez ha delegado sus funciones en la Subsecretaria Adjunta, Judith G. Garber (¡lo sé, lo sé!… quisiera que fuera más fácil de explicar). Si deseáis conocer más sobre la Ombudsperson de Privacy Shield, podéis visitar el micro-sitio dedicado, aquí.
- La convocatoria para la Selección de Árbitros para el Panel Arbitral previsto en el acuerdo de Privacy Shield (Anexo I del Anexo II), que fue publicada el pasado 14 de junio de este 2017, y a cuyos términos y condiciones pueden acceder a través de este link.
Por último, queremos destacar que el lado americano del escudo ha puesto a disposición de cualquier interesado dos webinars sobre los procedimientos de auto-certificación para ingresar a la “lista” de entidades que declaran cumplir con los principios de Privacy Shield. El primero se refiere al acuerdo “general”, en tanto que el segundo se enfoca al acuerdo entre EEUU y Suiza.
El recuento anterior no es exhaustivo, os lo puedo asegurar; pero en nuestra consideración ofrece una visión general que permite afirmar, antes de la primera reunión de revisión de Privacy Shield, que este es un tema, un acuerdo, un sistema en sí mismo, que se ha desarrollado sin descanso desde que su adopción fue anunciada en julio de 2016.
Podéis estar convencidos que antes y después de dicha reunión, Privacy Shield seguirá dando de qué hablar.