Del Puerto Seguro (Safe Harbour) al Escudo de Privacidad (Privacy Shield). La Unión Europea y Estados Unidos han acordado este martes un nuevo marco que permitirá a las empresas de Internet seguir transfiriendo al otro lado del Atlántico los datos personales de ciudadanos europeos, por ejemplo la información que se proporciona a redes sociales como Facebook. La principal novedad del acuerdo es que las autoridades norteamericanas garantizan por escrito a Bruselas que no espiarán de forma indiscriminada a los europeos.

El Tribunal de Justicia de la Unión Europea anuló en octubre el anterior pacto de transferencia de datos entre Bruselas y Washington (el denominado Safe Harbour) por no garantizar un nivel de protección suficiente. El fallo dio la razón al joven austríaco Max Schrems, que había denunciado la vigilancia masiva llevada a cabo por la Agencia Nacional de Seguridad Estadounidense (NSA), y que fue desvelada por el ex contratista Edward Snowden.

La decisión puso en riesgo las relaciones comerciales transatlánticas, ya que dejó sin cobertura legal a más de 4.400 empresas que envían los datos de usuarios europeos a servidores situados en EEUU, sobre todo de los nuevos sectores digitales como redes sociales o computación en nube. Bruselas y Washington estaban obligados a alcanzar un nuevo acuerdo antes del 31 de enero, fecha que las autoridades de protección de datos de la UE se habían fijado para empezar a actuar. Finalmente, el nuevo pacto, rebautizado como Privacy Shield, se ha alcanzado en tiempo de descuento. Estas son las tres principales novedades de este marco, que entrará en vigor en un plazo de tres meses:

Límites claros al acceso a los datos por parte del Gobierno de EEUU

La principal crítica del Tribunal de la UE al anterior acuerdo es que permitía a los servicios de inteligencia de Estados Unidos acceder libremente a los datos de los ciudadanos europeos. Ahora, Washington ha prometido a la UE que “el acceso por parte de las autoridades públicas para cuestiones de seguridad nacional y orden público estará sujeto a limitaciones y salvaguardas claras”, según ha explicado la comisaria de Justicia, Vera Jourova.

Estas garantías las dará “por escrito” la oficina del director de Inteligencia Nacional de la Casa Blanca. Además, EEUU “ha descartado el espionaje masivo e indiscriminado de los datos personales transferidos en el marco de este acuerdo”. Para verificar que estos compromisos se cumplen, el pacto será revisado una vez al año por la Comisión y el Departamento de Comercio estadounidense, que invitarán a participar a expertos de inteligencia de EEUU y a las autoridades de protección de datos de la UE. “Es un paso excepcional que ha dado Estados Unidos para restaurar la confianza en nuestras relaciones transatlánticas”, sostiene Jourova.

Para Max Schrems, estas garantías son insuficientes. “Con el debido respeto, pero un par de cartas de la administración saliente de Obama no constituyen de ninguna manera una base legal para garantizar los derechos fundamentales de 500 millones de usuarios europeos a largo plazo, teniendo en cuenta que hay leyes de EEUU que explícitamente permiten la vigilancia masiva”, ha escrito en su blog el autor de la denuncia que anuló el anterior acuerdo. A su juicio, el nuevo pacto podría vulnerar la sentencia del Tribunal de la UE.

Derecho de recurso para los ciudadanos europeos

Cualquier ciudadano que considere que sus datos se han utilizado indebidamente tendrá varias posibilidades de recurso. En primer lugar, podrá dirigirse a su autoridad nacional de protección de datos, que tendrá la capacidad de dirigir la queja al Departamento de Comercio, que deberá contestar en un plazo razonable. Para las denuncias sobre el posible acceso a los datos por parte los servicios de inteligencia, se creará un nuevo Ombudsperson independiente (una especie de Defensor del Pueblo) encargado de tramitarlas.

Obligaciones más estrictas para las empresas

Las empresas estadounidenses que quieran importar datos personales desde Europa deberán comprometerse a respetar toda una serie de obligaciones estrictas sobre cómo deben procesarlos y garantizar los derechos individuales de los usuarios. El Departamento de Comercio verificará que las compañías publiquen esos compromisos, lo que los hace de obligado cumplimiento bajo la ley estadounidense. Las compañías incumplidoras se enfrentarán a sanciones y se les retirará la cobertura para transferir los datos.