GPDR y Privacy Shield o Europa vs EEUU ¿Seremos capaces de entendernos?

Los profesionales dedicados a estudiar la protección de datos de carácter personal y legislaciones relacionadas, debería estar al tanto de que el nuevo GPDR europeo ha sido lanzado hace poco tiempo, permitiendo un período de transición de 2 años, para que todos los implicados nos adaptemos.

Por otro lado está el también reciente cambio de modelo en EEUU -en sustitución del anterior modelo de garantías Safe Harbor- el cual se ha dado en llamar Privacy Shield y que, lejos de ser un verdadero paso adelante, parece estar generando más controversia que garantías para los ciudadanos y empresas.

GPDR (General Data Protection Regulation) es el acrónimo que designa el conjunto de leyes que regulan el tratamiento de datos digitales en Europa, a nivel local y también internacional.

GPDR y Privacy Shield, dos modelos diferentes

Lo que no parece estar del todo claro es como se conectan o «entienden» entre ambos modelos de control: GPDR y Privacy Shield. Por lo que se sabe de entre lo más solvente de publicaciones del sector, como IT-Governance, la nueva normativa GPDR (que estará activa desde Mayo de 2018 en adelante) controlará todo el procesamiento de datos personales en Europa.

Así pues, el GPDR es la nueva ley que cubrirá las espaldas de los 28 estados miembros, con jurisdicción extraterritorial sobre cualquier empresa que procese datos personales de ciudadanos de Europa.

Por su parte, Privacy Shield se encarga de regular la transferencia de ESOS datos, de forma legal, entre los estados miembros de la UE y los EEUU.

Las actuales leyes de Privacidad europeas regulan el uso de la información sólo en estados miembros, por lo que requieren de una protección equivalente cuando cruzan el charco y abandonan la zona, para ser tratadas por otros estados/empresas.

Por eso, la GPDR se ha diseñado de tal forma que su ámbito geográfico no sea limitado y pueda evaluar el tramiento de datos personales de nuestros ciudadanos y que sean almacenados o procesados en el extranjero.

Transferencia de datos personales

Cuando se obligue a adoptar la GPDR, se prohibirá la transferencia de datos personales fuera de la Unión Europea, excepto en circunstancias especiales. Entre ellas podemos incluir la transferencia realizada con mecanismos legalmente aceptables, como los modelos de contrato, la aplicación de normativas empresariales (BCR) y, probablemente, lo amparado por Privacy Shield.

Reemplazo de Safe Harbor

Cuando finalmente se apruebe Privacy Shield, este reemplazará al actual Safe Harbor, ya invalidado el pasado mes de Octubre por el Tribunal de Justicia Europeo, al no ser capaz de ofrecer suficientes protecciones para el derecho a la privacidad de ciudadanos europeos, cuando estos son enviados a los EEUU.

Para garantizar la compatibilidad en el tratamiento de información global, Privacy Shield incorpora todas las regulaciones principales especificadas por la GPDR y referentes al acceso, distribución, seguridad y transparencia de la información.

Sin embargo, la teoría es la teoría y la práctica…algo diferente. La falta de garantías para controlar este proceso está ocasionando problemas ya antes de ponerse en marcha la nueva norma. El Supervisor Europeo de Protección de Datos (EDPS) y la Comisión Europea, conocidos como el WP29 (Article 29 Working Party) ya han rechazado de facto Privacy Shield:

Una general falta de claridad referente al nuevo marco, además de dificultar el acceso a los datos, organizaciones y protección para las autoridades.

La opinión del Article 29 Working Party

WP29 ha solicitado que se incluya un glosario de términos a la norma Privacy Shield, para así clarificar la aplicación de los elementos más importantes, como la retención de datos comerciales o los derechos del ciudadano para rechazar el tratamiento automatizado de sus datos.

La opinión del grupo WP29 no tiene valor de ley, pero normalmente supone un precedente para posteriores aplicaciones de leyes y correciones. En cualquier caso, para las empresas el reloj ha comenzado a descontar y, cuanto antes comiencen a depurar sus normas internas para tratamiento de la información, más camino tendrán ganado.