Parlamento Europeo

20
Mar

La Quinta Directiva de prevención del blanqueo de capitales sometida a examen en la sesión plenaria del 13 marzo de 2017 del Parlamento Europeo

Las comisiones de Asuntos Económicos y Monetarios (ECON) y de Libertades Civiles (LIBE) votaron el pasado día 28 de febrero a favor de iniciar negociaciones interinstitucionales sobre la propuesta de revisión de la Cuarta Directiva contra el blanqueo de capitales y la financiación del terrorismo.

Siguiendo con el proceso, se sometió a examen en la apertura de la sesión plenaria del Parlamento Europeo del pasado lunes día 13 de marzo sin que se recibiera solicitud alguna de votación al respecto. Dándose así, luz verde al inicio de las conversaciones interinstitucionales entre el Parlamento, la Comisión y el Consejo de la UE.

Esta propuesta, surgida de la necesidad de reforzar el marco de prevención establecido por la Cuarta Directiva a la vista de las carencias del sistema puestas de manifiesto tras los atentados terroristas de París y las revelaciones de los papeles de Panamá, incluye una serie de medidas dirigidas a incrementar la eficacia en la lucha contra la financiación del terrorismo y al aumento de la transparencia sobre la titularidad real de sociedades y fondos fiduciarios entre las que son destacamos las siguientes.

Monedas Virtuales. Los exchangers o plataformas de cambio de monedas virtuales pasarán a estar sujetos a la obligación de aplicar medidas de diligencia debida y de notificación de actividades sospechosas respecto de los servicios profesionales de cambio de moneda virtual por moneda real, para evitar así el carácter anónimo o pseudónimo de este tipo de transacciones. De igual modo, quedarán dentro del ámbito de aplicación de la Directiva los proveedores de monederos electrónicos o wallets (servicios de custodia de credenciales de acceso).

Tarjetas de prepago anónimas. Se propone rebajar los umbrales relativos a la identificación de clientes presenciales que operan con dinero electrónico en forma de instrumentos de pago no recargables o con un límite mensual o máximo previamente almacenado de 250 € a 150 €. Asimismo, se propone suprimir la exención de identificación del cliente para pagos realizados en línea, reembolsos o retiradas en efectivo de superiores a 50 €.

Unidades de Inteligencia Financiera. Se reforzarán las competencias de las Unidades de Inteligencia Financiera de los Estados miembros al poder solicitar por propia iniciativa información de las entidades financieras sobre actividades que presenten indicios de estar relacionadas con el blanqueo de capitales o la financiación del terrorismo. Actualmente, en algunos Estados miembros es requisito indispensable previo el reporte de una operación sospechosa.

Además, se permitirá que las UIF puedan identificar a los titulares de cuentas bancarias y de pago al exigirse a los Estados miembros el establecimiento de registros centrales u otros mecanismos centralizados y automatizados para una detección ágil.

Titularidad real. Se aumenta la transparencia mejorando el acceso a los registros de información sobre la titularidad real de las personas jurídicas no siendo necesario acreditar tener un “interés legítimo”. Por el contrario, si se precisará para los fideicomisos y estructuras similares sin fines de lucro como la gestión de patrimonios familiares, fines caritativos o de beneficencia colectiva.

6
Mar

Introducción al Reglamento General de Protección de Datos (RGPD)

El Parlamento Europeo dio el visto bueno definitivo el pasado 14 de abril de 2016, a la normativa de protección de datos europea, tras un largo proceso legislativo de más de cuatro años. Con la aprobación del RGPD se establecen nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión Europea en materia de protección de datos.

La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos, supone que el mismo será de aplicación directa a todos los Estados Miembros de la Unión Europea sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la protección de datos de la Unión Europea, que se constituye como un pilar básico de las garantías y libertades en Europa.

A través del principio de responsabilidad proactiva o “Accountability” que introduce el RGPD, los responsables de tratamiento y los encargados deberán implantar medidas que garanticen y permitan demostrar el cumplimiento del RGPD a través de políticas adaptadas a las necesidades de la organización.

Desde DPO&ilaw, hemos estudiado y analizado las implicaciones que supone dicha normativa de protección de datos, y a través de distintas entregas iremos publicando en el nuestro Blog las distintas claves para una correcta interpretación y aplicación.

Como primera entrega ponemos a vuestra disposición

 

1. INTRODUCCIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Rgto. (UE) 2016/679, ENTRADA EN VIGOR, OBJETO Y ÁMBITO DE APLICACIÓN

INTRODUCCIÓN:

El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española, y reconocido por el Tribunal Constitucional en la STC 292/2000.

El fundamento quinto de dicha sentencia confirma la interpretación conforme a la cual el art. 18.4 de la CE incorpora un nuevo derecho fundamental a la protección de datos.

“Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos, cuya concreta regulación debe establecer la ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran”.

Siguiendo la sentencia 292/2000 en su fundamento jurídico sexto, el objeto de protección del derecho a la protección de datos alcanza:

cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la Protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que, por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así́ lo garantiza su derecho a la Protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan Protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo”.

Estamos por tanto ante un derecho fundamental recogido por nuestra Constitución Española y reconocido por nuestro más alto Tribunal, que es desarrollado por la legislación española en la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la mencionada Ley Orgánica (en adelante RLOPD).

Asimismo, el marco legislativo europeo también reconoce este derecho a la protección de datos y obliga a todos los Estados miembros a garantizarlo a sus ciudadanos. El artículo 8, de la Carta de los Derechos Fundamentales de la Unión Europea en sus apartados 1 y 2 establece:

  1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
  2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.

Por otro lado, el artículo 16 del Tratado de Funcionamiento de la Unión Europea en sus apartados 1 y 2 establece:

  1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
  2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes.

Se trata por tanto de un derecho que tiene toda persona, sin importar la nacionalidad o residencia, a la protección de los datos de carácter personal que la conciernan.

Por su parte la Unión Europea ha desarrollado este derecho a la protección de datos a través de diversas directivas[1] como la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. A través de la misma, se pretendió armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal, y garantizar la libre circulación de estos datos entre los Estados miembros. Sin embargo, la transposición por los Estados miembros de la Directiva 95/46/CE en el territorio de la Unión se hizo de manera fragmentada, con diferencias en el nivel de protección de los derechos y libertades de las personas físicas, y en particular del derecho a la protección de los datos de carácter personal, impidiendo la libre circulación de los datos de carácter personal en la Unión. Estas diferencias, han constituido un obstáculo al ejercicio de las actividades económicas dentro de la Unión, pudiendo falsear la competencia e impedir que las Autoridades competentes cumplan las funciones que les incumben en virtud del Derecho de la Unión.

Estas divergencias, así como la obsolescencia tecnológica de la Directiva 95/46 provocan que en el año 2012 la Comisión Europea presente un proyecto de propuesta de Reglamento de Protección de Datos General, confirmando así la necesidad de una reforma a gran escala de la normativa de protección de datos. A raíz de las numerosas enmiendas al proyecto de la Comisión propuestas por el Parlamento Europeo en el año 2014, se pasó la propuesta al Consejo de la UE y se inició durante el año 2015 entre la Comisión, el Parlamento y el Consejo un proceso de negociación conocido como el diálogo a tres bandas, para finalmente obtener una versión final del Reglamento a finales de 2015. Finalmente, el pasado 14 de abril de 2016 el Parlamento Europeo dio el visto bueno definitivo a la normativa europea de protección de datos tras un largo proceso legislativo de más de cuatro años, que concluye con la aprobación del REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD).

Se reforma por tanto con el RGPD la normativa de protección de datos europea, estableciendo nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión Europea en materia de protección de datos.

La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos supone una aplicación directa del mismo a todos los Estados Miembros de la UE sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la protección de datos de la Unión Europea, que se constituye como un pilar básico de las garantías y libertades en Europa.

A través del RGPD se consigue armonizar en todos los Estados miembros de la UE la dispersión normativa existente hasta entonces en materia de protección de datos. El RGPD por tanto es una norma única de aplicación directa a todos los Estados cuyo objetivo principal es otorgar un mayor control a los ciudadanos europeos sobre su información privada, y permitir una aplicación uniforme en toda la Unión Europea con el objetivo de alcanzar un nivel de protección de datos razonable en todo el territorio de la UE que evite la aplicación las diferentes normativas de cada Estado miembro.

  • El derecho a la protección de datos es un derecho fundamental recogido en la Constitución Española en el art.18.4 y reconocido por el Tribunal Constitucional.
  • Se trata de un derecho a la protección de los datos de carácter personal que le conciernan.
  • El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las normas nacionales de los Estados.

 

1. ENTRADA EN VIGOR

Conforme el art. 99 del RGPD el mismo entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, es decir el 24 de mayo de 2016, sin embargo sólo será directamente aplicable y obligatorio en todos sus elementos en cada Estado Miembros a partir del 25 de mayo de 2018, disponiendo por tanto los Estados Miembros y sus respectivas Autoridades de Control de un periodo de 2 años para su maduración, preparación, aplicación e interpretación de los distintos derechos y obligaciones que establece. Esto supone, que las leyes nacionales de protección de datos dejarán de ser aplicables en la medida en que se opongan al contenido del Reglamento.

Hasta entonces, tanto la Directiva 95/46 como la normativa española (LOPD y el RLOPD) serán plenamente válidas y aplicables.

Por otro lado, en la medida en que el RGPD establezca que sus normas deben ser especificadas o restringidas por el Derecho de los Estados miembros, será necesario la incorporación al Derecho nacional de diversos elementos del RGPD para que las disposiciones nacionales sean comprensibles para todos los ciudadanos de la Unión.

Siguiendo estas directrices marcadas por el RGPD, el Ministerio de Justicia ha encargado a la Sección Tercera de la Comisión General de Codificación, presidida por José Luis Piñar Mañas, el estudio o redacción del borrador de Ley Orgánica de Protección de Datos en España, de tal forma que la misma sea modificada en la medida en que se oponga al contenido del Reglamento e introduzca aquellos elementos necesarios del RGPD que permita una mejor comprensión para los ciudadanos españoles. Así mismo, el RGPD está siendo estudiado por la Agencia Española de Protección de Datos en conjunto con diversas Asociaciones y Operadores sectoriales para la elaboración de guías de trabajo que faciliten la aplicación y comprensión del RGPD en España. En esta misma tarea se encuentra el Grupo de Trabajo 29, de tal manera que determinados conceptos que hayan podido quedar indeterminados o de difícil interpretación podrán ser abordados y estudiados durante estos dos años para su correcta aplicación e implantación en la Unión Europea.

  • El RGPD entra en vigor el 24 de mayo de 2016 pero es de aplicación obligatoria para todos los Estados miembros el 25 de mayo de 2018.
  • Hasta la aplicación obligatoria tanto la Directiva europea 95/46, como la LOPD y el RLOPD de la normativa española son plenamente válidas y aplicables.

 

2. OBJETO Y ÁMBITO DE APLICACIÓN

2.1 OBJETO

El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE, no pudiendo ser restringida ni prohibida.

La protección se otorga a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.

¿Qué ocurre entonces con la excepción establecida por nuestro RLOPD en su artículo 2.2 para los ficheros de contactos profesionales?

Artículo 2.2. (RLOPD)

Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales

Por el momento todo apunta a que dicha excepción no operará con el RGPD, ya que el mismo establece, no será de aplicación a las personas jurídicas y en particular a las empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto (considerando 14 del RGPD). Por tanto, todo apunta a que el mismo también será aplicable a las personas físicas que presten servicios en aquellas, ya que la excepción únicamente opera sobre nombre y la forma y los datos de contacto.

Por tanto, si el RGPD no establece esta distinción en el objeto o ámbito de aplicación debemos entender que hasta tanto en cuanto exista un pronunciamiento del Comité o la Comisión los datos personales de los contactos profesionales quedarán dentro del ámbito de aplicación del RGPD.

 

2.2. ÁMBITO DE APLICACIÓN MATERIAL

El ámbito de aplicación Material se encuentra regulado en el art. 2, y en los considerandos 14 a 21 y 27.

Artículo 2: Ámbito de aplicación material

  1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
  2. El presente Reglamento no se aplica al tratamiento de datos personales:
    1. en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
    2. por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
    3. efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
    4. por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Al igual que en la normativa española el RGPD será aplicable tanto al tratamiento automatizado como al tratamiento manual, siempre y cuando estos últimos estén estructurados con arreglo a unos criterios específicos de organización.

Por otro lado, también se mantienen las mismas actividades de exclusión que en la normativa española como las actividades domésticas o las destinadas a la seguridad nacional. A este respecto merece especial atención el considerando 18 del RGPD que establece como actividades personales o domésticas la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades domésticas.

Asimismo, al igual que nuestra normativa, en el considerando 27 se excluye del ámbito de aplicación a las personas fallecidas.

 

2.3. ÁMBITO DE APLICACIÓN TERRITORIAL

El ámbito de aplicación Territorial se encuentra regulado en el art. 3, y en los considerandos 22 a 25.

Artículo 3: Ámbito territorial

  1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
  2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
    1. la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
    2. el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
  3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con el fin de garantizar que las organizaciones no europeas puedan evitar la aplicación de la normativa de protección de datos simplemente por encontrarse fuera de la UE, el RGPD introduce una nueva disposición para considerar aplicable el mismo a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos. De esta manera se reemplaza el criterio de medios por el de servicios.

Recientemente tribunales y reguladores de la Unión Europea han manifestado su apoyo a una interpretación amplia de la norma relativa a la aplicabilidad de la ley europea que incorpora el RGPD. En efecto, el Tribunal de Justicia de la Unión Europea (TJUE) en su decisión de mayo de 2014 (conocido como el caso “Costeja” de Google España o el derecho al olvido) estableció la aplicación de la Directiva 95/46 pese a que el negocio del buscador no se encontraba ubicado en España, debido a que el tratamiento de datos en cuestión se encontraba relacionado con dicho negocio de búsqueda para venta de espacios publicitarios por Google España. Del mismo modo, la Autoridad de control de privacidad Belga (mayo de 2015) emitió una recomendación en la que aclaró que la legislación belga aplica a las actividades de Facebook en Bélgica sin tener en cuenta los argumentos de Facebook acerca del tratamiento de los datos realizado en suelo Irlandés.  Igualmente, en octubre de 2015 el TJUE dictaminó en el caso “Weltimmo” que el concepto de establecimiento en virtud de la actual Directiva sobre Protección de Datos debe interpretarse en sentido amplio, de tal forma que las actividades mínimas en un Estado miembro pueden producir la aplicación de la ley local de dicho Estado miembro.

De esta manera si una organización no establecida en la UE está procesando los datos personales de ciudadanos de la UE en actividades relacionadas con la oferta de productos o servicios a dichas personas, o realizando un seguimiento, monitorización y estudio del comportamiento (como por ejemplo el seguimiento a través de Cookies) deberá cumplir plenamente con el contenido del RGPD.

Analizando los elementos de aplicación del Derecho de la Unión, nos encontramos que el considerando 23 del RGPD relativo a las ofertas de productos y servicios establece lo siguiente:

“si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”.

Por otro lado, para determinar si existe monitorización o seguimiento del comportamiento de la persona el considerando 23 del RGPD establece lo siguiente:

“debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”. La redacción parece por tanto estar diseñada principalmente para incluir al sector del marketing digital o comportamental (aunque habrá otros servicios a los que podrá ser aplicable) los cuales crean perfiles de acuerdo con el comportamiento que se produce por un dispositivo utilizado por persona física para el envío de publicidad personalizada.”

Será por tanto aplicable el RGPD a toda empresa extranjera que, aunque no tenga “equipos informáticos o medios” situados en la UE (como se requiere en virtud de la Directiva de protección de datos), realiza una actividad real orientada de forma deliberada a personas o ciudadanos ubicados en la UE.

Finalmente, como veremos más adelante, para estos casos será necesario designar un representante en la Unión Europea que atienda las cuestiones relacionadas con la Protección de Datos de los titulares de los datos o interesados europeos, así como cualquier requerimiento de las Autoridades de Control.

 

CONCLUSIONES

  • Es aplicable a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.
  • No aplica a las Personas jurídicas, pero sí a las personas físicas que presten servicios en aquellas.
  • Tampoco se aplica a las actividades personales o domésticas, ni a las personas fallecidas.
  • Las organizaciones no establecidas en la UE que ofrecen bienes o servicios a ciudadanos EU, o que vigilan su comportamiento se encuentran dentro del ámbito de aplicación del RGPD.

 

[1] Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas o directiva sobre la privacidad y las comunicaciones electrónicas y la Directiva 2006/ 24/CE sobre conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones

3
Feb

Nuevo Acuerdo entre Europa y Estados Unidos para el movimiento internacional de datos

Adiós al “Safe Harbor”

Hola “Privacy Shield”

Ayer martes 2 de febrero de 2016 el presidente de la Comisión Europea  Andrus Asip y la Comisiariaa Vera Jourova, comunicaban el fin de las negociaciones y el acuerdo político sobre el nuevo marco jurídico que permitirá las transferencias internacionales de datos entre Europa y Estados Unidos.

El Acuerdo denominado EU-US Privacy Shield sustituirá al ya anulado Safe Harbor Agreement. El texto estará disponible en las próximas semanas y permitirá el movimiento internacional de datos por parte de las empresas Europeas a Estados Unidos garantizando una mayor protección de los derechos fundamentales de los ciudadanos europeos y una mayor seguridad jurídica para las empresas europeas.

El Privacy Shield recogerá los requisitos marcados por el Tribunal de Justicia en su sentencia el 6 de octubre de 2015, que anuló el antiguo Safe Harbor Agreement. Impondrá obligaciones más estrictas a las empresas de  EE.UU. para proteger los datos personales de los europeos y se establecerán procedimientos de vigilancia y control por la Comisión Federal de Comercio de EE.UU. que junto con un marco sancionador apropiado permitirán dotar de una mayor fiabilidad al cumplimiento por parte de las Empresas Estadounidenses del derecho a la Privacidad de Datos de los ciudadanos y empresas europeas.

Entre otras cuestiones el nuevo acuerdo incluirá los siguientes elementos:

  • Obligaciones más estrictas en materia de protección de datos: las empresas estadounidenses que deseen importar los datos personales de Europa deberán cumplir mayores obligaciones para la protección de los datos personales de ciudadanos europeos.
  • Mayor transparencia y garantías en el acceso por parte del gobierno EE.UU. a los datos de ciudadanos Europeos. Los EE.UU. han descartado la vigilancia masiva indiscriminada de los datos personales transferidos a los EE.UU. debiendo la misma quedar regulada y tasada en supuestos justificados de acceso con las debidas garantías jurídicas.
  • Protección a los ciudadanos europeos: Cualquier ciudadano que considere que sus datos han sido tratados de forma ilícita o fraudulenta, podrá acudir a los tribunales de EE.UU. o a la nueva figura creada para la atención de quejas y solicitudes de ciudadanos o Autoridades de Protección de Datos europeas que vean sus derechos infringidos.
El acuerdo jurídico se adoptará en las próximas semanas con la intervención del Grupo de Trabajo 29 y el comité de representación de los Estados Miembros. Precisamente las Autoridades de Protección de datos Europeas se encuentran estos días reunidas en Bruselas para debatir sobre todas estas cuestiones suscitadas por la anulación del Safe Harbor Agreement.

Quedará también pendiente el posicionamiento por parte de las Autoridades de Protección de Datos Europeas y ver si darán prorrogas adicionales para la regulación y adecuación de las transferencias internacionales, que en el caso de la española terminaba el pasado 29 de enero de 2016 .

Deberemos por tanto esperar y confirmar que las intenciones políticas y declaraciones realizadas en el día de ayer se plasman de forma efectiva en el acuerdo marco denominado “Privacy Shield” que regulará a futuro el movimiento internacional de datos entre Europa y Estados Unidos.

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies