El escándalo de Edward Snowden, sobre el espionaje masivo al que la Agencia de Seguridad Nacional estadounidense (NSA) sometía a ciudadanos de todo el mundo, activó las alarmas y obligó a los organismos europeos crear una regulación distinta a “Safe Harbour”, en sus relaciones con países externos como EEUU tras la denuncia de un ciudadano Europeo.

En octubre de 2015, las bases del acuerdo “Safe Harbour” sobre las normas en materia de privacidad para las empresas americanas que recogían datos en de ciudadanos Europeos, quedaron invalidadas por la Corte Europea de Justicia, tras la denuncia de un joven activista de 27 años. “Privacy-Shield” surge como el marco regulatorio sustituto de “Safe-Harbour”.

El objetivo de “Privacy-Shield” es proporcionar un adecuado nivel de protección a los ciudadanos de la UE frente al uso de datos personales (especialmente con objetivos comerciales) por parte de las empresas americanas y dotarles a estas de la seguridad jurídica necesaria frente a los gobiernos de la unión.

La diferencia entre ambas regulaciones se centra en estos aspectos:

• Responsabilidad de las empresas, que serán supervisada a conciencia por la administración europea pudiendo ser sancionadas o excluidas del acuerdo. Si estas además traspasan datos a otras estas deben de tener el mismo nivel en las exigencias, en materia de privacidad, que las primeras.

• Acceso limitado de la administración estadounidense a los datos personales de los ciudadanos europeos. El acceso sigue abierto pero sujeto a “limitaciones”, ser bajo supervisión y no volverá a ser masivo. Se prevé, con el compromiso del secretario de Estado estadounidense la creación de un órgano intermediario, “independiente”, dentro del Departamento de Estado el cual se haría cargo del seguimiento de las denuncias y consultas de los particulares

• Posibilidades de recurso de los ciudadanos de la UE frente a las empresas que recogen sus datos, en un plazo de 45 días. Se pone a disposición del ciudadano un sistema extrajudicial gratuito para resolver estos problemas. Para estas reclamaciones se dirigirán a la administración nacional, que colaborará con la Comisión Federal de Comercio y que, en caso de no ser resuelta pasará a un mecanismo de arbitraje que proporcionará una solución jurídica al conflicto.

• Obligación para las empresas, que manejan datos en materia de recursos humanos, de seguir las restricciones que declaren las administraciones europeas. Aunque el resto de empresas pueden seguir el asesoramiento de las autoridades europeas de protección de datos, no es obligatorio.

El funcionamiento Privacy Shield se revisará de forma anual, especialmente en el acceso a datos con fines policiales o de seguridad nacional. Se supone que se observarán, entre otras fuentes, los informes de transparencia que las empresas u organismos encargados emitirán. También se celebrarán cumbres con ONG para revisar el estado de la legislación sobre privacidad en EEUU y su efecto en la UE. Sobre la base del examen anual, la Comisión presentará un informe al Parlamento Europeo y al Consejo.

A favor de este marco se han posicionado los encargados de su creación. La comisaria europea de Justicia y Consumidores, Vera Jouruvá ha declarado que «El acuerdo Privacy-Shield fortalecerá la economía transatlántica y reafirmará nuestros valores compartidos (Entre EEUU y la UE)»

La secretaria de Comercio de EEUU, Penny Pritzker, ha calificado el Privacy Shield como un «hito para la privacidad en un momento en el que el intercambio de datos impulsa el crecimiento en cualquier sector»

El abogado Pablo Fernández Burgueño señala que «el tratado aporta un marco legal para las empresas españolas que utilizan servicios de compañías americanas de forma habitual y que tras la anulación del anterior tratado funcionaban con un vacío legal.»

Parece que el beneficio para las empresas que recogen datos es evidente, pues agiliza los trámites en una sociedad plenamente globalizada, y evita que las peticiones para la utilización de, por ejemplo, ciertas fotografías de eventos, se eternicen.

Las voces en contra argumentan que la protección de la UE a los ciudadanos está muy limitada. Las empresas estadounidenses pueden seguir utilizando los datos de sus clientes y proporcionárselos a terceros sin informarles, mientras que en la UE las empresas están obligadas a preguntarlo con antelación y de forma explícita. Esto sitúa a las empresas norteamericanas en ventaja competitiva frente a las europeas.

Además, cuando un ciudadano europeo denuncia a una empresa de EEUU por haber violado su privacidad, está obligado a pasar primero por un arbitraje privado de la empresa, antes de llegar a las autoridades del país. Un hecho que no es banal si se tiene en cuenta que las empresas estadounidenses no están obligadas (si no manejan datos sobre recursos humanos) a unirse al acuerdo (aunque cuando lo hacen si que están obligadas a cumplirlo). Al final, es muy probable que las reclamaciones de los ciudadanos no tengan repercusiones sobre las empresas aun cuando estos no se atiendan.

Lo mismo ocurre con el acceso masivo de datos por parte del gobierno de EEUU, donde los ciudadanos no estadounidenses son especialmente vulnerables. A la hora de reclamar una violación de sus derechos por parte de la administración de EEUU, los ciudadanos tendrán a su disposición del “Defensor del pueblo”, un intermediario que no será tan independiente como declaran, sino que se tratará de un subsecretario del gobierno. Aunque hay que destacar que EEUU nunca confirmará ni negará ningún tipo de vigilancia, ya que sus propias leyes se lo impiden, por lo que la figura del intermediario carece de efectividad real.

En opinión de Pérez Subías, Presidente de la Asociación de Usuarios de Internet, «Estamos de nuevo ante un parche para salir al paso de una encrucijada que sigue sin resolverse. La UE establece que ante un mismo hecho, en relación con el tratamiento de los datos personales y por tanto de la privacidad de los europeos, que las reglas sean distintas según donde esté ubicada la empresa que trata estos datos. En mi opinión las reglas de juego deberían ser iguales máxime cuando estamos hablando de derechos fundamentales.»

Según Tomaso Falchetta, de Privacy International, el acuerdo se basa en «premisas erróneas: tratar de arreglar un déficit en la protección de datos en Estados Unidos a través de promesas gubernamentales, en vez de una reforma significativa de la legislación. Por eso no es sorprendente que el Privacy Shield siga lleno de agujeros y por tanto ofrezca una protección muy limitada de los datos personales.»

Los más críticos incluso argumentan que el acuerdo no es bueno ni para ciudadanos ni para empresas. A los ciudadanos no los protege de la forma que debería sobre la revelación de sus datos personales, mientras que a las empresas las somete a un reglamento provisional e inestable.