Escudo de privacidad: rechazado. RGPD: aceptado. Qué significa esto para su organización y qué debe considerar hacer ahora.
El Grupo de Trabajo del Artículo 29 de la Unión Europea (Artículo 29) emitió un dictamen sobre el acuerdo marco propuesto entre la UE y EE. UU. denominado «Escudo de Privacidad» (Privacy Shield) a principios de esta semana, en el que afirmaba que, aunque el Escudo de Privacidad era un «gran paso adelante», el grupo del Artículo 29 identificó varias áreas en las que consideraba que el Escudo de Privacidad era inaceptable, entre ellas el hecho de que permite a los Estados Unidos llevar a cabo una vigilancia masiva e indiscriminada de los ciudadanos de la Unión Europea. Por otra parte, solo un día después, el 14 de abril de 2016, el Parlamento Europeo dio su aprobación definitiva al nuevo Reglamento General de Protección de Datos (RGPD) de la UE, tras cuatro años de trabajo entre los Estados miembros.
Aunque muchas organizaciones estadounidenses se sentirán decepcionadas al conocer el rechazo del Grupo del Artículo 29 al Escudo de Privacidad, ya que no proporciona una «protección adecuada» a los residentes de la UE, esto no debería sorprender. El Grupo del Artículo 29 siguió expresando su preocupación por la posibilidad de que las autoridades estadounidenses recopilen de forma «masiva e indiscriminada» datos personales de la UE. Sin embargo, el Grupo del Artículo 29 también planteó otras preocupaciones, señalando que, a menos que se aborden estas cuestiones, podría presentarse una impugnación similar contra el Escudo de Privacidad como la que se presentó contra el Safe Harbor en el Tribunal de Justicia de la Unión Europea, lo que invalidaría el Escudo de Privacidad.
Lo que debe empezar a hacer hoy mismo para prepararse para el RGPD y el Escudo de Privacidad
El RGPD se aplicará a casi todas las organizaciones que supervisen o procesen los datos personales de ciudadanos europeos, independientemente de la ubicación física del procesador o del responsable del tratamiento. Aunque las sanciones por incumplimiento del RGPD no se aplicarán hasta mediados de 2018, las organizaciones que recopilan o procesan los datos personales de ciudadanos de la UE pueden tener mucho trabajo por delante para estar preparadas. Del mismo modo, aunque el Escudo de Privacidad ha encontrado algunos obstáculos para su adopción, parece probable que se adopte de alguna forma y las empresas que estén considerando el Escudo de Privacidad tienen que hacer algunos preparativos antes de poder adoptarlo. Recomendamos a las empresas que tengan en cuenta lo siguiente para prepararse para el RGPD y el Escudo de Privacidad:
- Realice un inventario de datos para comprender qué datos personales recopila su organización, cómo se procesan, dónde se almacenan, cómo se protegen y quién puede tener acceso a ellos. Implemente procesos para realizar evaluaciones de impacto sobre la privacidad si su organización puede estar llevando a cabo un procesamiento de alto riesgo (es probable que tenga que realizar dicha evaluación si su organización maneja alguna de las categorías especiales de datos personales).
- Comience a redactar o revisar sus políticas de seguridad de la información escritas para garantizar que se apliquen las medidas técnicas, administrativas y físicas adecuadas para proteger los datos personales y que se imparta la formación adecuada a todos sus empleados. Asegúrese de que se establezcan procedimientos para supervisar continuamente el cumplimiento de estas políticas antes, durante y después del tratamiento de los datos personales. Comience a realizar una evaluación de las deficiencias y considere la posibilidad de participar en programas de certificación.
- Mantener registros detallados del tratamiento realizado sobre los datos personales.
- Revise su proceso de desarrollo de productos para asegurarse de que los riesgos de privacidad se tengan en cuenta desde el principio del proceso y que sus productos y servicios solo recopilen y mantengan la cantidad mínima de datos personales necesarios para el correcto funcionamiento de los productos y servicios.
- Revise y actualice las políticas de privacidad para garantizar que sean fácilmente accesibles, estén redactadas en un lenguaje claro y sencillo, e incluyan información completa sobre la recopilación y el tratamiento de datos. El Escudo de Privacidad también exige que implemente, y que su política de privacidad describa, métodos para que las personas puedan presentar sus reclamaciones.
- Revise y modifique sus métodos para obtener el consentimiento de los interesados a fin de garantizar que se proporcione un consentimiento específico, informado e inequívoco antes de procesar los datos.
- Revise su capacidad para cumplir con el derecho al olvido del interesado y los nuevos derechos de portabilidad de datos. Debe ser capaz de borrar los datos personales y transferirlos a otro proveedor cuando sea técnicamente posible.
- Revise sus planes de respuesta ante incidentes cibernéticos y actualícelos si es necesario para poder notificar a las autoridades supervisoras en un plazo de 72 horas tras producirse una violación de la seguridad.
- Si utiliza BCR o SCC para flujos de datos transatlánticos, debe revisarlos para verificar que cumplan con los nuevos requisitos del RGPD. Redacte anexos a los SCC y otros contratos según sea necesario para abordar las restricciones de transferencia posterior del Escudo de Privacidad. Esto incluye garantizar que las entidades receptoras cumplan con las limitaciones de finalidad y satisfagan todos los requisitos del Escudo de Privacidad, incluida la corrección de cualquier tratamiento no autorizado por parte de la entidad receptora.
- Comience a buscar responsables de protección de datos (DPO) cualificados. Según el RGPD, las organizaciones que recopilan datos personales de forma regular o sistemática como parte de sus actividades principales, o que procesan grandes cantidades de datos personales sensibles, deberán nombrar a un DPO que tenga la autoridad y la independencia necesarias para informar a la organización de sus obligaciones en virtud del RGPD, supervisar el cumplimiento, formar al personal interno de la organización y realizar auditorías internas. El DPO también actuará como punto de contacto de la organización para las consultas de los interesados, las retiradas de consentimiento, las solicitudes del derecho al olvido y otros derechos relacionados.
- Revise las pólizas de seguro para conocer el alcance y los límites de la cobertura. Considere si su póliza incluye cobertura global o empresarial, qué tipos de problemas relacionados con los datos están cubiertos y la posibilidad de que aumenten los costes y las responsabilidades en virtud del RGPD y el Escudo de Privacidad.
Las empresas deben ser conscientes de que el RGPD traslada la cuestión de la privacidad y la protección de los datos personales aún más lejos, pasando de ser un asunto de tecnología de la información a ser un asunto que compete al consejo de administración y a los altos directivos. El RGPD tendrá un impacto tremendo en las operaciones diarias, los costes y las posibles responsabilidades de la empresa, lo que exige la atención del consejo de administración. Además, en virtud de la ley Sarbanes-Oxley de Estados Unidos, es posible que las empresas cotizadas en bolsa tengan que revelar a sus inversores el aumento de los costes operativos y la posibilidad de que se produzcan responsabilidades elevadas como consecuencia del RGPD.
Impacto en su negocio
El rechazo por parte del Grupo del Artículo 29 pone en una situación difícil al Departamento de Comercio de los Estados Unidos y a la Comisión Europea, que propusieron conjuntamente el Escudo de Privacidad tras casi dos años de negociaciones. La decisión deja a las organizaciones estadounidenses con una gran incertidumbre sobre cómo seguir prestando servicios a los residentes de la UE y las expone al riesgo de nuevas medidas coercitivas por parte de las autoridades europeas de protección de datos. Sin embargo, el Escudo de Privacidad no era necesariamente una solución fácil para muchas organizaciones, incluidas aquellas que pensaban registrarse en él, si se adoptaba. Además, el Escudo de Privacidad podría ser invalidado por el Tribunal de Justicia de la Unión Europea por razones similares a las que invalidaron el Safe Harbor. Aunque el Escudo de Privacidad, si se adopta, sería uno de los métodos permitidos para transferir datos personales entre los Estados Unidos y la UE, la decisión de adherirse a él no debe tomarse a la ligera por ninguna organización estadounidense, ya que es solo uno de los varios mecanismos que permiten las transferencias transatlánticas de datos, como las cláusulas contractuales tipo de la UE (SCC) y las normas corporativas vinculantes (BCR). Aunque ambos son más complejos en comparación con el Escudo de Privacidad, su relativa certeza puede ser la mejor opción para el flujo de datos transatlántico en este momento. Sin embargo, se espera que el Grupo del Artículo 29 revise la idoneidad de cada uno de estos métodos tras la aprobación del Escudo de Privacidad por parte de la Comisión Europea. Además, es casi seguro que las empresas tendrán que repetir algunos esfuerzos para poner en práctica estos métodos con el fin de cumplir con el próximo RGPD.
Aunque el RGPD tiene por objeto armonizar la protección de datos en los 28 Estados miembros de la UE, hay ciertas disposiciones del nuevo reglamento que se dejan a las leyes locales (por ejemplo, en el ámbito del tratamiento de la información sanitaria y la edad de consentimiento), lo que seguirá complicando el cumplimiento por parte de todas las organizaciones. Aunque no será necesario cumplir plenamente con el RGPD hasta dentro de dos años, las organizaciones deben familiarizarse con las disposiciones del RGPD y comenzar a planificar su implementación ahora, ya que, una vez que el RGPD entre en vigor, las infracciones por incumplimiento podrían dar lugar a sanciones de hasta el cuatro por ciento de los ingresos mundiales de las organizaciones o 20 millones de euros, lo que sea mayor.
Detalles de la decisión del Grupo de Trabajo del Artículo 29
En la esperada rueda de prensa celebrada el 13 de abril de 2016, la presidenta Falque-Pierrotin indicó que, si bien el Escudo de Privacidad suponía una «mejora importante» en comparación con el marco de Puerto Seguro, ahora invalidado, el Grupo del Artículo 29 considera que aún queda trabajo por hacer e instó a la Comisión Europea a resolver las preocupaciones. El anuncio describía una serie de problemas con la propuesta del Escudo de Privacidad:
- Los documentos y anexos proporcionados por el Gobierno de los Estados Unidos eran «bastante complejos» y no siempre coherentes, lo que dificultaba al Grupo del Artículo 29 comprender la propuesta en su conjunto. La presidenta Falque-Pierrotin indicó que habría sido mejor que fuera más sencilla y menos compleja de entender.
- La limitación de la finalidad no estaba clara y podía permitir la reutilización de la información personal para una gran cantidad de fines y transferencias.
- No se aborda expresamente cuál es el alcance permisible de la conservación de datos y, por lo tanto, sigue sin estar claro cuáles son las obligaciones de las organizaciones en materia de conservación y destrucción de datos.
- Demasiadas vías de recurso individual que resultan demasiado difíciles de manejar para los usuarios finales.
- Dado que el Escudo de Privacidad se basa en la antigua Directiva sobre protección de datos, es necesario que exista cierta capacidad para adaptar el marco al nuevo RGPD.
- Las seis excepciones para la vigilancia masiva (incluido un propósito indefinido de «lucha contra el terrorismo») ofrecen demasiadas posibilidades para una vigilancia masiva e indiscriminada.
- La independencia y la autoridad para hacer cumplir la ley del nuevo Defensor del Pueblo son cuestionables.
La presidenta Falque-Pierrotin indicó que la vigilancia y el defensor del pueblo eran las preocupaciones más importantes para el grupo del artículo 29. En lo que respecta a la vigilancia, describió que la recopilación «masiva e indiscriminada» de datos por parte del Gobierno de los Estados Unidos no se había abordado y que seguía existiendo una posibilidad inaceptable de que se llevara a cabo dicha recopilación, que el Escudo de Privacidad no abordaba plenamente.
Al describir la nueva función del defensor del pueblo, la presidenta Falque-Pierrotin expresó su preocupación por el hecho de que, si bien la creación de esta nueva función supone un importante paso adelante, sigue existiendo la preocupación de que el defensor del pueblo pueda no ser una autoridad verdaderamente independiente con poderes efectivos para hacer cumplir el Escudo de Privacidad. El defensor del pueblo, tal y como se propone actualmente, sería nombrado por el secretario de Estado de los Estados Unidos y dependería de él.
Próximos pasos para el Escudo de Privacidad
Aunque esta decisión pone en duda el futuro del Escudo de Privacidad, no significa necesariamente su fin. La decisión del Grupo del Artículo 29 es de carácter consultivo, y la Comisión Europea seguirá esperando la opinión del Comité del Artículo 31 antes de tomar una decisión definitiva. El Comité del Artículo 31 está compuesto por representantes de cada uno de los Estados miembros de la UE y se espera que se pronuncie a favor del Escudo de Privacidad. Es probable que dicha decisión se tome tras las reuniones previstas para el 29 de abril y el 19 de mayo, en las que el Comité debatirá los detalles del acuerdo del Escudo de Privacidad.
Siguiendo la recomendación del Comité del Artículo 31, la Comisión Europea y el Departamento de Comercio de los Estados Unidos podrían reanudar las conversaciones para seguir trabajando en el Escudo de Privacidad y abordar las preocupaciones del Grupo del Artículo 29. Por otra parte, tanto las recomendaciones del Grupo del Artículo 29 como las del Comité del Artículo 31 son meramente consultivas, y la Comisión Europea aún puede aprobar el Escudo de Privacidad tal cual o con modificaciones, si las hubiera. No está claro si la Comisión aplicaría el Escudo de Privacidad a pesar del rechazo del Grupo del Artículo 29. Sin embargo, hay mucha especulación sobre la posibilidad de que así sea, dada la importante presión ejercida por el Gobierno de los Estados Unidos y por organizaciones de ambos lados del Atlántico. Durante un debate sobre la finalización del RGPD, la comisaria de Justicia de la UE, Vera Jourova, que ha participado activamente en la negociación del Escudo de Privacidad, indicó que la Comisión «estudiará el dictamen y abordará las preocupaciones en la decisión final». Sin embargo, la decisión de adoptar el Escudo de Privacidad sin abordar las preocupaciones más importantes del Grupo del Artículo 29 se enfrentará casi con toda seguridad a recursos judiciales ante el Tribunal de Justicia de la Unión Europea (TJUE), el mismo tribunal que invalidó el Acuerdo de Puerto Seguro por temores similares sobre la vigilancia masiva en Estados Unidos por parte de la NSA. La presidenta Falque-Pierrotin confirmó que ese recurso ante el TJUE «siempre es una opción». Esta posibilidad, que provocaría una incertidumbre aún mayor tanto para las organizaciones europeas como para las estadounidenses, podría ejercer una presión significativa sobre la Comisión Europea y el Departamento de Comercio de los Estados Unidos para que aborden las cuestiones por escrito antes de que la Comisión Europea tome una decisión definitiva.
Próximos pasos para el RGPD
El RGPD se publicará primero en el Diario Oficial de la UE (previsiblemente en junio) y entrará en vigor oficialmente 20 días después de su publicación. Tras la fecha de entrada en vigor, habrá un periodo de implementación de dos años, lo que exigirá que las organizaciones cumplan plenamente con la normativa a mediados de 2018.
|
|
PARA OBTENER MÁS INFORMACIÓN SOBRE ESTE TEMA, INSCRÍBASE PARA ASISTIR A LA SIGUIENTE CONFERENCIA WEB EL MIÉRCOLES 27 DE ABRIL DE 2016, DE 12:30 P. M. A 1:30 P. M., HORA DE GREENWICH (7:30 A. M. A 8:30 A. M., HORA CENTRAL DE EE. UU.) Revelando el impacto del Escudo de Privacidad UE-EE. UU. y el RGPD El Parlamento Europeo ha aprobado el nuevo Reglamento General de Protección de Datos (RGPD), que entrará en vigor en 2018 y supondrá la mayor reforma en materia de protección de datos de los últimos 30 años, ya que establece nuevas obligaciones importantes, nuevos mecanismos de aplicación y nuevos derechos de protección de datos para los residentes de la UE. Además, la Comisión Europea y el Departamento de Comercio de los Estados Unidos han publicado un borrador del nuevo Escudo de Privacidad UE-EE. UU. (Privacy Shield), destinado a sustituir al marco Safe Harbor, que ha sido invalidado. Aunque el Escudo de Privacidad ha sido rechazado por el Grupo de Trabajo del Artículo 29, es posible que pronto se adopte alguna forma de Escudo de Privacidad. Es probable que el Escudo de Privacidad y el RGPD influyan en la protección de datos durante los próximos 30 años.
Haga clic aquípara registrarse. |
|
Legal News Alert forma parte de nuestro compromiso continuo de proporcionar información actualizada sobre cuestiones urgentes o asuntos del sector que afectan a nuestros clientes y colegas. Si tiene alguna pregunta sobre esta actualización o desea debatir este tema más a fondo, póngase en contacto con su abogado de Foley o con las siguientes personas:
————————————————–
Aaron Tantleff
Chicago, Illinois
312.832.4367
[email protected]
Chanley Howell
Jacksonville, Florida
904.359.8745
[email protected]
Steve Millendorf
San Diego, CA
858.847.6737
[email protected]
Michael Chung
Los Ángeles, California
213.972.4601
[email protected]
