La Comisión Europea considera que el sistema “Privacy Shield” implantado por EEUU garantiza un nivel adecuado de protección para los datos personales, sin perjuicio de que existen mejoras que deberán llevarse a cabo en los próximos meses.
La Comisión Europea ha hecho público un informe sobre la segunda revisión anual del EU-U.S. Privacy Shield, mecanismo de auto-certificación que fue aprobado en el mes de julio de 2016 y que asegura un nivel adecuado de protección de datos de carácter personal transferidos desde la Unión Europea a los Estados Unidos de América (EE.UU).
La Decisión de Ejecución aprobada por la Comisión Europea, mediante la que se aprobó el Privacy Shield, establecía el "seguimiento continuo del funcionamiento" del citado mecanismo, lo que implicaba la realización de revisiones anuales del mismo por parte de las autoridades competentes para asegurar el cumplimiento de los requisitos fijados por la Unión Europea en relación a la protección de datos de carácter personal.
La primera revisión anual tuvo lugar en septiembre de 2017, y la Comisión concluyó que las autoridades norteamericanas habían implementado los procedimientos necesarios para asegurar el correcto funcionamiento del Privacy Shield, por lo que éste continuaba ofreciendo un nivel de protección adecuado, sin perjuicio que se determinó que la implementación del mecanismo, a nivel práctico, podría mejorarse gracias a una serie de recomendaciones, entre los que destacaba la necesidad de promover y mejorar las labores de cooperación entre las autoridades, la concienciación de los interesados o la monitorización continuada del cumplimiento de los principios del Privacy Shield por parte del Departamento de Comercio (Department of Commerce) de EEUU.
La segunda revisión anual, que ha tenido lugar durante el mes de octubre de este año 2018, la Comisión ha reunido información de las autoridades norteamericanas involucradas en la implementación del Privacy Shield, de las compañías certificadas, así como de las ONG presentes en el ámbito de los derechos fundamentales para la protección de la privacidad de los usuarios, habiéndose revisado tanto los aspectos comerciales del mecanismo, como las cuestiones relativas al acceso a datos personales por parte del Gobierno.
En líneas generales, la Comisión ha validado el cumplimiento de las recomendaciones planteadas en la primera revisión anual por parte del Departamento de Comercio, en la medida en que considera que, entre otros aspectos, se ha endurecido el proceso de certificación de las compañías, se han implementado nuevos procedimientos de supervisión y se han introducido nuevas herramientas para detectar y abordar posibles incumplimientos. Asimismo, en atención a la monitorización del respeto a los principios del Privacy Shield, la Comisión Federal de Comercio (Federal Trade Commission) ha emitido requerimientos de información a una serie de compañías certificadas, y ha confirmado que la investigación del caso Facebook/Cambridge Analytics sigue en curso.
Asimismo, cabe destacar que, a pesar de la recomendación de nombrar a un "Ombudsman de Privacy Shield" permanente, incluida en la primera revisión anual, el puesto del Vicesecretario del Departamento del Estado, a quien se había asignado la figura del "Ombudsman", no había sido cubierto por un nombramiento permanente en el momento de cierre de la segunda revisión realizada por parte de la Comisión Europea.
Según la información recabada, la Comisión ha concluido que EE.UU sigue ofreciendo un nivel de protección adecuado de datos personales transferidos a través del Privacy Shield, especialmente teniendo en cuenta la implementación de las recomendaciones recogidas en el informe relativo a la primera revisión anual. Sin embargo, en las palabras de la Comisión, algunos pasos se han tomado de forma reciente y requieren un seguimiento cercano. En este sentido, cabe destacar:
- Requerimientos a compañías certificadas en caso de que se detecten violaciones de los principios del Privacy Shield, así como a las entidades que declaren falsamente su certificación.
- Observación de la efectividad de los instrumentos de monitorización del cumplimiento del Privacy Shield.
- Desarrollo de guías conjuntas entre la UE, el Departamento de Comercio y la Comisión Federal de Comercio, relativas a aspectos que requieran mayor aclaración (por ejemplo, datos relativos a gestión de Recursos Humanos).
En particular, la Comisión ha impuesto un plazo hasta el 29 de febrero de 2019 para el nombramiento de un Ombudsman permanente, En caso de que EEUU no llegue a nombrar una persona de forma permanente, la Comisión considerará "adoptar las medidas apropiadas de acuerdo con el Reglamento General de Protección de Datos".
