El Ejecutivo comunitario ha presentado este lunes su borrador de "decisión de adecuación" y los textos legales del nuevo acuerdo entre la UE y Estados Unidos para la transferencia de datos personales por motivos comerciales, que ahora deberán aprobar expertos de los Veintiocho Estados miembro.
En dicho borrador de decisión, "la Comisión concluye que Estados Unidos garantiza el nivel adecuado de protección de los datos personales transferidos en virtud del 'Private Shield EU-EEUU de la Unión para organizaciones auto-certificadas en Estados Unidos", que deberán garantizar que cumplen los requisitos de protección de datos en virtud del acuerdo.
El Tribunal de Justicia de la UE anuló en octubre la decisión de la Comisión Europea de considerar a Estados Unidos como "puerto seguro", como se conocía el acuerdo bilateral de transferencia de datos anterior, para la transferencia de datos personales de europeos tras las relevaciones del analista de la agencia de seguridad estadounidense Erdward Snowden, sobre el escándalo de espionaje masivo a ciudadanos europeos por parte de la inteligencia estadounidense.
La Oficina del Director de Inteligencia Nacional estadounidense "por primera vez" ha dado garantías por escrito a la Unión Europea de que el acceso a los datos personales por motivos de seguridad nacional y para combatir el terrorismo por parte de las autoridades estadounidenses estará sujeto a "limitaciones claras, salvaguardias y mecanismos de control" y de que no habrá "vigilancia indiscriminada o masiva" de los datos personales transferidos a Estados Unidos en virtud del nuevo acuerdo. Las propias compañías además podrán informar del número aproximado de peticiones de acceso que reciben.
La UE podrá verificar este extremo o cualquier otro aspecto del acuerdo en el marco de la revisión anual conjunta del acuerdo que se celebrará cada año, a la que serán invitados expertos de inteligencia estadounidenses y de las autoridades europeas de protección de datos.
ESPERAN QUE PRÓXIMA ADMINISTRACIÓN MANTENGA COMPROMISO
La Administración de Barack Obama se ha comprometido además a crear un mecanismo en el seno del Departamento de Estado, un tipo de defensor del pueblo, independiente de los servicios de seguridad nacional, para hacer el seguimiento de quejas de ciudadanos europeos por la utilización incorrecta o indebida de sus datos.
Estos compromisos se publicarán en el registro federal de Estados Unidos, según han confirmado fuentes del Ejecutivo comunitario, que insisten en que se trata de un compromiso "al máximo nivel político" de la Administración estadounidense de Barack Obama y aunque "puede ocurrir en todo momento" que el próximo gobierno dé marcha atrás en estas garantías si ganan los conservadores, la UE esperan que cumplan los términos del acuerdo.
"Esperamos que estas obligaciones se cumplirán", han recalcado fuentes del Ejecutivo comunitario, que han recordado que el acuerdo incorpora "una cláusula muy fuerte" para suspender el acuerdo si ven "riesgo" y el propio interés económico de Estados Unidos en el acuerdo, que cifra en 260.000 millones de dólares el comercio en servicios digitales trasatlántico.
El Ejecutivo comunitario ha dejado claro que en virtud del acuerdo la recogida masiva de datos personales sólo se permitirá en caso necesario por "una amenaza enorme tipo 11-S". "La colección masiva sólo será la excepción, incluso el acceso a los datos será limitado, para ciertos objetivos y de acuerdo con determinados criterios", han precisado fuentes del Ejecutivo comunitario, que insisten en que lo importante es que la recogida de datos será "dirigida y no en masa". "Esto era lo importante para nosotros", han zanjado.
RESOLVER QUEJAS DE CIUDADANOS EUROPEOS
Con el objetivo de garantizar la protección efectiva de los datos personales de los europeos, el nuevo acuerdo contempla que las propias compañías resuelvan directamente las eventuales quejas en un plazo de 45 días y se garantizará un mecanismo de resolución de disputas "alternativo" gratuito.
En el caso de que una queja quede sin resolver, los ciudadanos europeos podrán dirigirse a la Autoridad de Protección de Datos nacional, que se encargaría de trabajar con el Departamento de Comercio estadounidense, que responderá en un plazo de 90 días, a fin de garantizar que ésta se investiga y se resuelve con rapidez. Como último recurso el acuerdo prevé un mecanismo de arbitraje.
El nuevo acuerdo incorporará además "mecanismos de supervisión efectivos" para garantizar que las compañías respetan sus obligaciones de protección de datos, incluidas sanciones en términos de multas financieras pero sobre todo su expulsión de la lista de compañías autorizadas a beneficiarse del acuerdo, han explicado fuentes comunitarias.
El Departamento de Comercio estadounidense se encargará de vigilar y verificar que la política de protección de datos de las compañías en la lista cumplen los requisitos del acuerdo y, en todo caso, durante el tiempo que retengan datos incluso si salen de la lista.
Además, el nuevo acuerdo da un máximo de nueve meses para que en el caso de que las compañías estadounidenses cedan o transfieran los datos personales a terceros garanticen la protección de los mismos.