Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

Adobe, Pepsi y Unilever, multados por transferir nuestros datos a EEUU ilegalmente

David Sarabia

“El Safe Harbour nunca funcionó”. Lo dijo Edward Snowden en la entrevista que concedió a eldiario.es en marzo. El acuerdo de transferencia de datos entre EEUU y Europa, que llevaba vigente 15 años, fue invalidado el año pasado gracias a Max Schrems. El joven abogado austriaco demostró que “el puerto seguro” no lo era en absoluto y, usando los documentos sobre Prisma que filtró Snowden en 2013, consiguió que el Tribunal de Justicia de la UE anulase el pacto. Ahora, la Comisión Federal para la Protección de Datos y la Libertad de Información de Hamburgo (HmbBfDI) ha puesto las primeras multas a tres empresas precisamente por seguir utilizándolo.

Son 28.000 euros en sanciones que se distribuyen de la siguiente forma: Adobe, 8.000 euros; Punica (una subsidiaria de Pepsi Co.), 9.000 euros; y Unilever, 11.000 euros. Las tres compañías seguían utilizando el Safe Harbour para transferir los datos privados de sus clientes por vía electrónica a los EEUU. Ocho meses después de que el Tribunal de Justicia de la UE anulase el pacto, las tres empresas “no han establecido métodos alternativos válidos”, dice la HmbBfDI. La decisión de la Comisión viene después de una investigación llevada a cabo en estos últimos meses y en la que se han visto involucradas 35 sociedades con sede en Hamburgo.

“Las inspecciones han demostrado que la gran mayoría de esas compañías han cambiado la transferencia de los datos dentro de los meses del periodo de implementación a las llamadas cláusulas contractuales estándar”, explica el regulador alemán. La Comisión se refiere a las dos cláusulas establecidas en la legislación europea sobre el tratamiento de datos personales a terceros países. Estos apartados tienen que ver con las reglas especificadas en los diferentes contratos, como las medidas de seguridad, la información al titular de los datos o las garantías en caso de transferencia de esos datos sensibles.

En noviembre del año pasado, la UE comunicó a las empresas que necesiten transferir datos privados a EEUU, que trabajasen sobre dos bases. De esta forma, la Comisión Europea “orientó” a las compañías acerca de cómo proceder una vez que el Safe Harbour fue eliminado, llevándoles a operar en un limbo legal a la espera de la aprobación del Privacy Shield. “Los negocios pueden seguir las transferencias de datos” a través de las soluciones contractuales recogidas en la legislación europea o a través de las normas vinculantes que estableciera la agencia de protección de datos de cada país.

El Privacy Shield que viene (o no)

Privacy ShieldUn fraude. Así es como el Working Party 29, un comité independiente de expertos en protección de datos, valoró el Privacy Shield que la Comisión Europea presentó el pasado febrero. Aunque las valoraciones del grupo no tienen validez a nivel institucional, sus conclusiones no fueron buenas: el nuevo acuerdo para la transferencia de datos entre Europa y EEUU era farragoso, inapropiado, inconsistente e insuficiente.

El otro comité de expertos que ha valorado el Privacy Shield, apodado como 'Grupo 31', se reunió el mes pasado pero no llegó a alcanzar una consenso sobre el nuevo pacto. Hace una semana, Giovanni Buttarelli, el Supervisor para la Protección de Datos en Europa concluyó que el Privacy Shield no era “lo suficientemente robusto como para soportar el escrutinio legal en el futuro”. Junto a él, Edward Snowden ya advirtió que el acuerdo era solo un plan para ganar tiempo del gobierno estadounidense y que no suponía cambios sustanciales en lo que a privacidad se refiere.

Las áreas que suscitan mayor controversia son las relacionadas con el control hacia las agencias de seguridad estadounidense. El Working Party 29 acogió de buen grado que el acceso a los datos por parte de las instituciones no estuviera recogido en el nuevo tratado, algo que no excluía “la masiva e indiscriminada recolección de datos personales”. Ese fue uno de los factores por los que no protegía lo suficiente los derechos de los ciudadanos europeos. Mientras tanto, la Comisión Europea, quiere aprobar el acuerdo a finales de este mes.

Multas que irán en aumento

“Queda por ver si el plan de sucesión para el Safe Harbour, el Privacy Shield establece un nivel adecuado de protección de datos”, dice Johannes Caspar, del ente regulador alemán. Hasta entonces, asegura que las multas a las demás empresas que sean pilladas in fraganti ciñéndose al Safe Harbour serán sancionadas con multas más cuantiosas.

“La transferencia de datos de estas compañías a EEUU era ilegal y no tenía ninguna base”, concluyen desde la Comisión. Tanto Adobe como Pepsi y Unilever habrían cambiado su modelo de transferencia de datos a suelo estadounidense durante la investigación, consiguiendo reducir las multas. Si el Privacy Shield no es aprobado finalmente, el ente regulador alemán seguirá investigando a las compañías que operan bajo su jurisdicción. Algo que, aseguran es una “transferencia inadmisible de datos a los EEUU”.

Etiquetas
stats