Escudo de privacidad

Protección frente a la inteligencia norteamericana

En el Diario Oficial de la Unión Europea de 1 de agosto de 2016 se publicó la Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, a través de la cual la Comisión aprueba el nivel de protección de datos otorgado por el Escudo de Privacidad UE-EE UU, que cuenta con seis artículos, siete anexos y varios subanexos. En total, ciento doce páginas en el DOUE, que deberán ser analizadas con detenimiento.

Sin perjuicio de ello, haremos una breve referencia a un aspecto concreto del Escudo de Privacidad: La protección de los interesados ante el acceso y manipulación ilegítima de sus datos personales por parte de las autoridades públicas norteamericanas.

Sabemos que uno de los principales objetivos del derecho sobre protección de datos personales es el control y limitación de los tratamientos de este tipo de datos, que pueden ser efectuados tanto por entidades de derecho público como de derecho privado. En consonancia con ello el Escudo de Privacidad se aplica a ambos tipos de entidades que sean responsables de tratamientos de datos personales que hayan sido transferidos desde un Estado miembro de la Unión Europea.

Respecto a las personas de derecho privado, al igual que en el anterior sistema de Puerto Seguro, se establece un régimen de autocertificación voluntaria para las entidades estadounidenses, que al someterse a este sistema se comprometen a respetar una serie de principios establecidos por el Departamento de Comercio de los Estados Unidos y enumerados en el anexo II de la Decisión. Los diversos aspectos de este mecanismo, tales como el procedimiento de autocertificación, el control de cumplimiento, las reclamaciones de los interesados, etc. son competencia de los Departamentos de Comercio y de Transportes de los Estados Unidos, si bien se establecen algunas funciones al respecto para las autoridades europeas de protección de datos.

Respecto a las entidades de derecho público, se regulan las actividades de los organismos de defensa y seguridad nacional, en particular la inteligencia de señales.

Los anexos de la Decisión enumeran distintas disposiciones norteamericanas de protección de la privacidad (incluida la protección de datos personales) que son de aplicación en dichos ámbitos, tales como la Ley de Fraude y Abuso Informático, la Ley de Privacidad de las Comunicaciones Electrónicas, la Ley de Libertad de la Información, la ley de Vigilancia de la Inteligencia Exterior y, principalmente, la Directiva Presidencial 28 (PPD-28), promulgada por el presidente estadounidense en enero de 2014. Esta Directiva contiene los principios a los que está sometida la inteligencia de señales por parte de los Estados Unidos, que se pueden resumir en los siguientes:

• Autorización por ley o por decisión presidencial y conformidad con la constitución y con las leyes.
• Respeto de la privacidad y las libertades civiles.
• Finalidad: Sólo se podrá recopilar datos de inteligencia de señales cuando haya un propósito de inteligencia exterior o de contrainteligencia válido.
• Prohibición de recopilar inteligencia de señales con los objetivos de acallar o lastrar críticas o disidencias; con fines discriminatorios; y para ofrecer ventajas comerciales competitivas a empresas y sectores empresariales estadounidenses.
• Las actividades de recopilación de señales deben ser “adaptadas” y “razonables”, expresiones por las que se entiende, por ejemplo, la limitación de la recopilación indiscriminada de datos personales, la reducción al mínimo posible de la conservación y difusión de datos y el equilibrio de las necesidades de la inteligencia con la protección de la privacidad y las libertades civiles.

En los anexos se describen los recursos para la tramitación de reclamaciones por violación de la privacidad, que no son específicos para el Escudo de Privacidad sino generales y se encuentran establecidos en distintas disposiciones jurídicas. Asimismo, se crea una figura nueva y específica: el Defensor del Pueblo en el ámbito del Escudo de Privacidad (Privacy Shield Ombudsperson). En el procedimiento previsto para la presentación de solicitudes ante esta autoridad los interesados no disponen de una vía directa sino que deben presentar sus solicitudes ante la autoridad nacional de protección de datos o ante la autoridad de supervisión de los servicios de seguridad nacional; ésta debe reenviarla a un organismo centralizado ad-hoc de la Unión Europea, que deberá comprobar que la solicitud cumpla una serie de requisitos formales y que a priori no sea infundada, abusiva o de mala fe; y luego remitirla al Defensor del Pueblo en el ámbito del Escudo de Privacidad.

Una vez completadas las solicitudes, el Defensor del Pueblo acusará recibo de ella y, luego de cumplidos los trámites que considere necesarios, dará una respuesta al organismo responsable de la tramitación de las reclamaciones de los ciudadanos de la UE, que puede consistir en la afirmación de que en el hecho denunciado se han respetado las normas estadounidenses de distinta jerarquía sobre protección de datos o que, verificado el incumplimiento de dichas normas, éste se ha subsanado. Pero en ningún caso confirmará ni negará si el individuo ha sido objeto de vigilancia ni, en su caso, sobre la reparación concreta aplicada.

En nuestra opinión, el Escudo de Privacidad regula de manera equilibrada los dos principales valores en liza: El derecho de los interesados a la protección de sus datos personales y el del Estado a ejercer actividades de seguridad y defensa; si bien el órgano que nuclea a las autoridades de protección de datos de los estados miembros (GT29), en nota de prensa de 26 de julio, lamenta que el Defensor del Pueblo no sea una figura más independiente y con mayores poderes así como la falta de garantías para que no se produzcan recopilaciones masivas de datos personales. De todos modos, dado que se ha previsto un mecanismo de revisión anual conjunta del Escudo de Privacidad, confía en que estas carencias se solucionen en la primera de estas revisiones.

Escrito por Carolina Reyes, Abogada en Adarve abogados