Aprobado el nuevo marco legal para las transferencias de datos con Estados Unidos

Aprobado el nuevo marco legal que sucede al anterior “safe harbor” y que pasa a llamarse “Privacy Shield” o “Escudo de Privacidad”

Este nuevo marco protege los derechos fundamentales de cualquier persona en la UE cuyos datos personales se transfiere a los Estados Unidos, así como dota de claridad jurídica para las empresas que dependen de las transferencias de datos transatlánticos.

Andrus Ansip, vicepresidente de la Comisión para el mercado único digital, dijo:.. “Hemos aprobado el nuevo escudo de privacidad de la UE-EEUU para proteger los datos personales de nuestros ciudadanos y proporcionar claridad para las empresas.  Hemos trabajado mucho con todo nuestro socios en Europa y en los EE.UU. para conseguir la mejor regulación  y poder iniciar tan pronto como sea posible los flujos de datos entre nuestros dos continentes, ya que  son esenciales para nuestra sociedad y la economía -. ahora tenemos un marco sólido para asegurar que estas transferencias se llevan a cabo de la mejor forma  y en condiciones más seguras “.

Věra jourová, Comisario de Justicia, los consumidores y la igualdad de género, dijo: “El Privacy Shield es un nuevo sistema robusto para proteger los datos personales de los europeos y garantizar la seguridad jurídica para las empresas. Adopta normas de protección de datos más fuertes para que se haga cumplir mejor, además de garantías sobre el acceso del gobierno, y más fácil reparación a las personas en caso de quejas. El nuevo marco restaura la confianza de los consumidores cuando sus datos se transfieren a través del Atlántico. Hemos trabajado en conjunto con las autoridades europeas de protección de datos, el Parlamento Europeo, los estados miembros y nuestras contrapartes en Estados Unidos para poner en marcha un acuerdo con los más altos estándares para proteger los datos personales de los europeos “.

El escudo de privacidad entre UE-Estados Unidos se basa en los siguientes principios:

  • Fuertes obligaciones a las empresas de tratamiento de datos: en el marco del nuevo acuerdo, el Departamento de Comercio de Estados Unidos llevarán a cabo actualizaciones y revisiones periódicas de las empresas participantes, para asegurar que las empresas siguen las reglas se sometieron a. Si las empresas no cumplen en la práctica se enfrentan a sanciones y retirada de la lista. El endurecimiento de las condiciones para las transferencias sucesivas de datos a terceros garantizará el mismo nivel de protección en caso de una transferencia de una compañía  via el escudo de privacidad.
  • Garantías claras y  obligaciones de transparencia en el acceso por parte del gobierno de Estados Unidos: Estados Unidos ha garantizado a la UE que el acceso de las autoridades públicas para la aplicación de la ley y la seguridad nacional está sujeta a limitaciones claras, salvaguardias y mecanismos de supervisión. Todo el mundo en la UE, también por primera vez, podrá beneficiarse de los mecanismos de reparación en esta área. EE.UU. ha descartado la vigilancia masiva indiscriminada de datos personales transferidos a los EE.UU. bajo la disposición de protección de privacidad de la UE y Estados Unidos. La Oficina del Director de Inteligencia Nacional aclaró además, que la recolección masiva de datos sólo puede ser utilizada bajo condiciones específicas y debe ser lo más especial y centrada que sea posible. En él, se detallan las salvaguardias en el lugar para el uso de los datos en dichas circunstancias excepcionales. La secretaria de Estado de Estados Unidos ha establecido una posibilidad de reparación en el área de la inteligencia nacional para los europeos a través de un mecanismo de Defensor dentro del Departamento de Estado.
  • La protección efectiva de los derechos individuales: Cualquier ciudadano que considere que sus datos han sido mal usados  bajo el esquema de  Escudo de Privacidad, se beneficiará de varios mecanismos de resolución de conflictos accesibles y asequibles. Idealmente, la queja será resuelta por la propia empresa; o libre de cargo resolución alternativa de conflictos se ofrecerán (ADR) soluciones. Las personas también pueden ir a sus autoridades nacionales de protección de datos, que trabajarán con la Comisión Federal de Comercio para asegurar que las quejas de los ciudadanos de la UE son investigadas y resueltas. Si un caso no se resuelve por cualquiera de los otros medios, como último recurso, habrá un mecanismo de arbitraje. Posibilidad de compensación en el ámbito de la seguridad nacional para ciudadanos de la UE “estará a cargo de un Defensor independiente de los servicios de inteligencia de Estados Unidos.

  • Mecanismo de revisión anual conjunta: el mecanismo de control del funcionamiento del Escudo de Privacidad, incluyendo los compromisos y seguridad en relación con el acceso a los datos para fines represivos y de seguridad nacional. La Comisión Europea y el Departamento de Comercio de Estados Unidos llevarán a cabo la revisión por expertos nacionales de inteligencia de las autoridades de protección de datos de Estados Unidos y de Europa. La Comisión se basará en todas las demás fuentes de información disponibles y emitirá un informe público al Parlamento Europeo y el Consejo.

Desde la presentación del proyecto en febrero, la Comisión se ha basado en las opiniones de las autoridades europeas de protección de datos (Art. 29 Grupo de Trabajo) y el Supervisor Europeo de Protección, y la resolución del Parlamento Europeo, de incluir una serie de aclaraciones adicionales y mejoras. La Comisión Europea y los EE.UU. acordaron en particular, sobre las aclaraciones adicionales sobre la recogida masiva de datos, el fortalecimiento del mecanismo de Defensor y obligaciones más explícitas sobre las empresas en cuanto a límites de retención y transferencias posteriores.

Próximos pasos: La “decisión de adecuación” serán notificados hoy para los Estados miembros y por lo tanto entran en vigor inmediatamente. En el lado estadounidense, el marco “Escudo de Privacidad” será publicada en el Registro Federal, el equivalente a nuestro Diario Oficial. El Departamento de Comercio de Estados Unidos comenzará a operar el escudo de privacidad. Una vez que las empresas hayan tenido la oportunidad de revisar el marco y actualizar su cumplimiento, las empresas serán capaces de certificar con el Departamento de Comercio a partir del 1 de agosto 2016. De forma paralela, la Comisión publicará una breve guía para los ciudadanos que explican los recursos disponibles en caso de que un individuo considera que sus datos personales se ha utilizado sin tener en cuenta las normas de protección de datos.

CORREO CORPORATIVO: ¿Puede el empresario controlar los emails de sus empleados?

Se trata de una de esas dudas que rondan a cualquier trabajador que alguna vez haya enviado un email privado desde su cuenta de correo corporativa: ¿Pueden enviarse correos privados desde ella? ¿Puede la empresa revisar el contenido de esos emails y usarlos como prueba para justificar, por ejemplo, un despido por usar el tiempo de trabajo para fines personales? Son muchas las sentencias que se han dictado en este sentido desde hace algunos años, y la última de ellas viene de la mano del Tribunal Europeo de Derechos Humanos (TEDH). El resultado, en este caso, favorece a la empresa: la Sentencia, con fecha de 12 de enero de 2016, avala que el empresario pueda revisar el contenido de las comunicaciones de sus empleados -en este caso, un sistema de mensajería instantánea-, incluso cuando se realicen desde una cuenta privada, y aunque no exista un perjuicio a la empresa que justifique el control.

En el supuesto enjuiciado, que hace referencia a un caso ocurrido en Rumanía, el empleado abrió una cuenta de mensajería instantánea privada a instancias de su empleador para responder consultas con sus clientes, desde un ordenador de la empresa y en horas de trabajo. Tras controlar durante nueve días el contenido de los mensajes, el empresario comunicó al empleado que sabía que estaba utilizando la cuenta con fines personales. Éste rechazó la acusación y afirmó que tan sólo le daba fines profesionales, mostrándole las transcripciones de sus mensajes. Finalmente, el empleado fue despedido por usar parte de su tiempo de trabajo para fines personales.

Llevado el caso a los tribunales, éstos rechazaron que se hubiera producido una injerencia en la vida privada del trabajador y sus comunicaciones, protegidas por el artículo 8 de la Convención Europea de Derechos Humanos (CEDH). El TEDH lo tiene claro: en un supuesto como el descrito, debe valorarse la existencia de un “justo equilibrio” entre el respeto de la vida privada y la correspondencia, “y los intereses del empleador”. Así, en este caso, “el empleador actuó dentro de sus facultades disciplinarias”, ya que accedió a la cuenta bajo la suposición de que únicamente era empleada para fines profesionales.

Además, la sentencia deja claro que no es necesario que exista un perjuicio previo que justifique la intervención del empresario. Sin embargo, la sentencia cuenta con el voto discrepante de un magistrado que niega que el empresario pueda actuar “como un Gran Hermano desconfiado” con sus empleados, “como si éste hubiera vendido no sólo su trabajo, sino también su vida personal”. “Una prohibición general de uso personal de Internet por los empleados es inadmisible, al igual que cualquier política de control generalizado, automático y continuo”, argumenta el voto particular.

¿Qué dice la jurisprudencia en España?

La sentencia del TEDH va en la misma línea que algunas sentencias dictadas en España durante los últimos años. Uno de los ejemplos más relevantes es un fallo dictado el pasado 9 de octubre de 2013 por el Tribunal Constitucional, en el que dejó claro que debe descartarse que la intervención de los mensajes por parte del empresario pueda lesionar el derecho del trabajador al secreto de las comunicaciones (artículo 18.3 CE) y a la intimidad (artículo 18.1 CE) si se le ha comunicado previamente que la empresa podrá controlar los medios informáticos ofrecidos a los empleados y que su uso para fines distintos a los laborales constituirá una falta.

Es, por tanto, relevante, haber informado previamente al trabajador, algo que muchas empresas llevan a cabo automáticamente para garantizarse ese derecho a revisar esas comunicaciones en caso de sospecha de alguna infracción.

Sin embargo, el criterio no siempre es uniforme. Si hablamos de sentencias dictadas en el ámbito laboral, la Sala de lo Social del Tribunal Supremo –y también el Tribunal Constitucional- aseguran que es posible el registro de ordenadores sin orden judicial cuando se trate del chequeo de cuentas de correo corporativas. Pero si hablamos de procesos penales, el mismo Tribunal Supremo asegura lo contrario, y lo hace basándose en la Constitución, que es “clara y tajante” cuando afirma categóricamente que “se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial”.

Por tanto, si de lo que se trata es de acusar al trabajador de un delito, se hace necesario obtener una orden judicial para controlar las comunicaciones del sospechoso.

More Articles...