Principios internacionales safe harbor
Los principios internacionales safe harbor en materia de privacidad hacen referencia a un proceso de cooperación por el que las organizaciones de Estados Unidos cumplen con la Directiva 95/46/CE de la Unión Europea, relativa a la protección de datos personales.
Pensados para organizaciones que operen entre Estados Unidos y la Unión Europea y que alojen datos personales de sus clientes y/o usuarios, los principios internacionales safe harbor están pensados para prevenir pérdidas o filtraciones no autorizadas de información. Para optar a incorporarse al programa safe harbor deberán cumplir con los siete principios de la Directiva 95/46/CE.
Los principios fueron desarrollados por el Departamento de Comercio de Estados Unidos en colaboración con la Unión Europea.
El 6 de octubre de 2015, los acuerdos de "safe harbor" entre la Comunidad Europea y los Estados Unidos fueron declarados inválidos, como consecuencia de las revelaciones de Edward Snowden.
Contexto
Para entender la creación de los principios safe harbor hemos de situarnos en el contexto proteccionista que la Unión Europea establece para la privacidad de sus ciudadanos. Esta protección es mucho más fuerte en Europa que en otras regiones del mundo.
Las organizaciones que operan en la Unión Europea no están autorizadas a realizar transferencias internacionales de datos a países ubicados fuera del Espacio Económico Europeo a no ser que los mismos ostenten niveles adecuados de protección.
Dicha protección puede producirse a nivel nacional (si las leyes del país se comprometen a ofrecer la misma protección) o a nivel de organización (si una multinacional elabora y cumple sus controles internos de protección de datos).
Los principios internacionales safe harbor permiten a las organizaciones de Estados Unidos registrar su certificado si cumplen con los requisitos de la Unión Europea.
Principios
Son siete los principios clave que recoge la Directiva 95/46/CE y que deben cumplir aquellas organizaciones que quieran ostentar el calificativo de safe harbor:
- Información: los interesados deberán ser informados de que sus datos personales están siendo recogidos y que serán tratados únicamente con la finalidad para la que fueron recogidos.
- Elección: los interesados tendrán el derecho de cancelación y oposición a que sus datos sean recogidos una vez sean recabados y a oponerse a la cesión o transferencia a terceros.
- Transferencia progresiva: la cesión de datos a terceros se llevará a cabo con organizaciones que también garanticen un adecuado nivel de cumplimiento de protección de datos.
- Seguridad: se deben establecer y cumplir determinadas medidas de seguridad para prevenir pérdidas de información y accesos no autorizados.
- Integridad de los datos: los datos deberán ser relevantes y exactos para el propósito para el que fueron recogidos.
- Acceso: los interesados podrán acceder en todo momento a la información que haya sido recabada acerca de ellos y podrán corregirla o eliminarla si es inexacta o inadecuada.
- Ejecución: se deben destinar medios y recursos para garantizar el debido cumplimiento de estos principios.
Certificación
Tras ser aceptadas como safe harbor, las organizaciones deberán renovar el certificado anualmente. Pueden hacerlo de forma interna (para verificar que cumplen dichos principios) o de forma externa (auditorías). Hay también seguimiento para que se proporcione a los empleados la formación adecuada en esta materia y también se reconocen mecanismos de solución de disputas.
Críticas y Evaluación
Los principios internacionales safe harbor han sido objeto de diversas críticas en cuanto a su cumplimiento y seguimiento en evaluaciones externas:
- 2002 review by the European Union: The application of Commission Decision on the adequate protection of personal data provided by the Safe Harbor Privacy Principles (2002)
- 2004 review by the European Union: The implementation of Commission Decision on the adequate protection of personal data provided by the Safe Harbor Privacy Principles (2004)
- 2008 review by Galexia: Chris Connolly (Galexia), US Safe Harbor - Fact or Fiction?, Privacy Laws and Business International, issue 96, December 2008
Nulidad del Safe Harbor
En 2015, la Decisión 2000/520/CE, de la Comisión Europea, de 26 de julio de 2000 fue anulada por el Tribunal de Justicia de la Unión Europea en la sentencia referida al Caso Schrems (C-362/14).
Véase también
- Una visión más general del término safe harbor
- Privacidad
- Protección de datos personales
- Derecho informático