El Grupo de trabajo del artículo 29 (WP29) ha hecho pública su opinión sobre el acuerdo Privacy Shield para la realización de transferencias internacionales de datos entre UE y EE.UU, Este acuerdo pretende sustituir al antiguo Safe Harbor que fue declarado ilegal en octubre de 2015 por el Tribunal de Justicia Europeo. Deja claro en primer lugar que se avanza y mejora considerablemente en la regulación sobre transferencias internacionales de datos de carácter personal. Remarca el aumento de transparencia ofrecido sobre todo por la creación y publicación de dos listas: una para aquellas organizaciones adheridas al Privacy Shield y otra para aquellas que se adhirieron en el pasado pero ya no forman parte.
El WP29 ha centrado su evaluación en los aspectos comerciales y en el análisis de las medidas de seguridad en lo que respecta a los datos utilizados en seguridad nacional.
Han confirmado lo que ya pudimos ver cuando se hizo público el acuerdo, la desorganización, exceso de documentación y falta de claridad que dificulta innecesariamente su entendimiento.
La terminología utilizada no es consistente con el vocabulario utilizado en la Unión Europea en el ámbito de la protección de datos, sobre todo de especial importancia en aquellos casos que implica principios básicos de la protección de datos de carácter personal. Esto lleva por ejemplo a errores como no obligar a las organizaciones a borrar datos si no son necesarios. La recomendación del WP29 es incluir un glosario en el que se definan los puntos más importantes de una manera clara, para asegurar que las nociones básicas estén definidas de manera consistente.
Siendo este acuerdo el primero adoptado después de los últimos avances en la reforma de Protección de Datos, no se han incluido aspectos importantes como la portabilidad de los datos, o las nuevas obligaciones de los responsables de tratamiento, como la realización de la evaluación de impacto o cumplir los principios de privacy by desing y privacy by default. Recomienda por lo tanto que se lleve a cabo otra revisión antes de la entrada en vigor de las reformas.
Recuerda además la importancia que tiene en Europa la privacidad y la intimidad de los ciudadanos, vulnerada tras las revelaciones de Snowden. Esta vigilancia masiva que ha aumentado en los últimos años en Estados Unidos es un aspecto muy importante del acuerdo, y el WP29 no ve con buenos ojos el anexo 7 del acuerdo, en el que la administración americana no aclara que vaya a dejar de recolectar masiva e indiscriminadamente datos de carácter personal. Para el WP29, esto es una ingerenca injustificada en los derechos fundamentales
Un tercer punto que ha aclarado es el relativo al organismo de control que se prevé establecer, que necesita una especificación de sus poderes y posición, para ser realmente efectivo.
Seguimos por tanto en una situación de vacío legal en transferencias internacionales de datos, y recomendamos la máxima prudencia en la contratación de servicios que impliquen estas transferencias, mientras no se produzcan nuevas revisiones y se adopte la versión definitiva del acuerdo.