Safe Harbor

El Safe Harbor fue un acuerdo entre la Unión Europea y los Estados Unidos que permitía la transferencia de datos personales de entidades ubicadas en la UE a empresas en los Estados Unidos.

El objetivo del acuerdo era proteger los derechos de privacidad y seguridad de los ciudadanos de la UE mientras se permitía la transmisión de datos personales a través de las fronteras internacionales.

El Safe Harbor se basaba en la idea de que las empresas de los EE. UU. se adherirían voluntariamente a una serie de principios de privacidad en relación con el tratamiento de los datos personales recibidos de la UE.

Estos principios incluían aspectos como la notificación, la elección, la transferencia ulterior, la seguridad, la integridad de los datos, el acceso y la ejecución.

Sin embargo, en 2015, el Tribunal de Justicia de la Unión Europea invalidó el acuerdo Safe Harbor en el caso de Schrems v. Data Protection Commissioner.

La corte sostuvo que el Safe Harbor no proporcionaba suficiente protección a los datos personales de los ciudadanos de la UE en los Estados Unidos.

Como resultado de esa decisión, la Comisión Europea y los Estados Unidos negociaron un nuevo acuerdo de protección de datos conocido como el Escudo de la Privacidad UE-EE.UU. (EU-US Privacy Shield), que fue diseñado para proporcionar más protecciones de privacidad para los ciudadanos de la UE.

Sin embargo, este nuevo acuerdo también fue invalidado por el Tribunal de Justicia de la UE en julio de 2020, lo que pone en duda el futuro de la transferencia transatlántica de datos personales.

¿Cómo afecta la cancelación de estos acuerdos a las empresas europeas que utilicen herramientas estadounidenses?

La anulación tanto del acuerdo Safe Harbor como del EU-US Privacy Shield ha planteado desafíos significativos para las empresas europeas que desean utilizar servicios establecidos en Estados Unidos como Mailchimp, que almacenan o procesan datos personales.

Cuando el Tribunal de Justicia de la Unión Europea invalidó estos acuerdos, declaró que las empresas no pueden confiar en ellos para justificar la transferencia de datos personales a los Estados Unidos.

Esto significa que las empresas europeas que deseen utilizar estos servicios deben encontrar otras bases legales para hacerlo.

Algunas de las alternativas que pueden considerar las empresas incluyen:

• Cláusulas Contractuales Estándar (SCCs): Estas son disposiciones contractuales que las empresas pueden incluir en sus contratos con proveedores de servicios en Estados Unidos, que exigen a estos proveedores cumplir con ciertas normas de protección de datos. Sin embargo, en algunos casos, las autoridades de protección de datos pueden exigir garantías adicionales.
• Consentimiento explícito: En algunos casos, las empresas pueden ser capaces de transferir datos a los EE.UU. con el consentimiento explícito de la persona a la que se refieren los datos. Sin embargo, este enfoque puede no ser práctico en todos los casos y el consentimiento puede ser revocado en cualquier momento.
• Excepciones legales: Existen ciertas excepciones en las regulaciones de la UE que permiten la transferencia de datos en circunstancias específicas. Sin embargo, estas excepciones suelen ser limitadas y pueden no ser aplicables a todas las empresas.

Por tanto, es recomendable que las empresas que deseen utilizar estas herramientas consulten con un abogado o un experto en protección de datos para asegurarse de que están cumpliendo con las leyes de protección de datos de la UE.

Otra alternativa de menor complejidad sería utilizar servicios establecidos en la Unión Europea, como sería el caso de Mailrelay.