Puerto Seguro, protección de la transmisión de datos personales

El pasado 1 de noviembre de 2000 ha entrado en vigor el acuerdo firmado por los Estados Unidos y la Unión Europea relativo a la transmisión de datos personales entre empresas de los Estados miembros y Estados Unidos. Por datos personales se entienden, en este caso, los datos referidos a una persona identificada o identificable según la regulación europea que sean recibidos desde la Unión por entidades estadounidenses.

La necesidad de este acuerdo surge por la diferente situación legal de la protección de datos en los dos continentes. La Unión Europea establece, por medio del artículo 25 de la Directiva 95/46/CE de Protección de Datos (24 de octubre de 1995) en vigor desde el 25 de octubre de 1998, fuertes restricciones a la transmisión de datos con países ajenos a la Unión. Basándose en este artículo, la Decisión de la Comisión Europea de 26 de julio de 2000 determina que \”los Estados miembros deben prever que la transferencia a un tercer país de datos personales únicamente pueda efectuarse cuando el tercer país de que se trate garantice un nivel de protección adecuado y cuando con anterioridad a la transferencia se respeten las disposiciones legales de los Estados miembros adoptadas con arreglo a las demás disposiciones de dicha Directiva.\”

A diferencia de la Unión Europea, Estados Unidos carece de regulación específica en materia de protección de datos personales, ya que el planteamiento que se ha utilizado es sectorial: existe un conjunto de leyes, reglamentos y medidas de autorregulación para cada sector. Esto crea una grave inseguridad jurídica en lo que se refiere a la transferencia internacional de datos desde la Unión Europea. El fin de Puerto Seguro es asegurar que la protección de datos existente en las empresas estadounidenses cumple con los requisitos que exigen los Estados miembros para que sea posible esa transferencia.

Los principios del acuerdo

El nivel adecuado de protección de la transferencia de datos desde la Unión Europea a los Estados Unidos se alcanzará por medio del cumplimiento de los siguientes principios:

Notificación: se debe informar a los usuarios de los fines con que se recoge y utiliza la información sobre ellos.

Opción: se tiene que ofrecer a los particulares la posibilidad de elegir si su información personal puede divulgarse o usarse para un fin incompatible con el objetivo inicial con el que fue recogida.

Transferencia ulterior: para poder ceder información a otras empresas se deben aplicar los principios de notificación y opción.

Seguridad: la empresa debe tomar precauciones razonables para evitar la pérdida, mal uso, consulta no autorizada, divulgación, modificación y destrucción de la información personal que haya recogido de los particulares.

Integridad de los datos: la información que se recoge debe ser pertinente para los fines con que se utiliza. De este modo, se tomarán medidas razonables para que los datos tengan fiabilidad para el uso previsto y sean exactos, completos y actuales.

Acceso: los particulares deberán tener acceso a los datos personales que las entidades tengan sobre ellos y poder corregir, modificar o suprimir la información cuando sea incorrecta. Se pueden dar dos excepciones a este principio: que proporcionar este acceso suponga un gasto desproporcionado o que se vulneren los derechos de otras personas.

Aplicación: tienen que estar disponibles ciertos mecanismos para garantizar la conformidad con los principios, vías de recurso para las personas a que se refieran los datos en caso de incumplimiento y sanciones contra la entidad incumplidora.

En relación con el último de estos principios, se establecen los siguientes factores fundamentales que deben darse en los mecanismos mencionados:

Organismos de EE.UU. reconocidos por U.E.: FTC y DOT

Una vía de recurso independiente con capacidad para investigar y resolver las denuncias y litigios de los particulares y otorgar daños y perjuicios en los casos en que sea necesario.
Procedimientos de seguimiento para comprobar que los certificados y declaraciones de las empresas en relación con el uso de la información personal se ajustan a la realidad.
Obligación de subsanar los problemas derivados del incumplimiento de los principios para las entidades que se hayan adherido a ellos y las sanciones correspondientes.

En el caso de Estados Unidos, los organismos jurídicos reconocidos por la Unión Europea como competentes para investigar las quejas y solicitar medidas provisionales contra las prácticas desleales o fraudulentas son: