Privacy Shield 3.0: nou acord entre els EUA i Europa sobre privacitat

Pot ser que els posts sobre assumptes legals no siguin el més “sexy” del màrqueting digital, però el que sí que tenim tots clar és que resulta importantíssim conèixer el marc legal de la nostra activitat.

 El Privacy Shield 3.0 pot suposar un canvi en l'eCommerce, tan transcendental com va ser-ho en el seu moment la revocació de l'acord anterior davant els recels que la Unió Europea tenia respecte de les normatives nord-americanes de protecció de dades.

Per entendre millor per què ha calgut aquesta evolució, és important tenir clar d'on venim.

 L'assumpte de la transferència de dades entre els Estats Units i Europa està sent un maldecap per als dos organismes des que el comerç electrònic va començar a agafar força.

 Els europeus, per norma, són força més escrupolosos en el compliment de lleis com la RGPD, cosa a la que cal sumar les normatives nacionals, que complementen i enriqueixen aquest marc legal (n'hi ha prou de recordar, per exemple, com l’AEPD va obrir expedient a ChatGPT). Els americans, per la seva banda, no direm que siguin més laxos, però tenen una altra perspectiva de l'assumpte i les seves pròpies normes, que no sempre estan alineades amb les europees.

Per això es va arribar a un acord transatlàntic de protecció de dades sota el nom de Safe Harbour. No era perfecte, però permetia que negocis com les botigues online o eines que recollien dades personals, com les d’emailing, poguessin operar.

 Què es consideren dades de caràcter personal per part de la UE? Qualsevol informació relativa a persones físiques: noms, cognoms, adreça, telèfon, email, matrícula d'un vehicle, imatges, vídeos…

 El tractament d'aquestes dades per part de qualsevol entitat, dins o fora de l'Espai Econòmic Europeu, exigia el seguiment d’un protocol que la Unió Europea va entendre que no estava sent aplicat de la manera desitjable. Entre altres coses perquè els Estats Units permetien l'accés a les dades i les transferències de dades, i no permetien cap recurs davant cap entitat.

 L'activista austríac Max Schrems va elevar un recurs davant el Tribunal de Justícia de la Unió Europea demostrant que els Estats Units estava vulnerant la protecció de dades i, el 2015, es va dictar sentència a favor de Schrems amb la què es va anul·lar el Safe Harbour.

 Això va provocar un petit terratrèmol al panorama digital, incloses algunes multes sonades com la que es va emportar Facebook. Això va fer que molts eCommerce nord-americans suspenguessin la seva activitat a Europa.

Per sortejar el gran cavall de batalla, l’entrebanc que havia fet caure el primer acord de protecció de dades transatlàntic, se'n va establir un de nou en tan sols un any.

 Sota el nom de Privacy Shield, i gràcies a la limitació de l'accés a la informació per part de les agències de seguretat, la inclusió d'un defensor del poble en aquesta matèria i altres canvis efectuats pel govern nord-americà, semblava que podia arribar-se a una entesa.

 Però Max Schrems no pensava el mateix. Per això va tornar a presentar-se davant del TJUE i, una vegada més, va aconseguir fer caure l'acord.

Així arribem al juliol de 2023, amb la necessitat de solucionar un problema força urgent, especialment en aquest entorn on el mercat està globalitzat.

 El passat dia 10 de juliol va veure la llum el Privacy Shield 3.0, amb l'objectiu de “garantir el flux de dades segures per als europeus (suïssos i anglesos inclosos) i que garantirà la seguretat jurídica a totes dues bandes de l'Atlàntic”, en paraules de la presidenta Ursula von der Leyen.

 Per què aquesta vegada hauria de prosperar? Aquestes són les raons que esgrimeix:

•  Es crea el DPRC: un tribunal de protecció de dades que exerceix com a garant dels drets dels usuaris. El DPRC té l'objectiu de mediar entre aquests i les empreses, fins i tot fixant-ne les mesures de reparació rellevants.

• Es limita més l'accés als serveis d'intel·ligència dels Estats Units. Per fer ús de les dades emmagatzemades, han de demostrar que els cal aquest accés, i només tenen dret a utilitzar els que siguin estrictament precises de manera proporcional. Si recullen dades personals fora d'aquest supòsit, la seva obligació és esborrar-les immediatament (tot i que això no els eximeix de responsabilitat penal).

 És prou canvi pel que fa al seu antecessor? Sembla difícil saber-ho sense ser jurista, però la sensació que dóna és de ser una mica més del mateix. La veritat és que s'ha evolucionat i que, de moment,la prohibició als Estats Units ha estat aixecada per la UE.

Imatges | Unsplash, Bonobos.