Safe Harbor vs LOPD
La Directiva de la Comisión Europea sobre protección de datos entró en vigor en octubre de 1998, y prohíbe la transferencia de datos de carácter personal a países no pertenecientes a la Unión Europea, que no cumplen con la adecuación estándar de protección de datos dentro de la Unión Europea.
Cualquier entidad estadounidense que quiera ser receptora de transferencias internacionales de datos de carácter personal procedentes de la Unión Europea, tienen que adherirse al acuerdo Safe Harbor (Puerto Seguro). Por lo que, si una organización está adherida a dicho acuerdo, se considera que cumple con los principios de privacidad necesarios, y el destino es “confiable”.
Desde los inicios, este acuerdo ha recibido multitud de críticas en cuanto a lo sencillo que resulta obtener el certificado y las pocas garantías que éste ofrece: para obtenerlo basta con abonar las tasas correspondientes y hacer una declaración en la cual se compromete a cumplir con 7 principios de privacidad:
- Notice: Deber de información (o notificación). Las entidades adheridas a Safe Harbor deben informar a los interesados de las finalidades para las cuales han sido recabados sus datos y sobre la forma en que se utilizarán.
- Choice:El principio del principio del consentimiento del afectado. Corresponde al interesado o afectado el poder decidir acerca de la recogida y la transferencia de sus datos de carácter personal a terceros.
- Transfers to Third Parties: Sólo será posible la transferencia de datos cuando las entidades o países destinatarios estén suscritos al acuerdo Safe Harbor o sean países miembros de la Unión Europea.
- Access: Las personas deben ser capaces de acceder a la información y corregirla o eliminarla si no es exacta, a efectos de poder ejercitar los derechos ARCO.
- Security: El principio de seguridad de los datos: “adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado”.
- Data Integrity: El principio de calidad de los datos. Los datos deben ser fiables y consecuentes con el propósito para el que fueron recopilados.
- Enforcement: Este principio se refiere a la concreta aplicación o ejecución de todo lo que conlleva Safe Harbour. Es un principio controvertido por su ambigüedad, que dispone que para garantizar el cumplimiento de los postulados de Safe Harbor, deben articularse mecanismos independientes de resolución de conflictos y de verificación del cumplimiento de los principios Safe Harbor, con potestad para sancionar, en su caso.
Una de las graves deficiencias de dicho acuerdo, es que la verificación del cumplimiento, la realizan las propias entidades sin un control externo, en España, estas competencias son asumidas por la Agencia Española de Protección de Datos. Esto, unido a la libre interpretación de los principios, hace que el nivel de protección o acceso aplicado a la información pueda ser insuficiente.
A parte, otros estudios sobre Safe Harbor han dado como resultado un escandaloso descontrol en cuanto a las empresas adheridas a este marco: listado desfasado de empresas (donde aparecen entidades que ya no existen o que han quedado fuera de Safe Harbor), empresas incluidas en la relación de entidades adheridas pero que carecen de política de privacidad y, lo más preocupante, la mayoría de empresas adheridas no cumplía con el séptimo principio (o lo hacían impracticable), relativo al mecanismo de resolución de controversias.
Áudea Seguridad de la Información
Carlos José Alcón Creus
Consultor de Seguridad TIC