El Safe Harbor ya no existe. ¿Larga vida al Safe Harbor?

El uso compartido de datos prácticamente se ha dado por sentado en los últimos años. Naturalmente, desde una perspectiva técnica, el uso compartido de datos seguro se ha vuelto mucho más sencillo para los negocios gracias a los avances en la tecnología de la nube.

Sin embargo, al mismo tiempo, la carga de las regulaciones ha aumentado incesantemente, y esto preocupa a los negocios y a los departamentos de TI. La excepción fue el uso compartido de datos entre la Unión Europea y EE. UU., que se facilitó con las reglas de Safe Harbor de hace ya 15 años. Este acuerdo se diseñó para suavizar las restricciones de la transferencia de datos entre el Reino Unido y EE. UU., aparentemente para facilitar los negocios.

Pero todo esto cambió en octubre de 2015, cuando el Tribunal de Justicia de la Unión Europea (CJEU) determinó que el “Safe Harbor” no es válido por no respetar el derecho a la privacidad de los ciudadanos de la Unión Europea. Este veredicto tuvo un impacto amplio e inmediato en las empresas europeas y estadounidenses, y en la manera en que se transfieren datos entre ambos territorios. La transferencia de datos a empresas estadounidenses que anteriormente estaba cubierta bajo Safe Harbor ahora no es válida, y las empresas que no adoptan otras medidas alternativas corren el riesgo de recibir sanciones legales.

¿Qué sucede entonces con las más de 4000 empresas que dependían de las reglas de Safe Harbor para la transferencia de datos entre EE. UU. y la UE?  Después de todo, la teoría que respalda el surgimiento de Safe Harbor (acelerar la transferencia segura de datos entre EE. UU. y la UE para fomentar los negocios) aún es muy valiosa.

Una vez que se anunció el veredicto de la CJEU, las empresas buscaron inmediatamente alternativas como cláusulas de contrato modelo de la UE y Reglas corporativas vinculantes (BCR). Ahora la situación cambia nuevamente, con la noticia de que la UE y EE. UU. acordaron un nuevo tratado, el Safe Harbor 2.0, por llamarlo de alguna manera. Estas discusiones han tenido lugar desde 2013, y se espera un nuevo acuerdo pronto (se dice que la fecha límite nacional sería para fines de enero de 2016).

Mientras tanto, las empresas pueden prepararse mejor para el nuevo Safe Harbor evaluando sus opciones. Esto significa que deben examinar sus flujos de datos y evaluar la escala y la confidencialidad de la información compartida. Revisar los contratos existentes con los proveedores de la nube para ver si ya incluyen el uso de cláusulas modelo. En caso negativo, intentar hallar un proveedor que lo haga, o modificar el acuerdo actual para reducir las interrupciones del flujo de trabajo antes de hallar una solución a largo plazo. Verificar con un abogado especializado en privacidad de datos para garantizar la cobertura total.

Ya no se puede dar por garantizado el uso compartido de datos. Las empresas y sus proveedores de la nube son responsables de proteger los datos personales, y su responsabilidad solo aumentará con el inicio de la Regulación de protección de datos general de la UE, probablemente en 2016. Las penalidades por los delitos son bien conocidas y severas, y no hay chivos expiatorios para las empresas que no se adapten.