¿Cómo pudiere llegar a afectar el Acuerdo denominado “Privacy

 ¿Cómo pudiere llegar a afectar el Acuerdo denominado “Privacy Shield” a las empresas mexicanas? Isabel DAVARA Alexis CERVANTES Marzo 2016 Mucha gente, especialmente en Europa y en Estado Unidos, está hablando del denominado Acuerdo Privacy Shield (APS), el cual, como ya ustedes saben, constituye el nuevo marco legal para regular las comunicaciones de datos personales entre Europa y Estados Unidos. Podría decirse que el origen de este nuevo marco regulatorio es la sentencia emitida por la Corte de Justicia Europea, de fecha 06 de octubre de 2015, a través de la cual,entre muchas otras cosas, la Corte decidió declarar como inválido el Acuerdo de Safe Harbor, por lo que, no está de más afirmar, que el APS es un nuevo marco regulatorio que sustituye al invalidado Acuerdo de Safe Harbor. Dicho lo anterior, a muchos les hará ruido el título del presente artículo y se preguntarán, sin lugar a dudas, el porqué un país como México, el cual en materia de protección de datos personales podría concebirse como un país independiente de Estados Unidos y de Europa, y quien, al parecer, no tendría ni vela en el entierro respecto de las reglas establecidas para legitimar las comunicaciones de datos personales entre Europa y Estados Unidos, podría tener interés alguno en el APS. Pues bien, a continuación expondremos las razones por las cuales las empresas mexicanas podrían llegarse a ver afectadas por el APS. Antes de comenzar a exponer estas razones, es conveniente precisarle que hemos considerado que la metodología ideal a utilizar en el presente artículo para transmitirle, con la mayor claridad posible, el porqué en efecto el APS tiene una importante injerencia en las empresas mexicanas es mediante la exposición de casos prácticos; cuando hacemos mención de “casos prácticos” nos estamos refiriendo a situaciones que, en el día a día, viven las empresas mexicanas; situaciones que, como decíamos, nos permitirán observar la afectación y/o impacto que tiene el APS en las empresas mexicanas. Dicho lo anterior y adentrándonos en la parte medular del presente artículo, a continuación exponemos un primer caso en el cual se verá reflejado como una empresa mexicana llegar a tener una afectación directa por el APS. Caso 1. Regresemos el tiempo y pensemos que estamos en el año de 2010; año en que estaba vigente el Acuerdo de Puerto Seguro. Ahora pensemos en una empresa mexicana que tiene celebrado un acuerdo comercial con una empresa europea (2010), supongamos que dicha empresa está constituida en España. Dicho acuerdo comercial consiste en que la empresa mexicana le gestione a la empresa española su nómina, para lo cual se vuelve indispensable que la empresa española transfiera (en términos de la normatividad europea, remita en términos de la normatividad mexicana) a la empresa mexicana los datos personales necesarios de sus empleados para llevar a cabo, como decíamos, la gestión de nómina. Ahora, imaginemos que la plataforma mediante la cual la empresa mexicana realizará las operaciones necesarias para gestionar la nómina de la empresa española pertenece a una empresa estadounidense – adherida al antiguo Acuerdo de Puerto Seguro -­‐, por lo que la empresa mexicana para cumplir con los servicios contractualmente acordados con la empresa española debe remitir a su vez los datos personales de los empleados de la empresa española a una empresa estadounidense. Como estamos en el año de 2010, es evidente que el hecho de que la empresa estadounidense está adherida al Acuerdo de Puerto Seguro facilitaba a la empresa mexicana subcontratar parte de sus servicios con dicha empresa, lo que llegaba a representar una cuestión importante para que la empresa mexicana pudiere competir ante otras empresas, especialmente europeas, en el mercado, puesto que si la empresa mexicana le informaba a la empresa española que su prestador de servicios, empresa estadounidense, estaba adherida al Acuerdo de Puerto Seguro, entonces lo anterior facilitaba que la empresa española contratara a la empresa mexicana ya que la empresa mexicana era capaz de garantizar que durante la prestación de servicios los datos personales de los cuales es Responsable la empresa española serían tratados, tanto por la empresa mexicana como por la estadounidense, conforme a los principios y deberes exigidos por las normatividades europeas en materia de protección de datos personales; facilitando de esta manera que la empresa española contratara a la empresa mexicana y se abstuviera de buscar otras opciones. Ahora bien, con la invalidez del Acuerdo de Puerto Seguro las empresas mexicanas que tenían subcontratados servicios con empresas estadounidenses adheridas al Acuerdo de Puerto Seguro respecto de relaciones comerciales que mantenían con empresas europeas tuvieron la necesidad, en muchos casos, de buscar otros prestadores de servicios en otros países, con todo lo que ello implicó, y a muchos otros, por supuesto, ni siquiera les dieron esa oportunidad, sino que simplemente la empresa europea les rescindió el contrato. Lo anterior refleja parte de la gran importancia que tiene para las empresas mexicanas el que exista un marco legal que regule eficazmente las comunicaciones de datos personales entre Europa y Estados Unidos (APS), ya que, en primer lugar, son muchísimas las empresas mexicanas que tienen servicios subcontratados con empresas estadounidenses (especialmente tecnológicos), y, en segundo lugar, el hecho de que una empresa mexicana tenga la certeza respecto de que la empresa estadounidense cumple con las reglas aprobadas entre Europa y Estados Unidos en cuanto a los tratamientos de datos personales que lleve a cabo, le representa poder ofrecer más fácilmente sus servicios a empresas europeas, por supuesto cumpliendo con la reglamentación europea en primer lugar desde la empresa mexicana, y por ende poder competir, por lo menos en lo que respecta al ámbito de datos personales, de igual a igual, ante otras empresas europeas, puesto que, si antes el tema de datos personales representaba un obstáculo para la empresa mexicana al no poder garantizar que sus prestadores de servicios estadounidenses cumplían con las reglas necesarias de protección de datos personales aprobadas por Europa, con la aprobación del APS lo anterior deja de ser así. Caso 2. Otro ejemplo muy claro de lo anterior se plasma con frecuencia en el entorno de cómputo en la nube, donde una empresa con matriz mexicana, pero con sede de operaciones en Europa, con frecuencia contrata servicios de alojamiento y/o gestión en la denominada nube, sujetándose este tratamiento en cuestión a la legislación norteamericana. Pero, en materia de protección de datos personales, para que esa comunicación tenga lugar, en la práctica, antes hacía necesario que la empresa estadounidense estuviera en el esquema de Puerto Seguro, y, ahora, según todo parece, que cumpla las condiciones del Privacy Shield. Así, cuando una empresa mexicana, desde su establecimiento en Europa, quiera tratar datos en la nube en un servicio regido bajo la legislación estadounidense, debe comprobar que su proveedor está bajo dicho Acuerdo de Privacy Shield. Para ello, muy brevemente, se podrá ir a la lista que el Departamento de Comercio tendrá conteniendo a las empresas certificadas, y comprobar que se encuentra allí. Estas empresas tendrán que haber cumplido los siete principios que exige el Acuerdo y que son más exigentes que el anterior Acuerdo de Puerto Seguro (Aviso, elección, responsabilidad demostrable en transferencias y remisiones ulteriores, seguridad, integridad de los datos y limitación con base en la finalidad del tratamiento, acceso y recursos, reparación del daño y responsabilidad). De ellos, además de la concreción más exhaustiva de cada uno de los principios, el último es el que más relevancia tiene y más cambios introduce en este nuevo Acuerdo. Lo que la Comisión Europea persigue es establecer un régimen de protección y remedios más concretos y efectivos en un entorno en el que no se dispone de una ley comprehensiva por la que se pueda evaluar el nivel de protección del país, sino un crisol de normas sectoriales y locales. Así, las empresas que decidan transferir, desde sus establecimientos en Europa, datos a Estados Unidos, deberán tener en cuenta que tienen la responsabilidad demostrable en relación con esos terceros a los que les comunican los datos. Para conocer más sobre el Privacy Shield, no deje de consultar: https://iapp.org/news/a/we-­‐readprivacy-­‐ shield-­‐so-­‐you-­‐dont-­‐have-­‐to/ Por supuesto, de la mano de lo anterior, quedan todas las complejas transferencias y/o remisiones de datos (entre responsables o entre responsable y encargado) que se realizan entre estos establecimientos europeos y México, y viceversa. Por un lado, la legislación mexicana, aún parca en estos extremos, señala que las transferencias internacionales en México, deberán someterse a las mismas reglas que las nacionales (consentimiento del titular o excepciones al mismo, así como sujetarse al aviso de privacidad), y que se le podrá preguntar al INAI en caso de duda. Sin embargo, en este orden de ideas, existe otra precisión, si las transferencias se realizan entre empresas del grupo, sujetas a unas mismas políticas de protección y estándares, no se requiere el consentimiento del titular. Por otro, si la transferencia (o remisión) proviene del establecimiento europeo hacia México, como sabemos, la legislación europea es muy tajante al establecer que sólo se podrán realizar dichas comunicaciones a terceros países con nivel adecuado de protección, que no es todavía el caso mexicano, o si se utiliza alguna de las medidas contractuales (cláusulas o Binding Corporate Rules) aprobadas por la Comisión Europea, siendo necesario, además, en algunos países, haber registrado dichas transferencias, y en su caso haber obtenido la autorización sobre el instrumento utilizado, ante la autoridad competente (como en España, por ejemplo). Así, de nuevo nos encontramos ante que la normatividad en protección de datos personales traspasa muchos ámbitos cotidianos, apareciendo su influencia en negocios y transacciones que antes, especialmente en México, no parecían tener ninguna implicación jurídica en este sentido.