El Escudo de Privacidad UE-EEUU es un marco para los intercambios transatlánticos de datos personales con fines comerciales entre la Unión Europea y los Estados Unidos. Uno de sus objetivos es permitir a las empresas estadounidenses recibir más fácilmente datos personales de entidades de la UE en virtud de las leyes de privacidad de la UE destinadas a proteger a los ciudadanos de la Unión Europea.
Hace casi tres años, los marcos del Escudo de Privacidad UE-EEUU y Suiza-EEUU sustituyeron a los programas de Puerto Seguro EEUU-UE y EEUU-Suiza como mecanismo de autocertificación para transferir datos personales desde la Unión Europea y Suiza, respectivamente.
Aunque la participación es completamente voluntaria y las organizaciones son libres de utilizar otros métodos legales para transferir datos desde la Unión Europea y Suiza (como las Cláusulas Contractuales Estándar publicadas por la Comisión Europea), la Comisión Federal de Comercio de EE.UU. ("FTC") puede tomar medidas en virtud de la Sección 5 de la Ley FTC cuando las empresas hacen afirmaciones engañosas sobre sus prácticas de privacidad y seguridad de datos, incluyendo su participación en programas internacionales de privacidad, como los marcos del Escudo de Privacidad.
Recientemente, parece que la FTC ha incrementado el control de las afirmaciones de las empresas sobre su participación en estos regímenes y está tomando medidas contra aquellas que falsean su cumplimiento de dichos programas.
Recientemente, la FTC llegó a un acuerdo con una empresa de verificación de antecedentes, SecurTest, Inc. ("SecurTest"), por las acusaciones de que la empresa había violado el artículo 5 de la Ley de la FTC al afirmar en su aviso de privacidad a los consumidores que participaba en los marcos del Escudo de Privacidad UE-EE.UU. y Suiza-EE.UU. y que había "certificado ante el Departamento de Comercio de EE.UU. que se adhiere a los Principios del Escudo de Privacidad".
Según la denuncia de la FTC, SecurTest solicitó al Departamento de Comercio su participación en ambos marcos, pero nunca completó el proceso, por lo que la afirmación en su aviso de privacidad de la participación en los marcos del Escudo de la Privacidad era falsa.
Según los términos del acuerdo, SecurTest debe:
- abstenerse de falsear su participación en el marco del Escudo de la Privacidad o en cualquier otro programa de privacidad o seguridad patrocinado por una agencia gubernamental o por cualquier organización autorreguladora o de establecimiento de normas;
- difundir entre sus partes interesadas el incumplimiento de la empresa, y;
- someterse a un control continuo del cumplimiento y a los requisitos de mantenimiento de registros.
La FTC también envió cartas de advertencia a más de una docena de empresas no identificadas por falsear su participación en los marcos de Puerto Seguro entre Estados Unidos y la UE y entre Estados Unidos y Suiza, que fueron invalidados en octubre de 2015 y cualquier autocertificación en virtud de esos programas ha expirado. Además, la FTC envió cartas de advertencia a dos empresas por afirmar falsamente que participaban en el sistema de Normas de Privacidad Transfronteriza de la Cooperación Económica Asia-Pacífico ("APEC CBPR"), un marco voluntario pero aplicable diseñado para proteger los datos de los consumidores que viajan entre los países miembros de la APEC.
La FTC solicitó que estas empresas eliminaran de sus sitios web, políticas de privacidad o documentos públicos cualquier declaración que afirmara la participación en cualquiera de los programas de puerto seguro, y solicitó que las dos empresas
- eliminar de sus sitios web, políticas de privacidad u otros documentos públicos cualquier declaración que pueda interpretarse como una afirmación de participación o implicación en el sistema CBPR de APEC
- demostrar que se han sometido a la revisión y certificación necesarias. Si las empresas no toman medidas en el plazo de 30 días, la FTC advirtió que emprendería las acciones legales pertinentes.
Las políticas de privacidad que afirman cumplir con programas o leyes invalidadas o actualizadas suponen claramente una bandera roja para los reguladores. En este caso más reciente, la FTC continuó su tendencia de vigilar agresivamente a las empresas que afirman falsamente que cumplen con el Escudo de Privacidad y que tergiversan su participación en otros programas transfronterizos.
Las empresas que siguen presentando al público su participación en estos programas después de no haber completado la certificación o la recertificación corren el riesgo de que la FTC les aplique.
Fuente y lecturas adicionales: Revista Nacional de Derecho