La Comisión Europea finalmente ha otorgado al Reino Unido la adecuación de los datos, solo dos días antes de la expiración del período de transición extendido para los flujos de datos. Esto significa que, por ahora, las empresas europeas pueden seguir enviando datos al Reino Unido sin garantías ni trámites adicionales. Esta es una gran noticia para UK plc, especialmente para el sector tecnológico, pero hay un aguijón en la cola.
La decisión de adecuación del Reino Unido es especialmente vulnerable. Tiene una cláusula de caducidad, por lo que deberá revisarse formalmente y presentarse nuevamente para su aprobación en 2025.
Estará bajo revisión continua porque la Comisión, el Parlamento Europeo y la Junta Europea de Protección de Datos temen que el Reino Unido tenga la intención de diferir significativamente del enfoque de protección de datos consagrado en el Reglamento General de Protección de Datos (GDPR).
La CE ya ha incluido una excepción: los datos no pueden transferirse al Reino Unido con el fin de procesar la inmigración, porque el Tribunal de Apelación del Reino Unido dictaminó que las exenciones de protección de datos del Reino Unido para el control de inmigración son ilegales.
Miedos futuros
Hay dos razones para temer por el futuro de la adecuación del Reino Unido. En primer lugar, la Junta Europea de Protección de Datos (EDPB) y las autoridades de supervisión que la integran continúan centrándose en las transferencias de datos personales a países que operan con vigilancia masiva.
El ímpetu de esta actividad de ejecución proviene de la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJCE) en julio de 2020, que derogó el acuerdo de adecuación entonces vigente para los EE. UU. Debido a la vigilancia excesiva de los ciudadanos extranjeros.
Sin embargo, el TJCE también encontró que el régimen de vigilancia equivalente del Reino Unido, según lo promulgado en la Ley de Poderes de Investigación, era ilegal en octubre de 2020. La adecuación del Reino Unido seguramente enfrentará desafíos legales como consecuencia y sería difícil para el TJUE mantener su posición sobre los EE. UU. al tiempo que permite que continúe la adecuación del Reino Unido.
El Reino Unido también continúa señalando su intención de divergir sustancialmente del consenso europeo sobre protección de datos. La narrativa se extiende a lo largo de la Estrategia Nacional de Datos, lanzada en septiembre de 2020, el mismo artículo de opinión pública de Oliver Dowden, el secretario de estado de digital, cultura, medios y deporte publicado en el Tiempos financieros en febrero de este año, y el Grupo de Trabajo sobre Innovación, Crecimiento y Reforma Regulatoria (TIGRR) liderado por Iain Duncan Smith, que emitió su informe a principios de junio de 2021.
Hay aspectos comunes en el enfoque del Reino Unido en todo momento: la protección de datos es una carga onerosa; debería ser más fácil monetizar los datos personales; debería haber menos regulación de la llamada inteligencia artificial (IA); el regulador debe apoyar la explotación comercial de datos personales.
Todos estos están en desacuerdo con la posición europea.
Derechos fundamentales
La protección de datos está consagrada en la Carta de los Derechos Fundamentales de la UE – irónicamente, por supuesto, inspirada en el Convenio Europeo de Derechos Humanos redactado originalmente por los británicos – como el octavo derecho humano básico. Europa no ve la protección de datos como una burocracia superflua, sino como una parte vital del equilibrio entre los ciudadanos, el gobierno y la empresa privada.
Según esa visión europea, los derechos tienen prioridad sobre los ingresos. El Reino Unido parece estar alineándose más estrechamente con la posición de los EE. UU., Como lo ejemplifica la Ley de Privacidad del Consumidor de California, donde el enfoque está menos en proteger a los ciudadanos del abuso de sus datos y más en asegurar que vean una porción de las ganancias de la venta de sus datos. Esto se hace explícito en el informe TIGRR en particular, que no solo establece (en el párrafo 205) que “los datos personales son moneda corriente”, sino que también sugiere que el estado podría desarrollar algún mecanismo de participación en los ingresos.
La inteligencia artificial, o aprendizaje automático, como se conoce más correctamente, se considera en Europa como un riesgo significativo para las personas. No hay escasez de evidencia de que el aprendizaje automático puede consagrar sesgos raciales, de género y de privilegios; hemos visto ejemplos recientes que incluyen la evaluación de riesgos automatizada previa al juicio en los EE. UU. Sesgada en contra de las personas de color; El proceso de selección de candidatos de IA de Amazon que discrimina a las mujeres; y la intolerancia generalizada en la base de datos de ImageNet. También hemos visto iniciativas europeas para fortalecer las protecciones contra posibles daños de la toma de decisiones automatizada, incluida la legislación promulgada en Dinamarca y la propuesta de Reglamento de la UE para la IA.
La independencia del regulador de protección de datos es una consideración clave para determinar la adecuación, de acuerdo con el Artículo 45.2 (b) del GDPR. La eficacia del regulador del Reino Unido, la Oficina del Comisionado de Información, ya ha sido cuestionada, y la sugerencia de Dowden de que el próximo comisionado será un designado político encargado de garantizar que “la gente pueda usar los datos para lograr objetivos económicos” sugiere además que el Reino Unido no está interesado en que el gobierno o el sector privado rindan cuentas.
Si el Reino Unido continúa por su camino actual, podemos esperar ver desafíos legales presentados por grupos de presión en el Reino Unido y Europa, con una gran probabilidad de que el TJCE fallará a su favor.
También podemos esperar que la EDPB y sus miembros constituyentes presionen a la Comisión Europea para que revise la decisión de adecuación e imponga excepciones adicionales o la derogue por completo.
Y, sobre todo, podemos esperar que las empresas y los consumidores de la UE voten con los pies. Enviar datos a países sin adecuación es mucho más oneroso de lo que solía ser: ¿por qué arriesgarse a realizar transferencias al Reino Unido si la adecuación está a un caso judicial o la decisión de la Comisión de perderse?
Los ciudadanos del Reino Unido serán los verdaderos perdedores, atrapados entre la presión económica de la reducción de los negocios con Europa, por un lado, y la dilución de sus derechos fundamentales a la privacidad y la protección de datos, por el otro.
Ben Rapp es cofundador de Securys, un consultoría de privacidad que ayuda a las empresas a generar confianza entre las partes interesadas al brindar privacidad de datos a nivel mundial y local.