La Unión Europea y los EE. UU. llegaron a un acuerdo de alto nivel para permitir el intercambio transatlántico de datos en virtud de un acuerdo que promete mejores derechos de privacidad para los ciudadanos de la UE y una supervisión más estricta de la recopilación de inteligencia de los EE. UU.
El presidente Joe Biden y Ursula von der Leyen, presidenta de la Comisión Europea, anunciaron que la UE y los EE. UU. habían llegado a un acuerdo sobre un sucesor del acuerdo de intercambio de datos del Escudo de privacidad, declarado ilegal en julio de 2020 por un tribunal de la UE.
La Casa Blanca dijo que EE. UU. acordó ampliar su supervisión de la inteligencia de señales de EE. UU., fortalecer las salvaguardas de las libertades civiles y crear un nuevo mecanismo legal vinculante que otorgará a los ciudadanos de la UE derechos de reparación si creen que se ha abusado de sus datos.
El Marco Transatlántico de Privacidad de Datos promete el fin de casi dos años de incertidumbre legal, particularmente para las pequeñas y medianas empresas que en gran medida se basaron en el Escudo de privacidad como su única base legal para compartir datos entre Europa y EE. UU.
Pero quedan dudas sobre si algún acuerdo satisfará plenamente las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea sobre los derechos de reparación de los ciudadanos de la UE en los EE. UU. si se viola su privacidad si, como es probable, el nuevo acuerdo está sujeto a un desafío legal en la Unión Europea. Corte de Justicia.
Biden dijo en una conferencia de prensa que la UE y EE. UU. habían alcanzado un “gran avance” después de que EE. UU. acordara “protecciones sin precedentes para la privacidad y seguridad de los datos”.
“Este nuevo acuerdo mejorará el marco del Escudo de privacidad, promoverá el crecimiento y la innovación en Europa y Estados Unidos y ayudará a las empresas, tanto pequeñas como grandes, a competir en la economía digital”, dijo.
El acuerdo permitiría a la Comisión Europea autorizar flujos de datos que ayuden a facilitar 7,1 billones de dólares en relaciones económicas con la UE.
Ursula von der Leyen dijo que el acuerdo salvaguardaría la privacidad y las libertades civiles al tiempo que permitiría flujos de datos “predecibles y confiables” entre la UE y EE. UU.
La decisión fue bien recibida por las grandes empresas tecnológicas. Nick Clegg, presidente de asuntos globales del propietario de Facebook, Meta, que está sujeto a una decisión inminente del Comisionado de Protección de Datos de Irlanda sobre la legalidad de sus transferencias de datos entre la UE y EE. UU., dijo que la decisión proporcionaba la certeza que tanto necesitaba.
“Con la creciente preocupación por la fragmentación global de Internet, este acuerdo ayudará a mantener a las personas conectadas y los servicios en funcionamiento. Brindará una certeza invaluable para las empresas estadounidenses y europeas de todos los tamaños, incluida Meta, que dependen de la transferencia de datos de manera rápida y segura”, dijo. escribió en Twitter.
Tribunal de Revisión de Protección de Datos
La Casa Blanca dijo que un nuevo marco de intercambio de datos otorgaría a los ciudadanos de la UE el derecho de reparación si creen que su privacidad se ha visto comprometida, a través de un Tribunal de Revisión de Protección de Datos independiente integrado por funcionarios no gubernamentales.
EE. UU. también aseguró que la recopilación de inteligencia de señales solo se “realizará cuando sea necesario para promover los intereses legítimos de seguridad nacional” y no afectará “desproporcionadamente” los derechos de privacidad y las libertades civiles de las personas.
Las agencias de inteligencia de EE. UU. “adoptarán procedimientos para garantizar una supervisión efectiva de los nuevos estándares de privacidad y libertades civiles”, según un informe de la Casa Blanca.
El acuerdo principal sigue a más de un año de negociaciones detalladas entre funcionarios de EE. UU. y la UE.
La Casa Blanca dijo que se espera que las organizaciones que se registren en el nuevo marco cumplan con los principios de Privacy Shield. Al igual que con Privacy Shield, podrán autocertificar su cumplimiento con el nuevo marco a través del Departamento de Comercio de EE. UU.
EE. UU. dijo que los ciudadanos de la UE tendrían acceso a “múltiples vías de recurso” para resolver las quejas sobre el uso de sus datos por parte de las organizaciones estadounidenses. Esto incluiría la resolución alternativa de disputas y el arbitraje vinculante.
Biden introducirá las medidas legales requeridas en los EE. UU. para implementar el acuerdo a través de una Orden Ejecutiva, que será evaluada por la Comisión Europea antes de tomar una decisión sobre la adecuación de los datos sobre los EE. UU.
Desafío legal probable
No está claro si las concesiones hechas por los EE. UU. serán suficientes para evitar un nuevo desafío legal sobre la legalidad del intercambio de datos entre la UE y los EE. UU., luego de las decisiones del Tribunal Europeo de eliminar Privacy Shield en 2020 y su predecesor, Safe Harbor en 2015. .
Ambos casos fueron presentados por el abogado activista austriaco, Max Schrems, quien dijo que llevaría cualquier nuevo acuerdo que no cumpla con la legislación de la UE al Tribunal de Justicia de la Unión Europea a los pocos meses de su finalización.
“El texto final necesitará más tiempo, una vez que llegue lo analizaremos en profundidad, junto con nuestros expertos legales de EE. UU. Si no está en línea con la legislación de la UE, es probable que nosotros u otro grupo lo impugnemos. Al final, el La Corte de Justicia decidirá por tercera vez. Esperamos que esto vuelva a la Corte dentro de unos meses a partir de una decisión final”, dijo.
Cumplimiento normativo
La finalización de un acuerdo pondrá fin a más de 18 meses de inseguridad jurídica para las organizaciones de EE. UU. y la UE que comparten datos.
Un año después de la decisión de anular el Escudo de privacidad, en lo que se conoció como el caso Schrems II, algunas empresas optaron por localizar los datos o detener por completo las transferencias de datos.
También ha habido un aumento en la aplicación de las normas contra las empresas, lo que ha dificultado la transferencia de datos al extranjero, dijo Caitlin Fennessy, vicepresidenta y directora de conocimientos de la Asociación Internacional de Profesionales de la Privacidad (IAPP).
“La aplicación se ha intensificado, lo que reduce las opciones de cumplimiento de las empresas y aumenta los riesgos y desafíos asociados con la transferencia de datos. Esto ha llevado a un mayor interés en la localización de datos y ha hecho que algunas empresas de la UE cuestionen la legalidad de trabajar con socios extranjeros de larga data”, dijo a Computer Weekly.
Los funcionarios de la UE y los EE. UU., la comunidad de inteligencia y los políticos han estado negociando un reemplazo para Privacy Shield desde 2020.
En los últimos tres meses, El comisionado de la UE, Didier Reynders, y la secretaria de comercio de EE. UU., Gina M. Raimondo, han liderado conversaciones más detalladas.
Los negociadores de la UE y EE. UU. ahora trabajarán en los detalles finos del acuerdo, que requerirá la aprobación de los estados miembros de la UE.
Pequeñas y medianas empresas
Thomas Boué, director general de política para Europa en BSA, un grupo comercial de software, dijo a Computer Weekly que un Escudo de privacidad revisado tendría beneficios significativos para las pequeñas y medianas empresas.
Actualmente, las empresas deben utilizar acuerdos legales, conocidos como Cláusulas contractuales estándar (SCC, por sus siglas en inglés), que requieren negociaciones complejas y la implementación de cambios en los contratos, dijo.
“Privacy Shield es una forma mucho más fácil de transferir datos, ya que existe un acuerdo entre la UE y EE. UU. de que su protección de datos es equivalente, por lo que no es necesario que las empresas acreditadas tomen medidas adicionales”, dijo.
Fennessy de IAPP le dijo a Computer Weekly que esperaba que los reguladores y los tribunales probaran el marco de reemplazo del Escudo de Privacidad “casi inmediatamente”. Pero dijo que la UE y EE.UU. tenían interés en negociar un acuerdo duradero.
“Los negociadores de EE. UU. y la UE ciertamente lo reconocieron y comparten el interés de las personas y las empresas en un marco duradero. Si bien no hemos visto los detalles, sabemos que este acuerdo no se logró de la noche a la mañana”, dijo.
Guillaume Couneson, socio de protección de datos del bufete de abogados global Linklaters en Bruselas, dijo que la capacidad de transferir datos personales a través del Atlántico a través de un nuevo acuerdo de Escudo de privacidad impulsaría el crecimiento económico.
“Para las empresas con presencia tanto en la UE como en los EE. UU., la posibilidad de transferir datos personales de forma segura a través del Atlántico y de conformidad con las normas de protección de datos aplicables es fundamental para el negocio”, dijo.