La Comisión Europea (CE) ha otorgado adecuación de datos a los EE. UU., lo que permite a las empresas transferir libremente datos personales a través del Atlántico sin necesidad de salvaguardas adicionales.
La idoneidad de los datos se otorgó específicamente en relación con el marco de privacidad de datos de la UE y los EE. UU., que está diseñado para mejorar la seguridad de los flujos de datos transatlánticos y abordar las preocupaciones que surgen de la anulación del Escudo de privacidad de datos de la UE y los EE. UU. por parte del Tribunal de Justicia Europeo (TJCE). acuerdo de reparto en julio de 2020.
El tribunal dijo en su fallo, coloquialmente conocido como Schrems II en honor al abogado austriaco que llevó el caso al TJUE, que el acuerdo anterior no garantizaba a los ciudadanos europeos un derecho de reparación adecuado cuando la Agencia de Seguridad Nacional de EE. UU. (NSA) recopila datos. y otros servicios de inteligencia estadounidenses.
El fallo también arrojó dudas sobre la legalidad del uso de cláusulas contractuales estándar (SCC, por sus siglas en inglés) como base para las transferencias internacionales de datos y descubrió que, aunque eran legalmente válidas, las empresas aún tenían la responsabilidad de garantizar que aquellos con quienes compartían los datos otorgaran protecciones de privacidad equivalentes. a las contenidas en la legislación de la UE.
Desde Schrems II, la Comisión ha estado en conversaciones con Washington sobre la creación de un nuevo marco de intercambio de datos que podría abordar los problemas planteados por el tribunal, y las dos partes llegaron a un acuerdo “en principio” de alto nivel en marzo de 2022 que otro el acuerdo podría firmarse si EE.UU. proporciona ciertas garantías.
Esto incluyó que EE. UU. aceptara ampliar su supervisión de la inteligencia de señales de EE. UU., fortalecer las garantías de las libertades civiles y crear un nuevo mecanismo legal vinculante que otorgará a los ciudadanos de la UE derechos de reparación si creen que se ha abusado de sus datos.
Estos cambios se implementaron posteriormente en la ley de EE. UU. a través de una Orden Ejecutiva de octubre de 2022 firmada por el presidente Joe Biden, así como las regulaciones emitidas por el fiscal general de EE. UU. Merrick Garland el mismo mes, lo que llevó a la CE a otorgar un borrador de decisión de adecuación de datos a favor de EE. UU. ese diciembre.
Ahora que se ha otorgado la idoneidad de los datos, el nuevo Marco de Privacidad de Datos crea “salvaguardas vinculantes” que incluyen la creación de un Tribunal de Revisión de Protección de Datos (DPRC) al que tendrán acceso los ciudadanos de la UE, restringiendo el acceso de los servicios de inteligencia de EE. UU. a los datos de la UE a lo que es necesario y proporcionado, y exigir a las empresas que eliminen los datos personales cuando ya no sean necesarios para el fin para el que fueron recopilados.
“El nuevo marco de privacidad de datos UE-EE. UU. garantizará flujos de datos seguros para los europeos y brindará seguridad jurídica a las empresas de ambos lados del Atlántico. Tras el acuerdo de principio alcanzado con el presidente Biden el año pasado, Estados Unidos ha implementado compromisos sin precedentes para establecer el nuevo marco”, dijo la presidenta de la UE, Ursula von der Leyen.
“Hoy damos un paso importante para brindarles a los ciudadanos la confianza de que sus datos están seguros, para profundizar nuestros lazos económicos entre la UE y los EE. UU. y, al mismo tiempo, para reafirmar nuestros valores compartidos. Muestra que, trabajando juntos, podemos abordar los problemas más complejos”.
Si quieren compartir datos entre la UE y los EE. UU., las empresas de ambos lados del Atlántico ahora deberán suscribirse al marco, que será revisado periódicamente por la CE, los organismos europeos de protección de datos y las autoridades competentes de los EE. UU.
La primera revisión tendrá lugar dentro de un año de la decisión de adecuación para garantizar que todos los elementos relevantes se hayan implementado completamente en el marco legal de los EE. UU. y funcionen de manera efectiva en la práctica.
El anuncio de la decisión de adecuación de la UE sigue a los gobiernos del Reino Unido y EE. UU. comprometiéndose en principio con un nuevo acuerdo de puente de datos a principios de junio de 2023, que se conoce oficialmente como la Extensión del Reino Unido del Marco de Privacidad de Datos UE-EE. UU.
El anuncio del puente de datos fue seguido por otro anuncio a principios de julio de 2023 de que el Reino Unido recibirá el estatus de “asociado” en el foro de Reglas de privacidad transfronterizas globales (CBPR), que se estableció en abril de 2022 para facilitar el libre flujo de datos a nivel mundial y lograr la interoperabilidad entre diferentes marcos de protección de datos.
La CE otorgó previamente la adecuación de datos al Reino Unido en junio de 2021 luego de su salida de la UE, lo que permitió que continuara el libre flujo de datos personales hacia y desde el bloque, pero advirtió que la decisión aún puede ser revocada si las futuras leyes de protección de datos difieren significativamente de los de Europa.
reacciones
El sector tecnológico ha respondido positivamente a la decisión de adecuación sobre la base de que ha puesto fin a tres años de inseguridad jurídica.
Julian David, director ejecutivo del grupo de cabildeo del sector tecnológico TechUK, por ejemplo, dijo que el marco marca “un hito importante y largamente esperado” que ofrece claridad y seguridad jurídica a las empresas.
“Ahora esperamos trabajar con nuestros miembros, los gobiernos del Reino Unido y los EE. UU. para finalizar el puente de datos entre el Reino Unido y los EE. UU., que permitirá a las empresas del Reino Unido transferir datos libremente a organizaciones certificadas de los EE. UU., facilitando intercambios que valen miles de millones de dólares en comercio digital. ”, dijo David.
El director de políticas públicas de la Asociación de la Industria de la Computación y las Comunicaciones (CCIA Europa), Alexandre Roure, también acogió con satisfacción la decisión, que describió como un “gran avance” para las empresas. Agregó que, luego de años de espera, empresas y organizaciones de todos los tamaños a ambos lados del Atlántico por fin tienen la certeza de un marco legal duradero.
“En primer lugar, aplaudimos la decisión de los estados miembros de poner fin a este estancamiento, pero la CCIA también quisiera agradecer a la Comisión y al gobierno de los EE. UU. por su arduo trabajo para crear un nuevo mecanismo que facilite el flujo de datos y al mismo tiempo proteja los derechos de las personas. ” él dijo.
David Dumont, socio del bufete de abogados Hunton Andrews Kurth, agregó que el marco legal de EE. UU. en torno a las actividades de vigilancia del gobierno ha “cambiado significativamente” desde que Schrems II invalidó Privacy Shield.
“Estados Unidos ha implementado salvaguardias legales que limitan el acceso a los datos personales y ha introducido mecanismos de supervisión más sólidos, como el Tribunal de Revisión de Protección de Datos”, dijo.
“La Comisión Europea parece estar convencida de que el nuevo marco de transferencia transatlántica de datos abordará adecuadamente los problemas de Schrems II y que la nueva decisión de adecuación probablemente sobrevivirá a un desafío en el Tribunal de Justicia de la Unión Europea, al que se le pedirá que evalúe si el las nuevas garantías establecidas en el marco son suficientes para ser consideradas esencialmente equivalentes a las garantías en la UE”.
Agregó que, a la luz de los cambios, es poco probable que una nueva impugnación legal tenga éxito: “La gente ha perdido un poco la paciencia con el tema, y las organizaciones buscan seguridad jurídica y la seguridad de que pueden confiar en la decisión una vez confirmada. .
“Si la nueva decisión de adecuación fuera, una vez más, anulada por el TJUE, las organizaciones podrían perder la fe en la viabilidad de un marco exitoso de transferencia de datos entre la UE y los EE. transferencias a los Estados.”
‘Ningún cambio sustancial en la ley’, dice Schrems
Sin embargo, Max Schrems, presidente de la organización de derechos digitales noyb, y quien es el abogado que impugnó el Escudo de privacidad, ya se comprometió a impugnar la decisión, que dijo que es “en gran medida una copia del acuerdo fallido del Escudo de privacidad”.
“Dicen que la definición de locura es hacer lo mismo una y otra vez y esperar un resultado diferente. Al igual que Privacy Shield, el último acuerdo no se basa en cambios materiales, sino en intereses políticos. Una vez más, la actual Comisión parece pensar que el lío será problema de la próxima Comisión”, dijo.
“Ahora teníamos Harbors, Umbrellas, Shields and Frameworks, pero ningún cambio sustancial en la ley de vigilancia de EE. UU. Los comunicados de prensa de hoy son casi una copia literal de los de los últimos 23 años. El simple hecho de anunciar que algo es ‘nuevo’, ‘sólido’ o ‘eficaz’ no es suficiente ante el Tribunal de Justicia. Necesitaríamos cambios en la ley de vigilancia de EE. UU. para que esto funcione, y simplemente no lo tenemos”.
Una parte importante del problema, según noyb, es que EE. UU. se ha negado a reformar la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera (FISA), que permite la vigilancia dirigida de personas fuera de EE. UU. siempre que no sean estadounidenses. ciudadano.
Cualquier orden judicial emitida bajo las leyes FISA también viene con una orden de mordaza, un instrumento legal que evita que los destinatarios informen a cualquier otra persona que han recibido la orden.
Noyb agregó que EE. UU. debe prorrogar FISA 702 para fines de 2023 debido a las ‘cláusulas de caducidad’ en la ley: “Esta habría sido la oportunidad perfecta para mejorar la ley de EE. UU., pero dado el nuevo acuerdo con la UE, hay será una pequeña razón para que los EE. UU. reformen FISA 702”.