La relación entre la UE y los EE.UU. en materia de protección de datos ha sido un tema polémico durante algún tiempo

¿Qué significa la invalidación del Privacy Shield para las empresas que transfieren datos entre la UE y los EE.UU.?

Tribuna Madrid
Proteccion de datos

En un mundo cada vez más globalizado, es común que las empresas transfieran datos de manera transfronteriza, ya sea para fines administrativos, subcontratación o computación en la nube, entre muchas más opciones. Sin embargo, la transferencia de datos se refiere al intercambio de información personal de un país a otro lo que nos lleva a la posibilidad de que genere riesgos para la privacidad y los derechos de los ciudadanos, por lo que es importante que las empresas cumplan con las normativas y leyes que regulan la transferencia internacional de datos personales. Es ahí donde se comienzan a complicar las cosas, un claro ejemplo de esto es la UE y los EE.UU.

La relación entre la UE y los EE.UU. en materia de protección de datos ha sido un tema polémico durante algún tiempo. La UE tiene un enfoque basado en el principio de minimización de los datos, lo que significa que solo deben recogerse y tratarse los datos mínimos necesarios. En contraste, los EE.UU. tienen un enfoque más permisivo de la recopilación y el tratamiento de datos, con menos restricciones sobre el uso que se puede hacer de los datos personales.

La historia sobre la disputa entre ambos países comienza en 2013 cuando el empleado de la Agencia de Seguridad Nacional de EE.UU, Edward Snowden, reveló a la Agencia de Seguridad Nacional de Estados Unidos (NSA) que realizaba vigilancia masiva de ciudadanos de la UE, incluida la interceptación de datos personales, causando una fuerte indignación en la UE.  Provocando que Maximillian Schrems, activista de la privacidad y fundador del Centro Europeo para el Derecho Digital, levantara una denuncia a Facebook (empresa con sede en Estados Unidos) alegó que dicha empresa ponía en peligro su privacidad al transferir su información personal llegando su caso al Tribunal de Justicia de la Unión Europea (TJUE) en 2015, el cual determinó que el acuerdo de Safe Harbor[1] era inválido. La decisión se basó en que Estados Unidos no ofrecía una protección adecuada de los datos personales de los ciudadanos de la UE.  Dicho caso emblemático sería conocido como Schrems I.

Formas alternativas de cumplimiento

Tras la invalidación del acuerdo Safe Harbor, la UE y Estados Unidos negociaron el Privacy Shield; como resultado, las empresas que transfirieran datos entre la UE y los EE.UU. tendrían que encontrar formas alternativas de cumplir con el GDPR. Estas alternativas incluyen el uso de cláusulas contractuales tipo (SCC) o normas corporativas vinculantes (BCR).

No obstante, una vez más la legislación americana se vería afectada con sentencia pues Mazimilian Schrems sometería otra denuncia (Schrems II) donde argumentaba que las SCC no protegían su información personal de la injerencia del Gobierno de EE.UU. Con dicha nueva denuncia, el TJUE también impuso una nueva sentencia con requisitos adicionales a las SCC, exigiendo a las empresas que realicen una evaluación exhaustiva de las leyes y prácticas de protección de datos del país receptor antes de confiar en ellas; sin embargo, el Privacy Shield fue decretado inválido.

Con invalidación del Privacy Shield ha impulsado los esfuerzos para crear un nuevo acuerdo de transferencia de datos entre la UE y Estados Unidos. Actualmente se está redactando y negociando un “Privacy Shield 2.0” y se espera que subsane las deficiencias del acuerdo anterior. Se prevé que el nuevo acuerdo incluya mecanismos de supervisión más sólidos, una mayor protección de los datos personales de los ciudadanos de la UE y requisitos más estrictos para las agencias de inteligencia estadounidenses que accedan a datos personales.

Con la Privacy Shield EE.UU. ha tenido que adoptar leyes de protección de datos más estrictas para alinearse con el RGPD. Durante los dos últimos años, la UE y EE.UU. han trabajado para establecer un nuevo marco para las transferencias de datos entre la UE y EE.UU. En marzo de 2022, el presidente Biden y la presidenta de la Comisión Europea, Ursula von der Leyen, anunciaron un nuevo Marco Transatlántico de Privacidad de Datos (el "DPF") que se negociaría en los próximos años. Además, el 13 de diciembre de 2022, la Comisión Europea emitió un proyecto de decisión de adecuación, dando inicio al proceso formal para adoptar el DPF. El proyecto de decisión de adecuación concluye que el DPF proporciona un nivel adecuado de protección de los datos personales transferidos desde la UE a EE.UU. Sin embargo, aún no tenemos claro si realmente dicha propuesta de adoptará, aún se debe pasar por procedimientos de adopción adicionales antes de convertirse en una decisión definitiva.

[1] decisión de la Comisión Europea en 2000, que tenía por objeto establecer un conjunto de normas para la transferencia de datos privados de la Unión Europea a los Estados Unidos de América.

Sitios de referencia:

  • Swaine, D., Green, D., & Muharremi, F. (2020, July 22). Privacy Shield 2.0 - What's Next for International Data Transfers? Snell & Wilmer Legal Alerts. https://www.swlaw.com/publications/legal-alerts/privacy-shield-20-whats-next-for-international-data-transfers
  • Hossain, S. (2020, July 23). Why EU-US Privacy Shield Invalidated? TermsFeed. https://www.termsfeed.com/blog/why-eu-us-privacy-shield-invalidated/#Privacy_Shield
  • Coyne, J. A. (2019). Safe Harbor, Privacy Shield, and the Future of Transatlantic Data Protection. Cyber Defense Review, 4(2), 151-158. https://cyberdefensereview.army.mil/Portals/6/Documents/CDR%20Journal%20Articles/Fall%202019/CDR%20V4N2-Fall%202019_COYNE.pdf?ver=2019-11-15-104104-157
  • Federal Trade Commission. (n.d.). US-EU Safe Harbor Framework. Business Guidance: Privacy & Security. https://www.ftc.gov/business-guidance/privacy-security/us-eu-safe-harbor-framework
  • S. Department of Commerce. (2021, January 15). EU-U.S. Privacy Shield Program Update. Privacy Shield. https://www.privacyshield.gov/article?id=EU-U-S-Privacy-Shield-Program-Update

 


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación