Legislación
Ciberseguridad
privacidad

¿Cuáles son los pasos a seguir en el acuerdo de transferencia de datos entre Europa y Estados Unidos?

Ya que Privacy Shield y Safe Harbour han sido anulados previamente por desafíos legales, los expertos se preguntan si la orden ejecutiva del presidente Biden de EE. UU. que implementa el escrutinio político.

legislación

Las miles de empresas que esperan que un nuevo acuerdo de transferencia de datos entre Estados Unidos y la Unión Europea (UE) entre pronto en vigor y facilite el trabajo legal no deberían hacerse ilusiones. La orden ejecutiva de Joe Biden para implementar reglas para el Marco de Política de Datos Transatlánticos acordado a principios de año es un paso en la dirección correcta, pero este pacto no entrará en vigencia hasta la próxima primavera, como pronto, e incluso entonces está obligado a enfrentar varios desafíos, según numerosos expertos.

La orden ejecutiva, firmada por Biden la pasada semana, impone nuevas restricciones a la vigilancia electrónica por parte de las agencias de inteligencia estadounidenses y brinda a los europeos nuevas vías para presentar una queja cuando crean que se ha utilizado ilegalmente su información personal.

Le medida se produce dos años después de que el Tribunal de Justicia de la Unión Europea (TJUE) cerrara el anterior acuerdo de intercambio conocido como Privacy Shield (Escudo de Privacidad) debido a que desde el país norteamericano no brindaba una protección adecuada para los datos personales, particularmente en relación con la vigilancia estatal.

El nuevo marco de política de datos transatlánticos está destinado a mejorar las garantías de privacidad de los EE. UU., reemplazar Privacy Shield y, finalmente, pasar el escrutinio del Tribunal de Justicia cuando se presenten los desafíos legales esperados. Sin embargo, a pesar de que tanto la Administración Biden como la Comisión Europea (CE) publicaron declaraciones que respaldan el pacto de datos recientemente propuesto, está lejos de ser un trato cerrado, según Jonathan Armstrong, abogado de cumplimiento y tecnología de Cordery, especialistas en cumplimiento con sede en el Reino Unido.

“Tanto la Casa Blanca como la Comisión Europea pueden estar diciendo que tienen confianza, pero ya hemos recorrido este camino antes, con ambas partes diciendo que Privacy Shield resistiría el escrutinio judicial. No fue así”, dice Armstrong.

 

¿Cuáles son los siguientes pasos?

En primer lugar, la UE debe confirmar que las nuevas reglas establecidas por el Gobierno norteamericano son adecuadas para cumplir con los estándares acordados en el marco transatlántico, que a su vez fue diseñado para ofrecer protecciones de privacidad equivalentes al Reglamento General de Protección de Datos (GDPR, por sus siglas inglesas) de la UE.

En los próximos meses, la CE propondrá un proyecto de decisión de adecuación y lanzará un procedimiento de adopción para obtener la aprobación. Es probable que el Parlamento Europeo también quiera analizar el acuerdo antes de que sea ratificado, explica Armstrong.

Mientras tanto, Max Schrems, el activista y abogado austriaco cuyas quejas contra Facebook por violaciones de GDPR llevaron a la desaparición de Privacy Shield y su acuerdo precursor, Safe Harbor, ya ha dicho que podría impugnar el acuerdo con su grupo de presión NOYB. 

“A primera vista, parece que los problemas centrales no se resolvieron y tarde o temprano volverán al TJUE [Tribunal Europeo de Justicia]”, indicó Schrems en un comunicado publicado por NOYB.

 

Los críticos apuntan a la vigilancia masiva

Un gran problema con la orden ejecutiva de Biden y el propio Marco de Política de Datos Transatlánticos, según Schrems y otros críticos, es que no aborda adecuadamente la vigilancia masiva por parte de las agencias de inteligencia estadounidenses.

La orden ejecutiva dice que requiere que las actividades de inteligencia de EE. UU. se lleven a cabo “solo cuando sea necesario para promover una prioridad de inteligencia validada y solo en la medida y de manera proporcional a esa prioridad”. Pero, aunque la ley de la UE también exige una vigilancia proporcional, no hay indicios de que la vigilancia masiva de EE. UU. vaya a cambiar en la práctica, expresó NYOB.

NYOB también señaló que una orden ejecutiva no es una ley, sino una directiva del presidente de los EE. UU. a la rama federal del gobierno.El grupo de presión de la Unión Americana de Libertades Civiles (ACLU) está de acuerdo.

“Los problemas con el régimen de vigilancia de EE. UU. no se pueden solucionar solo con una orden ejecutiva”, dijo Ashley Gorski, abogada sénior del Proyecto de Seguridad Nacional de la ACLU, en un comunicado de la ACLU. “Para proteger nuestra privacidad y poner las transferencias de datos transatlánticas sobre una base legal sólida, el Congreso debe promulgar una reforma de vigilancia significativa. Hasta que eso suceda, las empresas y los individuos estadounidenses seguirán pagando el precio”.

Por qué las empresas quieren un nuevo Privacy Shield

Las empresas quieren que entre en vigor un nuevo acuerdo de transferencia de datos para reducir las laboriosas negociaciones legales que actualmente se requieren para realizar transferencias de datos a través del Atlántico, para ayudar a garantizar que lo hacen de una manera que cumpla con los estándares de la UE y evitar acciones de cumplimiento por parte de Autoridades de protección de datos (DPA) de la UE, autoridades públicas independientes que manejan quejas relacionadas con violaciones del RGPD de la UE, según Lartease Tiffith, vicepresidente ejecutivo de políticas públicas del grupo comercial Interactive Advertising Bureau (IAB) con sede en Nueva York.

En ausencia de Privacy Shield o un acuerdo similar, las empresas utilizan las llamadas cláusulas contractuales estándar para confirmar que las transferencias de datos se realizan de acuerdo con GDPR, señaló Tiffith. “El problema con eso es que son muy laboriosos, ni siquiera los llamaría cláusulas contractuales estándar porque, de alguna manera, tienes que negociar cada una de ellas, por lo que el término estándar probablemente sea un nombre inapropiado”.

Casi el 70% de las más de 5000 empresas de EE. UU. que se inscribieron en Privacy Shield son empresas más pequeñas que no tienen los recursos para negociar múltiples contratos con todos sus proveedores de datos, y también es una carga para las grandes empresas, dijo Tiffith.

La idea detrás de Privacy Shield y el nuevo marco es que, una vez que las empresas autocertifican que cumplen con las pautas aprobadas, ya no tienen que establecer contratos individuales de privacidad de datos con cada proveedor, dijo Tiffith.

“La otra consideración es que incluso con las cláusulas contractuales estándar, las empresas están sujetas a la aplicación de la DPA, si descubren que no tiene una cláusula suficiente o que no cubre todo lo que debería”, dijo Tiffith.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper