A diferencia de la Unión Europea, los Estados Unidos disponen de una legislación inconexa en materia de protección de datos personales.
Antes de entrar en materia veamos el marco legal que existe al otro lado del Atlántico.
Legislación de protección de datos en EE.UU.
Más que a personas físicas, su legislación se orienta a sectores que operan con sus propias normas, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act o HIPAA) que está destinada a preservar la confidencialidad de los datos de salud o la Ley Sarbanes–Oxley (Sarbanes Oxley Act o SarOx o SOA) que protege los datos personales de aquellos empleados que denuncian a las empresas donde trabajan cuando éstas incurren en fraude.
A falta de una Ley Federal, que unifique criterios en los Estados Unidos, hay diferentes leyes estatales. La pionera fue la Ley de Privacidad del Consumidor de California. Tras ella, cuatro Estados han promulgado su propia ley de protección de datos: Colorado, Virginia, Utah y Connecticut.
El Estado de California es, de todos, el más garantista. Las cámaras legislativas de California acaban de aprobar el proyecto de Ley Senatorial 362, conocida como «Delete Act» (Ley de eliminación). La Ley de Privacidad del Consumidor ya otorga a las personas físicas el derecho a solicitar la eliminación de sus datos personales, si bien requiere realizar solicitudes por separado a los intermediarios de datos registrados en el Estado, que se cuentan por cientos (más de 500). El proyecto de ley dispone que la Agencia de Protección de la Privacidad de California establezca, antes del 1 de enero de 2026, un mecanismo de eliminación accesible que permita a los consumidores, a través de una única solicitud verificable, solicitar que cada corredor de datos que mantenga información personal suya la elimine. Los corredores deberán eliminar toda la información personal del consumidor, al menos, una vez cada 45 días. A partir del 1 de enero de 2028 y cada 3 años, la ley establece que los corredores de datos se someterán a una auditoría para determinar su grado de cumplimiento, pudiendo ser sancionados en caso de no cumplir. El proyecto está pendiente de que sea aprobado por el Gobernador del Estado, Gavin Newsom, que tiene de plazo hasta el 14 de octubre de 2023. Los detractores del proyecto de ley argumentan que fomentará la eliminación masiva de datos que son el alma de la economía digital de California. Personalmente, el proyecto de ley me parece acertado. Ojalá las autoridades comunitarias imiten la idea.
Los Estados Unidos parecen reticentes a tener una Ley Federal que unifique criterios en materia de protección de datos personales, si bien tienen un antecedente en la Ley de Protección de la Privacidad en Línea para Niños (Children’s Online Privacy Protection Act o COPPA) que entró vigor el 21 de abril de 2000 y que se aplica en todo el país a sitios web dirigidos a menores de 13 años con fines comerciales.
Actualmente, se debate un proyecto de ley federal en la Cámara de los Representantes: la American Data and Privacy Protection Act (ADPPA). No está claro si obtendrán el suficiente consenso para su aprobación. Al menos, una parte de los gobernantes han cambiado su mentalidad frente a las grandes tecnológicas, que campan a sus anchas en los Estados Unidos, vulnerando la privacidad de ciudadanos norteamericanos y de otras naciones.
En cuanto a las transferencias de datos personales a los Estados Unidos desde el Espacio Económico Europeo, decir que no es un tema pacífico, toda vez que la Unión Europea exige a los Estados Unidos un nivel de protección sustancialmente equivalente al garantizado en dicho espacio, y esto no siempre ocurre. Hagamos un repaso de la historia más reciente.
Antecedentes
El Escudo de la Privacidad o «Privacy Shield» fue el último acuerdo en el ámbito de protección de datos entre la Unión Europea y los Estados Unidos.
La Comisión Europea decidió, en fecha 12 de julio de 2016, que las garantías que ofrecían los Estados Unidos estaban en línea con el nivel de protección de datos de la Unión Europea. Desde entonces, la Decisión de Ejecución (UE) 2016/1250 empezó a aplicarse, hasta la sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020, conocida como Schrems II, que la anuló. A juicio del tribunal, los Estados Unidos no otorgan el mismo nivel de protección al usuario, pues permiten la recopilación de datos personales de ciudadanos no estadounidenses, a través de medios electrónicos, los cuales podrían ser usados por los servicios de inteligencia norteamericanos, de forma que su uso excede de la finalidad para la que fueron tratados.
Al Escudo de la Privacidad, le precedió otra norma: la Decisión de Puerto Seguro o «Safe Harbour» que, también, fue anulada por el Tribunal de Justicia de la Unión Europea en sentencia de 6 de octubre de 2015, conocida como Shrems I. La facilidad de acceso, de forma generalizada, al contenido de las comunicaciones electrónicas por las autoridades públicas norteamericanas fue el motivo aludido por el tribunal comunitario.
Panorama actual
Invalidado el Escudo de la Privacidad, ¿qué tenemos?. Por lo de pronto, inseguridad jurídica.
El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) publicó el pasado día 10 de noviembre de 2020 dos recomendaciones a los efectos de aclarar el panorama actual.
La Recomendación 1/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la Unión Europea: establece las salvaguardas que los responsables del tratamiento deben adoptar a la hora de transferir datos personales a terceros países u organizaciones internacionales para ajustarlas al nivel de protección ofrecido en el Espacio Económico Europeo. Dicho nivel no tiene por qué ser idéntico, pero será «esencialmente equivalente» al ofrecido en dicho espacio.
Y la Recomendación 2/2020 sobre las garantías esenciales europeas para medidas de vigilancia que introduce las «European Essential Guarantees». Se refieren, fundamentalmente, a acciones llevadas a cabo por autoridades públicas, si bien pueden resultar de utilidad para las empresas. Algunos de los signos que revelarán el respeto a los derechos de privacidad y protección de datos en el tercer país serán, entre otros, la existencia de normas claras, precisas y accesibles, el respeto a los principios de proporcionalidad y necesidad de las actuaciones, la presencia de autoridades de control y supervisión independientes y la naturaleza de distintos medios de ejercicio y defensa de derechos con los que cuentan los interesados.
El día 25 de marzo de 2022, la Comisión Europea presentó la Declaración conjunta de la Comisión Europea y los Estados Unidos sobre el nuevo Marco Transatlántico de Privacidad de Datos. Según la Comisión Europea, el nuevo marco planteará una base jurídica duradera y fiable, un flujo de datos seguro y predecible y una economía digital competitiva.
El día 13 de diciembre de 2022 la Comisión Europea inició el proceso para la adopción de una nueva decisión sobre la adecuación del marco de privacidad de datos entre la Unión Europea y los Estados Unidos.
El Proyecto de Decisión presentado por la Comisión Europea sigue a la firma del Decreto nº 14.086 del Presidente de los Estados Unidos de 7 de octubre de 2022, sobre el refuerzo de las salvaguardas para las actividades de inteligencia de señales de los Estados Unidos.
El Comité Europeo de Protección de Datos se mostró en contra del proyecto en su Dictamen 5/2023, en el que reconoce las mejoras introducidas en el marco legal norteamericano, si bien expresa su preocupación en relación al ejercicio de derechos por los interesados, las transferencias posteriores de datos, el alcance de las excepciones, la recopilación temporal de datos en masa y el funcionamiento práctico del mecanismo de recurso.
Las mismas preocupaciones fueron reiteradas por el Parlamento Europeo en su Resolución de 11 de mayo de 2023, a través de la cual insta a la Comisión Europea a no adoptar el Proyecto de Decisión en su redacción original y a continuar con las negociaciones para lograr la creación de un mecanismo que garantice una equivalencia esencial y real en el nivel de protección otorgado.
La Comisión Europea desoyó al Parlamento Europeo y al CEPD y aprobó, tal cual, su Decisión de adecuación al Marco de Privacidad de Datos UE–EE.UU. De forma que, a partir del 10 de julio de 2023, se pueden transferir datos personales desde la Unión Europea a los Estados Unidos sin tener que establecer salvaguardias adicionales de protección de datos. Basta con que las empresas estadounidenses se adhieran al nuevo marco de privacidad, comprometiéndose a cumplirlo.
Los puntos más destacados del nuevo marco de privacidad se resumen en los siguientes puntos:
- Garantías vinculantes para limitar el acceso a los datos personales por parte de sus autoridades de inteligencia (la CIA, el FBI y la Agencia de Seguridad Nacional o NSA, por sus siglas en inglés). El acceso estará justificado y será necesario para proteger la seguridad nacional.
- Las autoridades de inteligencia adoptarán procedimientos para garantizar la supervisión eficaz de las nuevas políticas de privacidad y estándares de libertades civiles.
- Creación del Tribunal de Revisión de Protección de Datos para investigar y resolver las quejas de los ciudadanos europeos sobre el acceso a sus datos personales por parte de las autoridades de inteligencia de los Estados Unidos.
- Nuevas obligaciones para las empresas que procesen datos personales transferidos desde la Unión Europea, debiendo certificar su adhesión a los principios establecidos en el nuevo marco a través del Departamento de Comercio de los Estados Unidos.
- Mecanismos específicos de de resolución de disputas independientes y gratuitos y un panel de arbitraje.
El funcionamiento del nuevo marco estará sujeto a revisiones periódicas, que llevará a cabo la Comisión Europea, junto con representantes de las autoridades europeas de protección de datos y las autoridades estadounidenses competentes. La primera revisión tendrá lugar en el plazo de un año a partir de la entrada en vigor de la decisión de adecuación.
Las empresas estadounidenses que deseen transferir datos personales a los Estados Unidos desde la UE/EEE deben autocertificar su participación en el Marco de Privacidad de Datos UE–EE.UU. (DPF) a través del sitio web habilitado al efecto por el Departamento de Comercio de los Estados Unidos.
Para adherirse al nuevo marco legal, las empresas estadounidenses deben cumplir una serie de requisitos, tales como desarrollar una declaración de política de privacidad compatible con el DPF, disponer de un mecanismo independiente y apropiado para resolver las disputas que surjan, designar a una persona de contacto de la organización para asegurar el cumplimiento del DPF, implementar un mecanismo de verificación, entre otros.
Aquellas organizaciones que deseen realizar transferencias de datos personales a los Estados Unidos desde la UE/EEE, que no se encuentren adheridas al DPF, necesariamente han de ofrecer «garantías adecuadas» con arreglo al artículo 46 del RGPD.
Conclusión
Si los Estados Unidos no realizan una reforma legislativa en favor de la privacidad de los ciudadanos, impidiendo el acceso indiscriminado a la información personal de éstos por parte de las autoridades de inteligencia, es más que probable que el presente marco transatlántico de protección de datos corra el mismo camino que los acuerdos anteriores.
La Comisión Europea no ha conseguido que los datos personales de los ciudadanos europeos, necesariamente, tengan que alojarse dentro de la Unión Europea, ni los Estados Unidos se plantean modificar normas como el artículo 702 de la Ley de Vigilancia de Inteligencia Exterior (FISA).
Max Schrems, el activista austriaco responsable de que los dos acuerdos anteriores naufragaran, ya ha anunciado que recurrirá la nueva Decisión al Tribunal de Justicia de la Unión Europea, de aprobarse en los términos anunciados. Todo pinta que a la tercera no será la vencida.
