A diferencia de la Unión Europea, los Estados Unidos disponen de una legislación inconexa en materia de protección de datos personales.
Antes de entrar en materia veamos el marco legal que existe al otro lado del Atlántico.
Legislación de protección de datos en EE.UU.
Más que a personas físicas, su legislación se orienta a sectores que operan con sus propias normas, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (Health Insurance Portability and Accountability Act o HIPAA) que está destinada a preservar la confidencialidad de los datos de salud o la Ley Sarbanes–Oxley (Sarbanes Oxley Act o SarOx o SOA) que protege los datos personales de aquellos empleados que denuncian a las empresas donde trabajan cuando éstas incurren en fraude.
A falta de una Ley Federal, que unifique criterios en los Estados Unidos, hay diferentes leyes estatales. La pionera fue la Ley de Privacidad del Consumidor de California de 2018 (CCPA). Se trata de la primera ley integral de privacidad del consumidor promulgada en Estados Unidos. La CCPA estableció el derecho de los residentes de California a saber qué información personal han recopilado las empresas sobre ellas y cómo la utilizan; a conocer si se difunde y a quiénes; a excluir la venta o intercambio de información personal a otros; y a eliminar su información personal.
A los pocos meses de su entrada en vigor se pudo advertir que la CCPA tenía carencias. Para enmendarla, el estado de California aprobó la California Privacy Rights Act (CPRA) en el año 2020. La CPRA amplía los derechos de los consumidores: permite corregir la información personal inexacta; exigir la limitación del plazo de conservación; rechazar que los anunciantes utilicen sistemas precisos de geolocalización; exigir a las empresas que faciliten información sobre la elaboración de perfiles y la toma de decisiones automatizadas; exige a los procesadores de datos personales de alto riesgo la realización de evaluaciones de riesgo y auditorías periódicas de ciberseguridad y crea la Agencia de Protección de la Privacidad de California. La CPRA ha aproximado el marco normativo en materia de protección de datos personales del estado de California al RGPD. Para saber más hagan clic aquí.
A las anteriores leyes, se suma la reciente Delete Act. La CCPA otorga a las personas físicas el derecho a solicitar la eliminación de sus datos personales, si bien requiere realizar solicitudes por separado a los intermediarios de datos registrados en el Estado que se cuentan por cientos (más de 500). La Delete Act dispone que la Agencia de Protección de la Privacidad de California establezca, antes del 1 de enero de 2026, un mecanismo de eliminación accesible que permita a los consumidores, a través de una única solicitud verificable, solicitar que cada corredor de datos (data brocker) que mantenga información personal suya la elimine. Los corredores deberán eliminar toda la información personal del consumidor, al menos, una vez cada 45 días. A partir del 1 de enero de 2028 y cada 3 años, la ley establece que los corredores de datos se someterán a una auditoría para determinar su grado de cumplimiento, pudiendo ser sancionados en caso de no cumplirla. Los detractores de la Delete Act argumentan que fomentará la eliminación masiva de datos que son el alma de la economía digital de California. Personalmente, me parece todo un acierto.
Además de California, cuatro estados han promulgado su propia ley de protección de datos: Colorado, Virginia, Utah y Connecticut.
Los Estados Unidos parecen reticentes a tener una Ley Federal que unifique criterios en materia de protección de datos personales, si bien tienen un antecedente en la Ley de Protección de la Privacidad en Línea para Niños (Children’s Online Privacy Protection Act o COPPA) que entró vigor el 21 de abril de 2000 y que se aplica en todo el país a sitios web dirigidos a menores de 13 años con fines comerciales.
Actualmente, se debate un proyecto de ley federal en la Cámara de los Representantes: la American Data and Privacy Protection Act (ADPPA). No está claro si obtendrán el suficiente consenso para su aprobación. Al menos, una parte de los gobernantes han cambiado su mentalidad frente a las grandes tecnológicas, que campan a sus anchas en los Estados Unidos, vulnerando la privacidad de ciudadanos norteamericanos y de otras naciones.
Otro gran Proyecto de Ley que afecta a derechos fundamentales es la «Artificial Intelligence Civil Rights Act of 2024» que fue presentado en el Senado de los Estados Unidos, el 24 de septiembre de 2024, por el senador Edward Markey del Partido Demócrata con el objetivo de establecer protecciones para los derechos individuales con respecto a los algoritmos computacionales y para otros fines.
En cuanto a las transferencias de datos personales a los Estados Unidos desde el Espacio Económico Europeo, decir que no es un tema pacífico, toda vez que la Unión Europea exige a los Estados Unidos un nivel de protección sustancialmente equivalente al garantizado en dicho espacio, y esto no siempre ocurre. Hagamos un repaso de la historia más reciente.
Antecedentes
El Escudo de la Privacidad o «Privacy Shield» fue el último acuerdo en el ámbito de protección de datos entre la Unión Europea y los Estados Unidos.
La Comisión Europea decidió, en fecha 12 de julio de 2016, que las garantías que ofrecían los Estados Unidos estaban en línea con el nivel de protección de datos de la Unión Europea. Desde entonces, la Decisión de Ejecución (UE) 2016/1250 empezó a aplicarse, hasta la sentencia del Tribunal de Justicia de la Unión Europea de 16 de julio de 2020, conocida como Schrems II, que la anuló. A juicio del tribunal, los Estados Unidos no otorgan el mismo nivel de protección al usuario, pues permiten la recopilación de datos personales de ciudadanos no estadounidenses, a través de medios electrónicos, los cuales podrían ser usados por los servicios de inteligencia norteamericanos, de forma que su uso excede de la finalidad para la que fueron tratados.
Al Escudo de la Privacidad, le precedió otra norma: la Decisión de Puerto Seguro o «Safe Harbour» que, también, fue anulada por el Tribunal de Justicia de la Unión Europea en sentencia de 6 de octubre de 2015, conocida como Schrems I. La facilidad de acceso, de forma generalizada, al contenido de las comunicaciones electrónicas por las autoridades públicas norteamericanas fue el motivo aludido por el tribunal comunitario.
Panorama actual y antecedentes
Anulado el Escudo de la Privacidad, el Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) publicó el 10 de noviembre de 2020 dos recomendaciones a los efectos de aclarar el panorama.
La Recomendación 1/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la Unión Europea: establece las salvaguardas que los responsables del tratamiento deben adoptar a la hora de transferir datos personales a terceros países u organizaciones internacionales para ajustarlas al nivel de protección ofrecido en el Espacio Económico Europeo. Dicho nivel no tiene por qué ser idéntico, pero será «esencialmente equivalente» al ofrecido en dicho espacio.
Y la Recomendación 2/2020 sobre las garantías esenciales europeas para medidas de vigilancia que introduce las «European Essential Guarantees». Se refieren, fundamentalmente, a acciones llevadas a cabo por autoridades públicas, si bien pueden resultar de utilidad para las empresas. Algunos de los signos que revelarán el respeto a los derechos de privacidad y protección de datos en el tercer país serán, entre otros, la existencia de normas claras, precisas y accesibles, el respeto a los principios de proporcionalidad y necesidad de las actuaciones, la presencia de autoridades de control y supervisión independientes y la naturaleza de distintos medios de ejercicio y defensa de derechos con los que cuentan los interesados.
El día 25 de marzo de 2022, la Comisión Europea presentó la Declaración conjunta de la Comisión Europea y los Estados Unidos sobre el nuevo Marco Transatlántico de Privacidad de Datos. Según la Comisión Europea, el nuevo marco planteará una base jurídica duradera y fiable, un flujo de datos seguro y predecible y una economía digital competitiva.
El día 13 de diciembre de 2022 la Comisión Europea inició el proceso para la adopción de una nueva decisión sobre la adecuación del marco de privacidad de datos entre la Unión Europea y los Estados Unidos.
El Proyecto de Decisión presentado por la Comisión Europea sigue a la firma del Decreto nº 14.086 del Presidente de los Estados Unidos de 7 de octubre de 2022, sobre el refuerzo de las salvaguardas para las actividades de inteligencia de señales de los Estados Unidos.
El Comité Europeo de Protección de Datos se mostró en contra del proyecto en su Dictamen 5/2023, en el que reconoce las mejoras introducidas en el marco legal norteamericano, si bien expresa su preocupación en relación al ejercicio de derechos por los interesados, las transferencias posteriores de datos, el alcance de las excepciones, la recopilación temporal de datos en masa y el funcionamiento práctico del mecanismo de recurso.
Las mismas preocupaciones fueron reiteradas por el Parlamento Europeo en su Resolución de 11 de mayo de 2023, a través de la cual insta a la Comisión Europea a no adoptar el Proyecto de Decisión en su redacción original y a continuar con las negociaciones para lograr la creación de un mecanismo que garantice una equivalencia esencial y real en el nivel de protección otorgado.
La Comisión Europea desoyó al Parlamento Europeo y al CEPD y aprobó, tal cual, su Decisión de adecuación al Marco de Privacidad de Datos UE–EE.UU. De forma que, a partir del 10 de julio de 2023, se pueden transferir datos personales desde la Unión Europea a los Estados Unidos sin tener que establecer salvaguardias adicionales de protección de datos. Basta con que las empresas estadounidenses se adhieran al nuevo marco de privacidad, comprometiéndose a cumplirlo.
Los puntos más destacados del nuevo marco de privacidad se resumen en los siguientes puntos:
- Garantías vinculantes para limitar el acceso a los datos personales por parte de sus autoridades de inteligencia (la CIA, el FBI y la Agencia de Seguridad Nacional o NSA, por sus siglas en inglés). El acceso estará justificado y será necesario para proteger la seguridad nacional.
- Las autoridades de inteligencia adoptarán procedimientos para garantizar la supervisión eficaz de las nuevas políticas de privacidad y estándares de libertades civiles.
- Creación del Tribunal de Revisión de Protección de Datos para investigar y resolver las quejas de los ciudadanos europeos sobre el acceso a sus datos personales por parte de las autoridades de inteligencia de los Estados Unidos.
- Nuevas obligaciones para las empresas que procesen datos personales transferidos desde la Unión Europea, debiendo certificar su adhesión a los principios establecidos en el nuevo marco a través del Departamento de Comercio de los Estados Unidos.
- Mecanismos específicos de resolución de disputas independientes y gratuitos y un panel de arbitraje.
El funcionamiento del nuevo marco estará sujeto a revisiones periódicas, que llevará a cabo la Comisión Europea, junto con representantes de las autoridades europeas de protección de datos y las autoridades estadounidenses competentes. La primera revisión tendrá lugar en el plazo de un año a partir de la entrada en vigor de la decisión de adecuación.
Las empresas estadounidenses que deseen recibir datos personales desde la UE/EEE deben autocertificar su participación en el «Data Privacy Framework» a través del sitio web habilitado al efecto por la Comisión Federal de Comercio de Estados Unidos, a cuya jurisdicción estarán sometidas. Haciendo clic aquí encontrarán el listado de empresas certificadas.
Para adherirse al nuevo marco legal, las empresas estadounidenses deben cumplir una serie de requisitos, tales como desarrollar una declaración de política de privacidad compatible con el DPF, disponer de un mecanismo independiente y apropiado para resolver las disputas que surjan, designar a una persona de contacto de la organización para asegurar el cumplimiento del DPF, implementar un mecanismo de verificación, entre otros.
Aquellas organizaciones que deseen realizar transferencias de datos personales a los Estados Unidos desde la UE/EEE, que no se encuentren adheridas al DPF, necesariamente han de ofrecer «garantías adecuadas» con arreglo al artículo 46 del RGPD, esto es, cláusulas contractuales tipo o las normas corporativas vinculantes, así como las evaluaciones de impacto de las transferencias.
El exportador de datos personales solo podrá transferir datos personales a empresas estadounidenses certificadas si existe una base legal para el tratamiento (artículo 6 del RGPD). Además, deben cumplirse todos los demás requisitos del RGPD (por ejemplo, limitación de finalidad, proporcionalidad, exactitud y obligaciones de información hacia los interesados). Tengan en cuenta que cuando los datos personales se van a transferir a una empresa autocertificada en Estados Unidos, el exportador de datos del EEE, de conformidad con los artículos 13 y 14 del RGPD, debe informar a los interesados sobre la identidad de los destinatarios de sus datos.
El Comité Europeo de Protección de Datos publicó el 16 de julio de 2024 una relación de preguntas frecuentes destinado a empresas europeas que dejo enlazado aquí.
Conclusión
Si los Estados Unidos no realizan una reforma legislativa en favor de la privacidad de los ciudadanos, impidiendo el acceso indiscriminado a la información personal de éstos por parte de las autoridades de inteligencia, es más que probable que el presente marco transatlántico de protección de datos corra el mismo camino que los acuerdos anteriores.
La Comisión Europea no ha conseguido que los datos personales de los ciudadanos europeos, necesariamente, tengan que alojarse dentro de la Unión Europea, ni los Estados Unidos se plantean modificar normas como el artículo 702 de la Ley de Vigilancia de Inteligencia Exterior (FISA).
Max Schrems, el activista austriaco responsable de que los dos acuerdos anteriores naufragaran, ya ha anunciado que recurrirá la nueva Decisión al Tribunal de Justicia de la Unión Europea, de aprobarse en los términos anunciados. Todo pinta que a la tercera no será la vencida.
—
Actualización
Con apenas tres meses de vigencia, el DPF ha tenido una primera impugnación ante el Tribunal General de la Unión Europea por un ciudadano francés.
El demandante consideraba que la decisión de adecuación infringe sus derechos en la medida en que sus datos personales serían transferidos a Estados Unidos y utilizados por organizaciones adheridas al DPF sin ningún tipo de control adicional para respetar el Derecho de la Unión Europea, pretendiendo la suspensión cautelar de sus efectos.
El Tribunal General de la Unión Europea resolvió en contra del demandante, pues no probó en qué medida la decisión impugnada, que amplía las posibilidades de transferencia previstas en el artículo 45 del RGPD, le pondría en desventaja con respecto a la situación que existía antes de dicha decisión. Tampoco demostró la existencia de un daño grave e irreparable que justificara la urgencia de la medida provisional solicitada (fuente).