Estados Unidos dispone de una legislación inconexa en materia de protección de datos personales. Más que a personas se orienta a sectores que operan con sus propias normas. Un ejemplo es la Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act o HIPAA por sus siglas en inglés) destinada a preservar la privacidad de la información médica. Otro ejemplo es la Ley Sarbanes–Oxley (Sarbanes Oxley Act o SarOx o SOA por sus siglas en inglés) que protege los datos personales de aquellos empleados que denuncian a las empresas donde trabajan cuando incurren en fraude.
A falta de una Ley Federal que unifique criterios en los Estados Unidos, como hace el RGPD en la Unión Europea, existen diferentes leyes estatales que, por regla general, se incluyen dentro de otras leyes cuyo objeto es la regulación de seguros, consumidores y otros sectores.
No obstante, las cosas parece que empiezan a cambiar. Recientemente, se presentó en la Cámara de los Representantes la American Data and Privacy Protection Act. Se trata de un proyecto de norma federal cuyo objetivo es «proporcionar a los consumidores derechos fundamentales de privacidad de datos, crear mecanismos de supervisión sólidos y establecer una aplicación significativa». La crítica al texto viene dada porque, a diferencia de lo que ocurre con el RGPD, los gobiernos no estarán sujetos al cumplimiento de la ley.
Se prevé que la ADPPA tenga un carácter armonizador con prelación frente a leyes estatales como la Ley de Privacidad del Consumidor de California. Después de California, sólo cuatro Estados han promulgado una ley de protección de datos: Colorado, Virginia, Utah y Connecticut.
No está claro si obtendrán suficiente consenso en la Cámara de Representantes para la aprobación de la ADPPA. Al menos, una parte de los gobernantes han cambiado su mentalidad frente a las grandes tecnológicas, que campan a sus anchas en Estados Unidos, vulnerando la privacidad de ciudadanos norteamericanos y de otras naciones.
Privacy Shield o Escudo de la Privacidad Unión Europea–Estados Unidos
El Escudo de la Privacidad o Privacy Shield fue el último acuerdo en el ámbito de protección de datos entre la Unión Europea y Estados Unidos.
La Comisión Europea decidió, en fecha 12 de julio de 2016, que las garantías que ofrecían los Estados Unidos estaban en línea con el nivel de protección de datos de la Unión Europea. Desde entonces, la decisión empezó a aplicarse hasta la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 16 de julio de 2020, conocida como Schrems II, que invalidó la Decisión de Ejecución (UE) 2016/1250.
Antes de contarles la situación actual, tras el referido pronunciamiento del TJUE, vamos a repasar los antecedentes.
Sentencia Shrems I
Maximilian o Max Schrems es un activista austriaco, fundador de la ONG «Europa versus Facebook», dedicada a identificar los abusos cometidos por las grandes tecnológicas en materia de privacidad.
Consciente de los riesgos asociados a las transferencias de datos personales de Facebook Ireland a los servidores de Facebook Inc. situados en Estados Unidos, Max Schrems presentó una reclamación ante la autoridad de control de Irlanda (Irish Data Protection Comissioner) en la que solicitaba que por esta se prohibiesen las transferencias de datos personales a los Estados Unidos, alegando que la normativa y prácticas de Estados Unidos no ofrecían suficiente protección a los interesados, frente al acceso por parte de las autoridades públicas norteamericanas a los datos allí transferidos a través del programa PRISM que sacó a relucir Edward Snowden.
La autoridad de control irlandesa desestimó la reclamación de Schrems amparándose en la Decisión 2000/520/CE, de 26 de julio de 2000, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América («Decisión de Puerto Seguro» o Safe Harbour) por la que la Comisión declaraba que los Estados Unidos ofrecían un nivel adecuado de protección.
Max Schrems recurrió aquella resolución ante los tribunales de justicia de Irlanda y el asunto terminó en el Tribunal de Justicia de la Unión Europea (TJUE) quien, mediante sentencia de 6 de octubre de 2015, conocida como Shrems I, en respuesta a una cuestión prejudicial planteada por el High Court irlandés, anuló la Decisión 2000/520/CE.
El TJUE basó su sentencia en que la Decisión 2000/520/CE primaba la seguridad nacional de Estados Unidos sobre el derecho fundamental de las personas a la protección de sus datos personales, al no establecerse límite alguno al gobierno norteamericano para acceder a dichos datos. No obstante, el tribunal dispone que las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes podrían seguir utilizándose, bajo el control de las autoridades de protección de datos, si el nivel de protección en destino era el adecuado.
Sentencia Shrems II
Tras la Sentencia Schrems I del TJUE, la Comisión Europea adoptó la Decisión (UE) 2016/1250, que también fue anulada por el TJUE, en sentencia de 16 de julio de 2020, conocida como Schrems II.
El tribunal comunitario parte de la premisa de que los ciudadanos, asentados en el Espacio Económico Europeo, cuyos datos personales se transfieren a un tercer país deben gozar de un nivel de protección sustancialmente equivalente al garantizado en dicho espacio. A juicio del tribunal, Estados Unidos no otorga el mismo nivel de protección al usuario, pues permiten la recopilación de datos personales de ciudadanos no estadounidenses, a través de medios electrónicos, los cuales podrían ser usados por los servicios de inteligencia norteamericanos, de forma que su uso excede de la finalidad para la que fueron tratados.
Panorama actual
Invalidado el Escudo de la Privacidad, ¿qué tenemos?. Por lo de pronto, mucha inseguridad jurídica.
El Comité Europeo de Protección de Datos (EDPB, por sus siglas en inglés) publicó el pasado día 10 de noviembre de 2020 dos recomendaciones a los efectos de aclarar el panorama actual.
La Recomendación 1/2020 sobre medidas que complementan los instrumentos de transferencia para garantizar el cumplimiento del nivel de protección de los datos personales de la Unión Europea, que establece las salvaguardas que los responsables del tratamiento deben adoptar a la hora de transferir datos personales a terceros países u organizaciones internacionales para ajustarlas al nivel de protección ofrecido en el Espacio Económico Europeo. Dicho nivel no tiene por qué ser idéntico, pero será «esencialmente equivalente» al ofrecido en dicho espacio.
Y la Recomendación 2/2020 sobre las garantías esenciales europeas para medidas de vigilancia que introduce las «European Essential Guarantees». Se refieren, fundamentalmente, a acciones llevadas a cabo por autoridades públicas, si bien pueden resultar de utilidad para las empresas.
Algunos de los signos que revelarán el respeto a los derechos de privacidad y protección de datos en el tercer país serán, entre otros, la existencia de normas claras, precisas y accesibles, el respeto a los principios de proporcionalidad y necesidad de las actuaciones, la presencia de autoridades de control y supervisión independientes y la naturaleza de distintos medios de ejercicio y defensa de derechos con los que cuentan los interesados.
El 25 de marzo de 2022, la Comisión Europea presentó la Declaración conjunta de la Comisión Europea y los Estados Unidos sobre el nuevo Marco Transatlántico de Privacidad de Datos. En su virtud, Estados Unidos se ha comprometido a establecer:
- Nuevas reglas y garantías vinculantes para limitar el acceso a los datos personales por parte de sus autoridades de inteligencia. Dicho acceso estará justificado y será necesario para proteger la seguridad nacional.
- Las autoridades de inteligencia adoptarán procedimientos para garantizar la supervisión eficaz de las nuevas políticas de privacidad y estándares de libertades civiles.
- Creación del Tribunal de Revisión de Protección de Datos para investigar y resolver las quejas de los ciudadanos europeos sobre el acceso a sus datos por parte de las autoridades de inteligencia de Estados Unidos.
- Nuevas obligaciones para las empresas que procesan datos personales transferidos desde la Unión Europea, debiendo certificar su adhesión a los principios establecidos en el nuevo marco a través del Departamento de Comercio de Estados Unidos.
- Mecanismos específicos de seguimiento y revisión.
Según las autoridades comunitarias, el nuevo marco planteará una base jurídica duradera y fiable, un flujo de datos seguro y predecible, una economía digital competitiva y la continuidad de los flujos de datos entre Estados Unidos y la Unión Europea, pero las críticas no se han hecho esperar. Entre ellas, las de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo, cuyo informe dejo enlazado aquí.
El 13 de diciembre de 2022 la Comisión Europea inició el proceso para la adopción de una decisión sobre la adecuación del marco de privacidad de datos U.E.–EE.UU.
El proyecto de decisión, que encontrarán aquí, sigue a la firma del Decreto nº 14.086 del Presidente de los Estados Unidos de 7 de octubre de 2022, sobre el refuerzo de las salvaguardas para las actividades de inteligencia de señales de los Estados Unidos.
Siguiendo la tramitación legal oportuna, el Comité Europeo de Protección de Datos mostró cierto recelo sobre dicho proyecto en su Dictamen 5/2023. Reconoce las mejoras introducidas en el marco legal norteamericano, pero expresa su preocupación en relación al ejercicio de los derechos de los interesados, las transferencias posteriores de datos, el alcance de las excepciones, la recopilación temporal de datos en masa y el funcionamiento práctico del mecanismo de recurso.
Encontrarán más información sobre el procedimiento a seguir haciendo clic aquí.
Conclusión
Si Estados Unidos no realiza una reforma legislativa profunda en favor de la privacidad de los ciudadanos, el nuevo marco jurídico seguirá el mismo camino que los anteriores.
