Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Transferencias de datos a EE.UU.

Estados Unidos dispone de una legislación inconexa en materia de protección de datos personales. Más que a personas se orienta a sectores que operan con sus propias normas. Un ejemplo es la Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act o HIPAA por sus siglas en inglés) limitada a la privacidad de la información médica. También está la Ley Sarbanes-Oxley (SOX o SOA por sus siglas en inglés Sarbanes Oxley Act) que protege a los empleados que denuncian a las empresas donde trabajan cuando incurren en fraude.

A falta de una Ley Federal que unifique criterios, como hace el RGPD en la Unión Europea, existen numerosas leyes estatales que desarrollan la protección de datos, pero nunca de forma unificada y con la intención de ser un referente en ello. Por lo general, la normativa de los diferentes Estados se incluye dentro de otras leyes cuyo objeto es la regulación de seguros, consumidores y otros sectores. 

No obstante, las cosas parece que empiezan a cambiar. Recientemente, se presentó en la Cámara de los Representantes la American Data and Privacy Protection Act. Se trata de un proyecto de norma federal cuyo objetivo es «proporcionar a los consumidores derechos fundamentales de privacidad de datos, crear mecanismos de supervisión sólidos y establecer una aplicación significativa». La crítica al texto viene dada porque los gobiernos no estarán sujetos al cumplimiento de la ley, a diferencia de los que ocurre en la Unión con el RGPD.

Se prevé que la ADPPA tenga un carácter armonizador con prelación frente a leyes estatales, como la Ley de Privacidad del Consumidor de California. No está claro cómo lo lograrán o si obtendrán suficiente consenso en la Cámara de Representantes para su aprobación. Al menos, han cambiado su mentalidad frente a los abusos constantes de las grandes tecnológicas, que campan a sus anchas en Estados Unidos, vulnerando la privacidad de ciudadanos norteamericanos y de otras naciones. Habrá que ver hasta dónde llegan. 

Escudo de la Privacidad U.E.–EE.UU.

El Escudo de la Privacidad o Privacy Shield fue un acuerdo en el ámbito de la legislación de protección de datos que se negoció entre la Unión Europea y Estados Unidos. Consistió en una serie de garantías por parte del gobierno de Estados Unidos y una conclusión de adecuación por parte de la Comisión Europea.

La Comisión decidió el 12 de julio de 2016 que los requisitos del Escudo de la Privacidad estaban en línea con el nivel de protección de datos en la Unión Europea; desde entonces, el acuerdo empezó a aplicarse hasta la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 16 de julio de 2020 dictada en el asunto C‑311/18 (Schrems II) que invalidó la Decisión de Ejecución (UE) 2016/1250.

Antes de contarles la situación actual, tras el referido pronunciamiento del TJUE, vamos a ver los antecedentes del caso.

Sentencia Shrems I

Maximiliam Schrems es nacional austriaco residente en Austria y es usuario de Facebook desde 2008. Como ocurre con el resto de usuarios residentes en la Unión, los datos personales del Sr. Schrems son transferidos por Facebook Ireland a servidores pertenecientes a Facebook Inc. situados en el territorio de Estados Unidos, donde son objeto de tratamiento.

El Sr. Schrems presentó una reclamación ante la autoridad de control de Irlanda (Irish Data Protection Comissioner) en la que solicitaba que se prohibiesen las transferencias de datos personales a Estados Unidos, alegando que el Derecho y prácticas de los Estados Unidos no ofrecían suficiente protección a los interesados frente al acceso por parte de las autoridades públicas norteamericanas a los datos allí transferidos, a través del programa PRISM que sacó a relucir Edward Snowden.

La autoridad de control de Irlanda desestimó la reclamación del Sr. Schrems en base a la Decisión 2000/520/CE, de 26 de julio de 2000, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América («Decisión de Puerto Seguro» o Safe Harbour) en la que la Comisión declaraba que los Estados Unidos ofrecían un nivel adecuado de protección.

El Sr. Schrems recurrió aquella resolución ante los tribunales de justicia de Irlanda y el asunto terminó en el Tribunal de Justicia de la Unión Europea (TJUE) quien, mediante sentencia de 6 de octubre de 2015, conocida como Shrems I, en respuesta a una cuestión prejudicial planteada por el High Court irlandés, declaró inválida la Decisión 2000/520/CE. El Tribunal se basa en que dicha Decisión prima la seguridad nacional de Estados Unidos sobre el derecho de las personas a la protección de datos, sin limitar de ninguna manera la posibilidad de acceso a dichos datos al gobierno norteamericano. El tema es que transferidos los datos a Estados Unidos los ciudadanos europeos no tenían ningún derecho sobre sus datos. No obstante, dispone que las Cláusulas Contractuales Tipo y las Normas Corporativas Vinculantes se podrían seguir utilizando bajo el control de las autoridades de protección de datos si el nivel de protección en destino fuere el adecuado.

Sentencia Shrems II

Tras la Sentencia Schrems I del TJUE, la Comisión adoptó la Decisión (UE) 2016/1250, que también fue invalidada por el TJUE, partiendo de la base de que las personas cuyos datos se transfieren a un tercer país deben gozar de un nivel de protección sustancialmente equivalente al garantizado en el Espacio Económico Europeo. El Tribunal entiende que no se da el mismo nivel de protección al usuario por la legislación estadounidense, pues permiten la recopilación de datos personales de ciudadanos no estadounidenses a través de medios electrónicos, los cuales podrían ser usados por los servicios de inteligencia norteamericanos, produciéndose un uso que excede de la finalidad para la que fueron tratados.

Situación actual

Invalidado el Escudo de la Privacidad, ¿qué tenemos?. Por lo de pronto, mucha inseguridad jurídica.

Nuestros datos personales pueden terminar en Estados Unidos más fácil y rápido de lo que creemos. Por ello, es importante tener un marco jurídico claro y bien definido que, actualmente, no tenemos.

El Comité Europeo de Protección de Datos (CEPD, o EDPB por sus siglas en inglés) publicó el pasado día 10 de noviembre de 2020 dos recomendaciones a los efectos de aclarar el panorama actual.

La Recomendación 1/2020 establece las salvaguardas que los responsables del tratamiento deben adoptar en sus transferencias internacionales de datos para ajustarlas al nivel de protección ofrecido en el Espacio Económico Europeo El nivel de protección en terceros países no tiene por qué ser idéntico al garantizado dentro del EEE, pero será esencialmente equivalente según el TJUE.

Antes de realizar una transferencia de datos a un tercer país, el responsable del tratamiento debe verificar que los datos que quiere transferir sean adecuados, relevantes y limitados a lo necesario en relación con los fines para los que se transfiere y procesa en el tercer país. 

En ausencia de una legislación que regule la circunstancias en las que las autoridades públicas de ese tercer país pueden acceder a los datos personales transferidos, el responsable del tratamiento debe considerar factores relevantes y objetivos y no confiar en factores subjetivos como la probabilidad de que las autoridades públicas accedan a los datos de una manera que no esté en consonancia con las normas de la Unión. Para ello, deben realizar esta evaluación con la debida diligencia y documentarla a fondo, ya que serán responsables de la decisión que puedan tomar sobre esa base.

Para asegurar un nivel de protección adecuado, el responsable del tratamiento adoptará las medidas complementarias necesarias para paliar el déficit de privacidad hasta elevar el nivel de protección al estándar de la Unión. Por ejemplo, mediante la minimización del contenido de la comunicación, con la seudonimización de los datos o su encriptado. Si ninguna medida complementaria equilibra el déficit de privacidad deberá evitar, suspender o finalizar la transferencia para no comprometer el nivel de protección de los datos e incurrir en infracción.

En cualquier caso, cabe recordar que las autoridades de control tienen competencias para monitorear la aplicación del RGPD, pudiendo suspender o prohibir las transferencias de datos en aquellos casos en que, siguiendo una investigación o denuncia, encuentran que un nivel de protección esencialmente equivalente no puede ser asegurado.

Para el CEPD, la responsabilidad proactiva que requiere la protección de datos personales implica la obligación de asegurar la efectiva privacidad e integridad de los datos. De modo que el responsable del tratamiento debe asegurarse que los datos no serán comprometidos, no sólo en la transferencia internacional efectuada, también en las posteriores transferencias que el receptor pueda efectuar.

El responsable también debe cerciorarse periódicamente de la validez de los instrumentos en base a los cuales lleva a cabo el tratamiento. Si se trata de una decisión de adecuación de la Comisión se debe revisar la lista publicada en su web oficial y si, por el contrario, el tratamiento se fundamenta en los mecanismos de los artículos 46 y 49 del RGPD hay que tener presentes las actualizaciones en materia de buenas prácticas. La Comisión ha publicado, recientemente, un borrador señalando los estándares que marcarán la actualización de su Standard Contractual Clauses.

Documentar, con el máximo detalle posible, todo el proceso de transferencia de datos es esencial para evitar responsabilidades. El objetivo es lograr la trazabilidad de todo el procedimiento como medio para demostrar la efectividad de la protección y la actuación diligente del emisor.  

En la Recomendación 2/2020 el CEPD introduce las European Essential Guarantees que se refieren, fundamentalmente, a acciones llevadas a cabo por autoridades públicas, si bien pueden resultar de utilidad para las empresas.

Algunos de los signos que revelarán el respeto a los derechos de privacidad y protección de datos en el tercer país serán, entre otros, la existencia de normas claras, precisas y accesibles, el respeto a los principios de proporcionalidad y necesidad de las actuaciones, la presencia de autoridades de control y supervisión independientes y la naturaleza de distintos medios de ejercicio y defensa de derechos con los que cuentan los interesados.

El 25 de marzo de 2022, la Comisión Europea presentó la Declaración conjunta de la Comisión Europea y los Estados Unidos sobre el nuevo Marco Transatlántico de Privacidad de Datos. En su virtud, Estados Unidos se ha comprometido a establecer:

  1. Nuevas reglas y garantías vinculantes para limitar el acceso a los datos personales por parte de sus autoridades de inteligencia. Dicho acceso estará justificado y será necesario para proteger la seguridad nacional.
  2. Las autoridades de inteligencia adoptarán procedimientos para garantizar la supervisión eficaz de las nuevas políticas de privacidad y estándares de libertades civiles.
  3. Un nuevo sistema de compensación de dos niveles para investigar y resolver las quejas de los ciudadanos europeos sobre el acceso a sus datos por parte de las autoridades de inteligencia de Estados Unidos, que incluye la creación del Tribunal de Revisión de Protección de Datos.
  4. Nuevas obligaciones para las empresas que procesan datos personales transferidos desde la Unión Europea, debiendo certificar su adhesión a los principios establecidos en el nuevo Marco a través del Departamento de Comercio de Estados Unidos.
  5. Mecanismos específicos de seguimiento y revisión.

Según las autoridades comunitarias, el nuevo Marco plantea una base jurídica duradera y fiable, un flujo de datos seguro y predecible, una economía digital competitiva y la continuidad de los flujos de datos entre Estados Unidos y la Unión Europea.  

Conclusión 

Todos esos buenos propósitos caerán en saco roto si Estados Unidos no realiza una reforma legislativa profunda en favor de la privacidad de los ciudadanos. En caso contrario, este nuevo marco podría declararse inválido por los tribunales europeos, como ocurrió con los anteriores.

En la actualidad, realizar transferencias de datos personales a Estados Unidos puede suponernos un quebradero de cabeza, y más teniendo en cuenta que Estados Unidos lo componen cincuenta Estados, un distrito federal y los Estados asociados de Puerto Rico, Islas Vírgenes, Islas Marianas del Norte, Samoa Americana y Guam, además de infinidad de islas y atolones distribuidos por todo el Caribe y el Pacífico, en los cuales es fácil instalar servidores para el almacenamiento y tratamiento de millones datos. Habrá que ver qué nos depara el futuro.

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).