El nuevo marco de privacidad de datos entre la UE y EE. UU. legaliza las transferencias de datos personales de la UE a EE. UU.
Matthew A. Corwin CISA, CISSP, CDPSE 1 de agosto de 2023
¿Qué ha pasado?
El 10 de julio de 2023, la Comisión Europea anunció que había adoptado su decisión de adecuación para el Marco de Privacidad de Datos UE -EE.UU. (MPD UE-EE.UU.). Esta decisión tan esperada significa que, por primera vez desde que se invalidó el Escudo de Privacidad UE-EE.UU. hace casi tres años (y se cuestionaron otros mecanismos de transferencia), existe un mecanismo claramente establecido para transferir datos personales de la UE a empresas estadounidenses de conformidad con el Reglamento General de Protección de Datos (RGPD) de la UE.
¿Cómo hemos llegado hasta aquí?
El RGPD (y antes de eso, la Directiva de protección de datos de la UE) limitaba estrictamente las transferencias de información personal desde dentro de la UE a países fuera de la UE, a menos que la Comisión Europea determinara que el país no perteneciente a la UE garantiza "un nivel adecuado de protección" que es efectivamente equivalente al nivel de protección dentro de la UE. El primer mecanismo para lograrlo fue el marco de "principios deprivacidad de puerto seguro", que recibió una decisión de adecuación hace casi 23 años, en julio de 2000. Safe Harbor fue impugnado por el activista de los derechos de privacidad Maximilian Schrems en 2013, y fue invalidado en julio de 2015 por el Tribunal de Justicia de la Unión Europea (en un caso conocido como Schrems I), en una decisión que, entre otras cosas, citó la falta de aplicabilidad de los principios de Safe Harbor a las autoridades gubernamentales estadounidenses.
Un año después, la Comisión Europea sustituyó Safe Harbor por el marco EU-U.S. Privacy Shield, algo más sólido, en julio de 2016. Algunas empresas también empezaron a recurrir, o ya lo habían hecho, a otro mecanismo de transferencia más antiguo y complicado denominado "cláusulas contractuales tipo" (CCT). Estas CEC también fueron aceptadas como conformes con el RGPD en ese momento, habiendo sido aprobadas por primera vez por el Parlamento de la UE en 1995, y habiendo recibido una decisión de adecuación adoptada por la Comisión Europea en 2001. Las CEC fueron impugnadas por Maximilian Schrems en 2015 (en un caso conocido como Schrems II) y, en última instancia, el Tribunal de Justicia de la Unión Europea consideró tanto las CEC como el Escudo de Privacidad UE-EE.UU. (este último había recibido su decisión de adecuación después de la presentación de Schrems II). La decisión del Tribunal de Justicia Europeo invalidó por completo el Escudo de la privacidad UE-EE.UU., entre otras razones por la falta de derechos procesales de los particulares para impugnar ante los tribunales la actuación de las autoridades estadounidenses.
Los CEC no fueron completamente invalidados, pero el Tribunal de Justicia sí sostuvo que los CEC deben incorporar disposiciones específicas que aborden el acceso de las autoridades públicas del país de destino a los datos transferidos, así como los aspectos pertinentes del ordenamiento jurídico. Los CEC se actualizaron posteriormente para intentar dar cumplimiento a esta sentencia. En la práctica, sin embargo, la aplicación de tales disposiciones plantea importantes dificultades, como ilustra un caso reciente en el que Meta fue multada con 1.300 millones de dólares por transferencias UE-EE.UU. realizadas sobre la base de cláusulas contractuales tipo. En ese caso, la Junta Europea de Protección de Datos dictaminó que "las medidas [organizativas], técnicas y jurídicas aplicadas por Meta IE... [no pueden] compensar las deficiencias detectadas en la legislación estadounidense y no pueden proporcionar una protección esencialmente equivalente a la disponible con arreglo a la legislación de la UE."
¿Qué significa para las empresas estadounidenses el recientemente adoptado Marco de Privacidad de Datos UE-EE.UU.?
Las empresas y organizaciones estadounidenses (así como las filiales europeas y otras entidades) podrán transferir datos personales a las empresas participantes de Estados Unidos, sin tener que establecer salvaguardias adicionales de protección de datos (por ejemplo, CSC) y/o arriesgarse a incumplir el RGPD. Primero tendrán que adherirse al DPF UE-EE.UU. autocertificando su adhesión a un conjunto detallado de principios marco de privacidad (Principios) emitidos por el Departamento de Comercio de los Estados Unidos. Estos Principios pueden incluir (pero no se limitan necesariamente a) lo siguiente:
AVISO
Las empresas u organizaciones estadounidenses deben proporcionar un aviso de privacidad claro y visible que contenga 14 puntos de información distintos a las personas en el momento de la recogida de información personal. Este aviso debe ser se facilitará en un lenguaje claro y visible cuando se pida por primera vez a los particulares que faciliten información personal a la entidad o tan pronto como sea posible, pero en cualquier caso antes de que la entidad utilice dicha información para un fin distinto de aquel para el que fue originalmente recogida o tratada por la entidad que la transfiere o la revele por primera vez a un tercero. El aviso proporcionado por la empresa u organización estadounidense debe informar a los particulares sobre:
Su participación en el DPF UE-EE.UU. y proporcionar un enlace o la dirección web de la Lista del Marco de Privacidad de Datos (de organizaciones participantes).
Los tipos de datos personales recogidos y, en su caso, las entidades estadounidenses o filiales estadounidenses de la organización que también se adhieren a los Principios.
Su compromiso de someter a los Principios todos los datos personales recibidos de la UE en virtud del DPF UE-EE.UU.
Los fines para los que recoge y utiliza información personal sobre ellos
Cómo ponerse en contacto con la organización para cualquier consulta o reclamación, incluido cualquier establecimiento pertinente en la UE que pueda responder a dichas consultas o reclamaciones.
El tipo o la identidad de los terceros a los que revela información personal, y los fines para los que lo hace.
Derecho de las personas a acceder a sus datos personales
Las opciones y medios que la organización ofrece a las personas
Las opciones y medios que ofrece la organización o la limitación del uso y divulgación de sus datos personales
El organismo independiente de resolución de litigios designado para tratar las reclamaciones y ofrecer un recurso adecuado y gratuito al particular, y si se trata de: (1) el panel establecido por las APD, (2) un proveedor de resolución alternativa de litigios con sede en la UE, o (3) un proveedor de resolución alternativa de litigios con sede en Estados Unidos.
Estar sujeto a los poderes de investigación y aplicación de la FTC, el DOT o cualquier otro organismo legal autorizado de EE.UU.
La posibilidad, en determinadas condiciones, de que el particular invoque un arbitraje vinculante.
La obligación de revelar datos personales en respuesta a solicitudes legítimas de las autoridades públicas, por ejemplo para cumplir requisitos de seguridad nacional o de aplicación de la ley.
Su responsabilidad en caso de transferencia a terceros
ELECCIÓN
Una organización debe ofrecer a los individuos mecanismos claros, visibles y fácilmente disponibles para ejercer la opción (es decir, exclusión voluntaria), y el consentimiento expreso (es decir, inclusión voluntaria) para los datos sensibles, en cuanto a si su información personal se divulga a un tercero o se utiliza para un fin distinto de aquellos para los que se recogió originalmente.
RESPONSABILIDAD DE LA TRANSFERENCIA
Para transferir información personal a un tercero que actúe como responsable del tratamiento, las organizaciones deben:
Cumplir los principios de notificación y elección.
Celebrar un contrato con el tercero responsable del tratamiento que, entre otros elementos exigidos, establezca que dichos datos sólo podrán tratarse para fines limitados y especificados en consonancia con el consentimiento otorgado por la persona y que el receptor proporcionará el mismo nivel de protección que los Principios.
Para transferir datos personales a un tercero que actúe como agente, las organizaciones deben, entre otros requisitos
Transferir dichos datos sólo para fines limitados y específicos
Asegurarse de que el agente está obligado a proporcionar al menos el mismo nivel de protección de la intimidad que exigen los Principios.
Adoptar medidas razonables y adecuadas para garantizar que el agente procesa efectivamente la información personal transferida de forma coherente con las obligaciones de la organización en virtud de los Principios;
SEGURIDAD
Las organizaciones que creen, mantengan, utilicen o difundan información personal deben aplicar medidas de seguridad razonables para proteger y garantizar la disponibilidad de dicha información.
INTEGRIDAD DE LOS DATOS Y LIMITACIÓN DE SU FINALIDAD
La recogida, el tratamiento y la conservación de información personal deben limitarse a la información pertinente y necesaria para los fines del tratamiento.
ACCESO
Salvo algunas excepciones, las personas deben tener acceso a la información personal sobre ellas que posea una organización y poder corregirla, modificarla o eliminarla según sea necesario. El acceso debe facilitarse "...en un plazo razonable, de manera razonable y de forma fácilmente inteligible para el individuo".
RECURSO, EJECUCIÓN Y RESPONSABILIDAD
Una protección eficaz de la privacidad debe incluir mecanismos sólidos para garantizar el cumplimiento de los Principios, recursos para las personas que se vean afectadas por el incumplimiento de los Principios y consecuencias para la organización cuando no se respeten los Principios.
¿Cuáles son las consecuencias del incumplimiento?
El incumplimiento de los principios DPF UE-EE.UU. por parte de empresas u organizaciones estadounidenses que se hayan autocertificado, o que se hayan presentado al público como conformes con los principios, puede dar lugar a la aplicación de la normativa y a importantes multas y sanciones, así como a litigios civiles. En virtud de los anteriores marcos Privacy Shield y Safe Harbor, la Comisión Federal de Comercio emprendió acciones legales contra docenas de empresas que hicieron declaraciones falsas o engañosas sobre su participación en dichos marcos haciendo uso de su autoridad en virtud de la Ley de la Comisión Federal de Comercio.
Es probable que las empresas que incumplan de forma persistente el DPF UE-EE.UU. sean eliminadas o excluidas de la lista de DPF UE-EE.UU. que mantiene el Departamento de Comercio y se les exija que devuelvan o supriman la información personal que recibieron en virtud del DPF UE-EE.UU.. Además, existe la posibilidad de que la FTC imponga importantes multas y sanciones en virtud del artículo 5 de la Ley de la Comisión Federal de Comercio (FTC), que prohíbe los actos desleales o engañosos en el comercio o que afecten a éste (15 U.S.C. § 45); el Departamento de Transporte también puede imponer sanciones en virtud del artículo 49 U.S.C. § 41712, que prohíbe a los transportistas o agentes de venta de billetes realizar prácticas desleales o engañosas. Por consiguiente, las empresas que participen en el DPF UE-EE.UU. deben disponer de documentación sólida sobre su cumplimiento de los principios del DPF UE-EE.UU. y estar preparadas para demostrar dicho cumplimiento a las autoridades reguladoras.
¿Y ahora qué?
Cabe señalar que el nuevo DPF UE-EE.UU. es el tercer intento (o el cuarto, si se cuentan los SCC) de abordar los requisitos de la legislación sobre privacidad de la UE y permitir el flujo seguro de datos personales de la UE a EE.UU. Está diseñado para abordar las conclusiones anteriores del Tribunal de Justicia de las Comunidades Europeas, por ejemplo limitando el acceso de las autoridades públicas de EE.UU. a los datos del ámbito de aplicación que sean necesarios y proporcionados para proteger la seguridad nacional y proporcionando a las personas afectadas un mecanismo de recurso independiente e imparcial en relación con la recopilación y el uso de sus datos por parte de las agencias de inteligencia estadounidenses.Las autoridades públicas estadounidenses sólo tendrán acceso a los datos que sean necesarios y proporcionados para proteger la seguridad nacional, y las personas afectadas dispondrán de un mecanismo de recurso independiente e imparcial en relación con la recopilación y el uso de sus datos por parte de las agencias de inteligencia estadounidenses.
Sin embargo, al igual que con los marcos anteriores, la idoneidad del DPF UE-EE.UU. y de estos mecanismos será impugnada con toda seguridad ante los tribunales de la UE (¿Schrems III?). Es perfectamente posible que el DPF UE-EE.UU. no sobreviva a estos desafíos, y que los SCC también resulten difíciles de aplicar para muchas empresas sin riesgo de un importante escrutinio normativo. Estas empresas deberían considerar cuidadosamente alternativas a las transferencias de datos UE-EE.UU., como la localización de los datos dentro de la UE, o salvaguardias técnicas adicionales para el acceso a los datos que se transfieren a EE.UU. que requieren la aprobación de los responsables dentro de la UE.
El cumplimiento de la DPF UE-EE.UU. requerirá que la miríada de variables de contexto en los conjuntos de datos y casos de uso de cada empresa sean revisados por un experto en privacidad para determinar la estrategia general de cumplimiento, el contenido y los elementos del aviso de privacidad de la empresa y los acuerdos de procesamiento de datos, así como otros requisitos aplicables. También debe crearse y aplicarse un programa que permita el ejercicio de los derechos de privacidad de los consumidores e individuos. Las empresas también pueden beneficiarse de la asistencia en la planificación y ejecución del proyecto a través de un consultor externo con experiencia en el diseño eficiente de programas de privacidad basados en el riesgo y en evitar los errores comunes inherentes a la creación de este tipo de programas.
Matthew A. Corwin tiene más de 20 años de experiencia especializada en privacidad, cumplimiento normativo y ciberseguridad, con experiencia práctica especializada en la dirección de la implementación e integración de principios de diseño seguro e iniciativas de ingeniería de servicios que aprovechan las últimas tecnologías. Tiene un historial exitoso de facilitar la alineación entre la tecnología y el negocio, al tiempo que equilibra la exposición al riesgo y el crecimiento corporativo. El Sr. Corwin también tiene una amplia experiencia en el análisis de la arquitectura técnica para lograr y demostrar el mejor cumplimiento de los estándares regulatorios y de la industria en entornos globales.
Este sitio utiliza cookies para ofrecerle un servicio más ágil y personalizado. Al utilizar este sitio, acepta el uso que hacemos de las cookies. Puede obtener más información sobre el uso que hacemos de las cookies y tecnologías similares y sobre sus opciones consultando nuestra Política de privacidad. Al hacer clic en "Acepto", acepta nuestro uso de cookies y tecnologías similares.