Privacy Shield: el controvertido acuerdo de transferencia de datos entre la UE y los EUA
El acuerdo Privacy Shield (Escudo de Privacidad) entre la UE y los EUA reguló del 2016 al 2020 la transferencia de datos personales de la UE a los EUA. Dicho acuerdo fue declarado nulo en julio de 2020 (sentencia Schrems II), por no poder garantizar una protección de datos conforme al RGPD. Hasta la entrada en vigor de una nueva normativa, las empresas están sujetas a medidas más estrictas y, si quieren evitar ser sancionadas, deben mejorar la protección de datos en los EUA.
La situación actual: ¿qué implicaciones tiene el final del acuerdo Privacy Shield?
Aunque el Privacy Shield fue declarado nulo, las empresas pueden seguir exportando datos personales a los EUA. Para ello pueden continuar utilizando las cláusulas contractuales estándar de la UE (SCC). Las pymes, que hasta ahora confiaban en este acuerdo, pueden recurrir ahora a las cláusulas contractuales estándar de la UE o a otras alternativas. Algunas empresas deberán considerar las Normas Corporativas Vinculantes (BCR).
Las Normas Corporativas Vinculantes (Binding Corporate Rules) son utilizadas por multinacionales y otras empresas con presencia internacional para establecer reglas que rijan a nivel corporativo la transferencia de datos personales. Una vez recibida la autorización por parte de la entidad reguladora, se garantiza que estas reglas cumplen las garantías de protección de datos a nivel europeo. El RGPD establece los requisitos y las exigencias de las BCR en el artículo 47.
No obstante, de acuerdo con la sentencia Schrems II, el uso de las cláusulas contractuales estándar conlleva atenerse a una normativa más estricta: las empresas deben introducir medidas adicionales y en principio tratar cada transferencia de datos como un caso particular, debiendo asegurarse de que cada país cuenta con un nivel de protección de datos suficiente. En caso de no cumplirse esta condición, por ejemplo, debido a la legislación de seguridad en ese país, la empresa está obligada a paralizar la transferencia de datos.
Además, estas cláusulas estándar están sujetas a una inspección de los organismos europeos de supervisión y protección de datos. Si la situación jurídica de un país impide que el receptor de los datos cumpla con sus obligaciones de las cláusulas estándar, la transferencia de datos puede interrumpirse o incluso prohibirse. Todo el proceso debe tenerse en cuenta en el momento de analizar el nivel de protección de datos. Se debe garantizar en todo momento que, por ejemplo, las autoridades judiciales o de seguridad nacional del país receptor no tengan acceso a datos personales.
En la situación actual, la evaluación caso por caso es particularmente difícil para las pymes, ya que normalmente no disponen de los conocimientos técnicos y los medios para verificar en detalle si existe, por ejemplo, un nivel adecuado de protección de datos en un tercer país. Además, el fallo del TJUE no especifica exactamente qué normas se aplicarán específicamente a las evaluaciones de casos individuales o a posibles ampliaciones de las cláusulas contractuales estándar.
Las pymes deberían de todos modos abordar activamente la cuestión. Los expertos jurídicos aconsejan tomar las mayores precauciones posibles y documentar detalladamente los procedimientos de protección de datos que aplican. Las empresas estarán así preparadas para una posible disputa legal y podrán defender mejor sus propias acciones ante los tribunales una vez el Privacy Shield quede sin efecto.
Una medida concreta de protección consiste en aplicar cuidadosamente los aspectos formales de las cláusulas generales de protección de datos (por ejemplo, mediante una descripción detallada de los flujos de datos). Además, solo se deben recopilar y transmitir los datos personales absolutamente necesarios. Asimismo, los expertos jurídicos recomiendan realizar un análisis de riesgo bien fundamentado y bien documentado que considere los problemas relevantes. Por ejemplo, debería analizarse en profundidad la situación jurídica en los Estados Unidos o en países fuera de la UE y evaluarse la probabilidad de un acceso no autorizado a los datos.
Además, debería aclararse si, dada la situación actual, el receptor de los datos asume obligaciones contractuales adicionales (por ejemplo, el aumento de sus obligaciones de control y notificación). En la situación actual, las empresas también podrían exigir a sus socios comerciales y proveedores de servicios de los Estados Unidos utilizar todos los medios técnicos disponibles a fin de optimizar la protección de datos –por ejemplo, el uso de cifrado de extremo a extremo en un software de videoconferencia.
Aquellos que puedan renunciar a transferencias de datos, servicios en la nube y servidores en terceros países fuera de la UE, deberían buscar alternativas en la UE que cumplan con la normativa del Reglamento General de Protección de Datos (RGPD). Asimismo, deberían también seguir de cerca los acontecimientos concernientes a la legislación sobre protección de datos. El Comité Europeo de Protección de Datos (CEPD) informa sobre la situación actual en sus preguntas frecuentes acerca de la sentencia del TJUE sobre el acuerdo Privacy Shield.
¿Qué es el acuerdo Privacy Shield entre la UE y los EUA?
El Escudo de Privacidad fue introducido oficialmente a mediados de 2016 como sucesor del acuerdo de transferencia de datos Safe Harbor (Puerto Seguro) entre la Unión Europea y los Estados Unidos. El objetivo del acuerdo era proteger los datos de los ciudadanos europeos que son almacenados y procesados por empresas con sede en los EUA después de haber sido transferidos a este país. Esto se refiere exclusivamente a los datos personales, que, por ejemplo, se recogen en gran medida en el comercio online. Los datos personales incluyen números de teléfono, de cliente, de tarjetas de crédito, datos de cuentas, apariencias físicas o direcciones de ciudadanos de la UE, entre otros.
El sucesor del acuerdo Puerto Seguro dejó de ser vigente en julio de 2020 tras un fallo del TJUE. En la denominada sentencia Schrems II del 16 de julio de 2020, el TJUE dictamina que el nivel de seguridad exigido en el RGPD no se alcanza en aquellos datos personales almacenados y procesados en los EUA.
El Reglamento General de Protección de Datos fue aprobado en el Parlamento Europeo por amplia mayoría el 14 de abril de 2016, y entró en vigor el 25 de mayo de 2018 después de una fase de transición de dos años.
Al hacerlo, el TJUE también anuló la conclusión de adecuación de la Comisión Europea, que confirmó repetidamente que los EUA tenían un nivel suficiente de protección de datos. El fallo del TJUE tuvo lugar a raíz de una demanda presentada por el experto en protección de datos Maximilian Schrems, que había provocado ya el fin del acuerdo Safe Harbor con una demanda previa. El austriaco quería prohibir a Facebook Irlanda la transferencia de sus datos personales a los Estados Unidos y había presentado una denuncia ante la autoridad irlandesa de protección de datos. Al no iniciar el Tribunal Superior de Justicia irlandés ningún procedimiento, Schrems lo demandó. En el segundo caso, la autoridad irlandesa de protección de datos remitió el asunto al Tribunal de Justicia de la Unión Europea para su revisión jurídica, que finalmente anuló el acuerdo Privacy Shield entre la UE y los EUA.
Contenido y condiciones generales del Privacy Shield
El sucesor de Safe Harbor se basaba en medidas y normas especiales de protección de datos que debían ser cumplidas por los EUA. Un elemento importante era que las empresas estadounidenses podían certificarse para el Privacy Shield. Después de que una empresa estadounidense se sometiera voluntariamente a los términos del acuerdo, se realizaba una inspección por parte del Departamento de Comercio de los Estados Unidos. Una vez una empresa había completado el proceso con éxito, se incluía su nombre en una base de datos de libre acceso. Cuando finalizó la vigencia del acuerdo, la lista incluía un total de 5384 organizaciones.
El acuerdo Privacy Shield entre la UE y los EUA garantizaba a los ciudadanos de la UE amplios derechos cuando sus datos personales eran transferidos a empresas certificadas en los EUA. Los ciudadanos de la UE podían contactar directamente con las empresas estadounidenses para reclamar sus derechos. Estas empresas tenían que responder a las peticiones de los ciudadanos en un plazo de 45 días. Los derechos garantizados en el Privacy Shield eran los siguientes:
- Derecho a la información
- Derecho al recurso (se podía hacer una objeción a un tratamiento de datos, en caso de que fuera necesario)
- Derecho a la corrección de datos inexactos
- Derecho a la eliminación de datos
- Se disponía de procedimientos de reclamación
Para garantizar el cumplimiento del acuerdo y la protección de sus derechos, los ciudadanos de la UE también podían recurrir a un Defensor del Pueblo dentro del Departamento de Estado de los Estados Unidos. El Defensor del Pueblo debía ser independiente de todos los servicios de inteligencia, investigar las demandas de los particulares y en casos concretos proporcionar información sobre si se estaba respetando la legislación vigente. Sin embargo, el cargo estuvo inicialmente vacante y no se ocupó hasta 2018 pese a la insistencia de la UE. Manisha Singh trabajó inicialmente como Defensora del Pueblo, seguida por Keith Krach en junio de 2019.
Como alternativa, los ciudadanos de la UE podían también ponerse en contacto con sus respectivas autoridades nacionales de protección de datos, que a su vez podían ponerse en contacto con la Comisión Federal de Comercio de los Estados Unidos (FTC) para obtener más aclaraciones. El procedimiento de arbitraje con un laudo arbitral ejecutable era la última instancia en caso de no alcanzarse un mutuo acuerdo. Todas las empresas podían también actuar de acuerdo con las recomendaciones de las autoridades europeas de protección de datos. Las empresas que procesan datos personales, de igual forma, están obligadas a hacerlo.
Un requisito previo para la validez del acuerdo Privacy Shield fue una decisión de adecuación de la Comisión Europea que certificase que Estados Unidos tenía un reglamento adecuado de protección de datos para el almacenamiento y el procesamiento de datos personales de la UE. La Decisión de Adecuación de 2016 era revisada anualmente y se renovaba si se cumplía el nivel requerido de protección de datos. La Comisión Europea y el Departamento de Comercio de Estados Unidos llevaban a cabo la revisión conjuntamente, contando también con la participación de profesionales. El procedimiento daba lugar a un informe público que se presentaba al Parlamento y al Consejo Europeo.
A pesar de estas amplias medidas de protección de datos, no había certeza de la inexistencia de la vigilancia masiva. Estados Unidos podía aún recolectar datos con seis objetivos, que, al examinarse detenidamente, dejan cierto margen de interpretación:
- La lucha contra el terrorismo
- La revelación de actividades de las potencias extranjeras
- La lucha contra la proliferación de armas de destrucción masiva
- La ciberseguridad
- La protección de los EUA y las fuerzas aliadas
- La lucha contra las amenazas criminales internacionales
Escudo de Privacidad: pros y contras
Los amplios derechos de los ciudadanos europeos a presentar quejas ante diversos organismos en caso de incumplimiento de la protección de datos por parte de empresas estadounidenses era uno de los beneficios del acuerdo Privacy Shield. Un componente importante era también el principio de limitación de la finalidad. Los datos solo podían registrarse y procesarse para un propósito claramente definido de antemano y legalmente permisible.
Sin embargo, el acuerdo Privacy Shield entre la UE y los EUA fue objeto de oposición desde el principio. Para los críticos, el acuerdo no era lo suficientemente amplio. Reclamaban que los requisitos del TJUE no se cumplían suficientemente y se ocultaban muchas incoherencias. Dado que el puesto de Defensor del Pueblo fue asignado al Ministerio de Relaciones Exteriores, los críticos consideraron que el acuerdo carecía de independencia institucional y lo interpretaron como un conflicto con el reglamento básico de protección de datos (párrafo 1 del artículo 52 del RGPD). También criticaron el hecho de que los ciudadanos de la UE afectados no pudieran emprender acciones legales contra las decisiones de la oficina del Defensor del Pueblo.
Otro de los principales aspectos que fueron objeto de críticas fue que las medidas de vigilancia masiva no estaban sujetas a una prueba de proporcionalidad y, por lo tanto, violaban la legislación europea. Estados Unidos seguía siendo el poder central de control y no había pruebas de una investigación por parte de las autoridades supervisoras. Los críticos también echaban en falta un control urgente sobre las grandes empresas online de los EUA.
A raíz de estas deficiencias, críticos y expertos supusieron que el acuerdo no resistiría una revisión en profundidad del TJUE, y por lo tanto no era una solución duradera. Las mínimas diferencias con el acuerdo Safe Harbor fueron repetidamente señaladas. Numerosos críticos denunciaron que el acuerdo Privacy Shield no suplía las carencias de la ley anterior.
La aplicación práctica del Privacy Shield
El abrupto fin del acuerdo Safe Harbor dio pie a un sentimiento de incertidumbre en el ámbito empresarial. Se temieron sanciones en caso de encontrarse incumplimientos en cuanto a la protección de datos durante una inspección. Además, las nuevas normas suponían para las empresas una inversión de tiempo y dinero para adaptarse al nuevo reglamento de protección de datos.
Un gran número de empresas adoptaron en ese momento las cláusulas contractuales estándar de la UE, o utilizaron éstas como ampliación del acuerdo Safe Harbor (por ejemplo, Facebook). Esta práctica fue en aumento durante la fase de transición hacia el acuerdo Privacy Shield entre la UE y los EUA y se mantuvo durante el tiempo que permaneció vigente. Y es que las empresas no querían confiar únicamente en un acuerdo sobre protección de datos que, al igual que su antecesor, no conseguía eliminar conflictos y problemas de protección de datos elementales.
Inspecciones anuales, que a menudo apuntaban al fin del acuerdo, reforzaron esa desconfianza. El uso alternativo o paralelo de las cláusulas contractuales estándar de la UE fue también una reacción a la deficiente aplicación de los principales puntos del acuerdo Privacy Shield en los EUA. Un ejemplo fue la larguísima demora para cubrir el puesto de Defensor del Pueblo.
Conclusión: una normativa transicional sin fundamento sólido.
Desde la entrada en vigor del RGPD, los acuerdos internacionales de protección de datos lo tienen difícil. El Privacy Shield acabó siendo meramente una normativa de transición, que introdujo apenas temporalmente un marco legal vinculante para la transferencia internacional de datos personales y que, después de ser eliminado, supuso ante todo una buena dosis de desconcierto y confusión para las empresas afectadas.
La suerte corrida por el Escudo de Privacidad demuestra que los problemas fundamentales de la protección de datos en un contexto de creciente digitalización no se pueden camuflar, sino que deben corregirse de manera duradera en el marco del RGPD. De otro modo, los modelos de negocio con proyección a largo plazo que operan con datos personales a nivel internacional, perderían su fundamento.
Ya existen indicios de una creciente concienciación en lo referente a la protección de datos en los EUA, y con ella de una aproximación a los principios del RGPD, como muestra el Decreto de Privacidad del Consumidor de California (CCPA). Que el alto nivel de exigencia de las premisas del RGPD lo conviertan en un estándar mundialmente adoptado por el comercio digital parece algo de momento bastante dudable, al menos juzgando por las enormes diferencias en cuanto al tratamiento de datos personales a nivel global.
El RGPD, que actualmente se ve ampliado por otras normas europeas de protección de datos, como el Reglamento de Privacidad Electrónica y directivas como la Guía sobre el uso de las cookies, podría revelarse como un creciente punto de conflicto para las relaciones empresariales a nivel internacional.
Por favor ten en cuenta el aviso legal relativo a este artículo.