EEUU y la UE llegan a un nuevo acuerdo sobre transferencias internacionales de datos que blinda la privacidad que reclamaba el TJUE

La Comisión Europea a aprobaba este lunes el nuevo tratado bilateral de transferencia de datos con Estados Unidos, que debe permitir que las compañías no europeas puedan enviar datos de los ciudadanos comunitarios a sus servidores en territorio estadounidense con garantías de protección de la privacidad. La decisión concluye que Estados Unidos garantiza un nivel adecuado de protección, comparable al de la Unión Europea, para los datos personales transferidos desde la UE a empresas estadounidenses bajo el nuevo marco.

Von der Leyen alcanzó un acuerdo con el presidente de Estados Unidos, Joe Biden, en marzo del 202  sobre un nuevo marco de flujos de datos transatlánticos. En octubre de 2022, el presidente Biden firmó una Orden Ejecutiva sobre «mejora de las salvaguardas para la actividad de inteligencia de señales de Estados Unidos”.

El TJUE había anulado  los dos pactos anteriores, denominados Puerto Seguro (2000) y Escudo de Privacidad (2016), a raíz de una demanda interpuesta por el activista austriaco Max Schrems, presidente de la asociación en defensa de la privacidad Noyb, entre otras cuestiones porque EE.UU. disponía de una ley de vigilancia de inteligencia extranjera (FISA), que garantiza que sólo un juez puede autorizar a las agencias gubernamentales a acceder a los datos de ciudadanos norteamericanos, pero no así en el caso de los extranjeros

Ahora se introducen todas las inquietudes planteadas por el Tribunal de Justicia de la Unión Europea, incluida la limitación del acceso a los datos de la UE por parte de los servicios de inteligencia de EE. UU. a lo que sea necesario y proporcionado, y el establecimiento de un Tribunal de Revisión de Protección de Datos (DPRC).

El nuevo marco introduce mejoras significativas en comparación con el mecanismo que existía bajo el Escudo de Privacidad. Por ejemplo, si la DPRC determina que los datos se recopilaron en violación de las nuevas salvaguardas, podrá ordenar la eliminación de los datos. Las nuevas salvaguardas en el ámbito del acceso gubernamental a los datos complementarán las obligaciones que tendrán que suscribir las empresas estadounidenses que importen datos de la UE.

(Foto: TJUE)

La presidenta Ursula von der Leyen dijo: “En la nueva Unión Europea-EE.UU, el marco de privacidad de datos garantizará flujos de datos seguros para los europeos y brindará seguridad jurídica a las empresas de ambos lados del Atlántico. Hoy damos un paso importante para brindarles a los ciudadanos la confianza de que sus datos están seguros, para profundizar nuestros lazos económicos entre la UE y los EE. UU y, al mismo tiempo, para reafirmar nuestros valores compartidos. Muestra que, trabajando juntos, podemos abordar los problemas más complejos”, indicó.

Hay que recordar que en los últimos meses las principales sanciones de los reguladores han venido por las transferencias internacionales de datos.  Asi han sido las sanciones millonarias  impuestas por los reguladores de Italia, Francia o Austria.

Los expertos consultados por Economist & Jurist señalan que  en la actualidad el movimiento de datos de las empresas no es solo de la UE a EEUU sino también a otros paises, con lo cual este acuerdo solo resuelve una parte de esta problemática.

Desde esta perspectiva algunos de estos expertos creen que podría ser interesante seguir acudiendo a contratos intragrupos o a normas corporativas vinculantes, medidas de seguridad originales como el cifrado en origen siguen siendo recomendables hasta que se vea la eficacia de este mecanismo que se ha dado a conocer este lunes

Compromisos de EEUU

Las empresas estadounidenses podrán unirse al nuevo marco de privacidad Unión Europea-EE.UU comprometiéndose a cumplir con un conjunto detallado de obligaciones de privacidad, por ejemplo, el requisito de eliminar datos personales cuando ya no sean necesarios para el propósito para el que fueron recopilados, y garantizar la continuidad de la protección cuando los datos personales se comparten con terceros.

Las personas de la UE se beneficiarán de varias vías de reparación en caso de que las empresas estadounidenses manejen incorrectamente sus datos. Esto incluye mecanismos de resolución de disputas independientes y gratuitos y un panel de arbitraje.

Además, el marco legal de los EE.UU prevé una serie de garantías con respecto al acceso a los datos transferidos bajo el marco por parte de las autoridades públicas de los EE. UU, en particular para fines de aplicación de la ley penal y seguridad nacional. El acceso a los datos se limita a lo necesario y proporcionado para proteger la seguridad nacional.

Tal y como explica Flora Egea, socia de Legal Army y ex DPO de BBVA, los ciudadanos europeos tienen hasta siete alternativas para reparar cualquier cuestión relacionada con sus datos perosnales. Eso implica también la creación de un Tribunal de Revisión de Protección de Datos (DPRC) recientemente creado que investigará y resolverá las quejas de forma independiente, incluso mediante la adopción de medidas correctivas vinculantes.

Flora Egea (Foto: E&J)

Esta experta se detiene en el mecanismo  para corregir los incumplimientos que se cometen respecto a un particular o interesado cuyos datos personales es posible que hayan sufrido una infracción. Esta respecta subraya que en este nuevo escenario hay siete posibilidades que habrá que ver en la práctica como se pueden implementar. “Entre ellas hay la opción a acudir a un comité especifico de arbitraje, como sexta alternativa”.

Egea indica que “la primera opción es dirigirte a la propia empresa que cometió dicho incumplimiento respecto a esos datos, si no hay respuesta satisfactoria esa empresa tiene que haber nombrado un organismo independiente para resolver las disputas, se puede ir a ese organismo que no tiene coste alguno realmente. Este organismo puede corregir la situacion e imponer sanciones”.

Como tercer punto, cabe la posibilidad de acudir a la autoridad nacional de tu pais, en España seria la propia AEPD que también tiene poder para decir algo. Otra opción, la cuarta es  acudir al Departamento de Comercio de EEUU; en quinto se puede ir a la Federal Trade Comission de este pais y en sexto lugar iríamos al arbitraje. Se trata de invocar el Comité de Arbitraje. Es un Comité especifico con diez árbitros de ese pool eligen tres para resolver el asunto”.

Nuestra interlocutora subraya que “este comité de arbitraje se impulsa para este cometido. Los árbitros son designados por el Departamento de Comercio de EEUU y pertenecen al Centro Internacional de Resolución de Diputas que ya existe impulsado por la Asociación  Americana de Arbitraje. Estos árbitros tienen un código de conducta y una forma de trabajar. El laudo que emitan tiene categoría de sentencia firme.

Como séptima opción, por ultimo, se puede dirigir el ciudadano a tribunales americanos americanos  a través de las leyes de consumidores. Es adecuado en el caso que haya habido daños y se busque una compensación se puede recurrir a esa ejecución judicial. Al final son siete las opciones del interesado para resarcir el problema generado con sus datos personales y resolver el incumplimiento”:

Para esta experta el esfuerzo Gobierno de EEUU ha sido enorme, el propio Schrems en sus recursos anteriores reclamaba un remedio efectivo para corregir esa problemática, ahora hay siete vias de resolver estos problemas. Ahora habrá que ver e la práctica como funciona cada una de ellas”:

Egea subraya que EEUU no esta regulado por el RGPD “pero los principios que han establecido son muy parecidos y ofrece un nivel adecuado o similar, A este respecto habría que comparar si el esfuerzo de adecuación al RGPD que han hecho otros países es similar al de EEUU es muy parecido. Desde ese punto de vista creo que estamos en el buen camino”.

Clave su implementación práctica

Joaquin Muñoz, socio y responsable de  departamento de Commercial y Privacy & Data Protection de Bird & Bird en España , reconoce que lo que se conoce parece que va por el buen camino “una cosa es la teoría  y otra será ver como se implementa este nuevo acuerdo sobre transferencias internacionales entre UE y EEUU”

Joaquín Muñoz (Foto: E&J)

Desde su punto de vista “la clave está en la capacidad de las autoridades americanas de controlar posibles abusos en la gestión de datos, sobre todo por las instituciones de inteligencia de EEUU. Y los principales cambios de este nuevo acuerdo van en esa línea para dotar de seguridad jurídica este tipo de transferencias internacionales de datos”.

De esta forma “se establecen procedimientos e instituciones para ese control de la actividad amparada por la normativa americana se alinee con los principios del RGPD, a nivel de proporcionalidad, minimización etec. Los principales cambios y negociaciones han venido por ahí por lo que se plama en texto donde la UE da por válidas esas medidas que propone el Gobierno americano”.

A este respecto “se refuerza el mecanismo de control a posteriori, de tal forma que si un ciudadano europeo considera que no se está cumpliendo con esas medidas de seguridad, o pueda denunciar. Asi se establece el mecanismo del supervisor desde el Tribunal de Revisión de Protección de Datos (DPRC), del que será importante conocer qué plazos tiene para gestionar los requerimientos que le lleguen en el futuro”.

Muñoz recuerda que “este es uno de los elementos que la sentencia del TJUE anterior reclamaba y aquí se plasma con este nuevo organismo. A corto plazo habrá que ver si esas medidas son eficientes y pueden demostrar una voluntad del Gobierno americano de alinearse con los requisitos de la normativa europea”.

Desde su punto de vista, “la clave de funcionamiento de estas medidas va a radicar en la transparencia que existe en estos procesos de control. Es importante que el ciudadano tenga visibilidad sobre en qué se concretan esas medidas y si van a tener el efecto que se esperan. Esperemos que periódicamente se conozca realmente como se están gestionando este tipo de controles que eliminen cualquier sospecha de control de los datos”.

En el protocolo de acuerdo que ahora tendrá que ratificar el Parlamento europeo se indica que habrá una revisión anual del mismo “es una forma también de mejorar este acuerdo sobre todo cuando sabemos que Schrems ya anunciado que volverá a impugnar este acuerdo que se está dando a conocer ahora”.

Tambien este acuerdo deja abierto la posibilidad a utilizar el arbitraje y métodos parecidos para resolver algunas disputas que surjan “habrá que ver como se gestiona. Tendra que estar recogido en el procedimiento previo que suscriban las empresas entre si para emplear el arbitraje como fórmula para resolver sus controversias”.

En este escenario que ahora se abre, Muñoz cree que hay que ser prudente “porque hay cuestiones anteriores como las evaluaciones de impacto en las transferencias internacionales, el seguir utilizando cláusulas tipo o contratos intragrupos que pueden ser complementarias a esto y garantizan el cumplimiento en previsión de una posible anulación de este tratado”.

Mayor certidumbre a estas transferencias

Por su parte Carlos Sáiz, Vicepresidente. Socio de Risk & Compliance de Ecix Group y presidente de Enatic.  considera que “el EU-US DPF es la decisión que reconoce un nivel adecuado de seguridad para los datos personales que se transfieran desde el EEE a los EE.UU, únicamente para las entidades que se encuentren adheridas al marco de privacidad. Las entidades que se tienen que adherir son las estadounidenses (como importadoras de los datos), no en sí las europeas que los vayan a exportar.”

Carlos Saiz (Foto: E&J)

A su juicio  “las principales obligaciones son las de respetar los principios básicos que reconoce el marco de privacidad (muy similares a los que reconoce el RGPD). Sobre el proceso de certificación, para adherirse al marco de privacidad deberá demostrarse el cumplimiento con los anteriores principios tanto al momento de inscribirse por primera vez como con cada re-certificación (obligatoriamente, las entidades deberán revalidar su certificación con carácter anual)”.

Al mismo tiempo señala que  “se reconocen modalidades de certificación vía (i) self assessment o (ii) por comprobación externa”. Para este jurista “es muy relevante que las entidades adheridas deberán mantener trazabilidad de la implementación de las prácticas que reconoce el marco de trabajo, por si se requiriese ante alguna reclamación y lo solicitase la autoridad de control”.

 En cuanto a las empresas del Especio Económico Europeo  EEE, considera que “se flexibiliza el marco para poder realizar las transferencias fuera del EEE a USA, en condiciones similares a las que ya aplican para transferir datos a otros países (Reino Unido, Japón, Canadá, etc.).

 En cuanto a la principal novedad “como tercera decisión de adecuación que se aprueba para los EEUU (las dos primeras, anuladas por el TJUE) se han tratado de salvar los problemas identificados por el TJUE al tumbar la segunda decisión – el Privacy Shield – en verano de 2020, respecto a las incompatibilidades que existen entre (i) el marco de protección que confiere el RGPD y (ii) las facultades de supervisión y acceso a datos que se otorgaba, conforme al ordenamiento de EEUU, a autoridades públicas con fines de investigación de delitos y de seguridad nacional”.

De esta forma subraya  que “resulta de especial interés este mecanismo para dotar de más certidumbre a las miles de Transferencias Internacionales de Datos que se realizan entre UE y USA, especialmente a todos aquellos contratos y relaciones comerciales con las BigTech y la contratación de servicios en nube”.

Mejora la tutela efectiva de los derechos

Por su parte, Daniel Lopez, socio de ECIJA en materia de derecho tecnológico y privacidad “el acuerdo corresponde a una necesidad  existente en los últimos años porque no podemos olvidar que EEUU que provee de la tecnología, servicios no podía recibir esos datos personales desde Europa.

Eso era un problema para las empresas europeas y el gran escollo era la tutela efectiva del derecho y que hubiera una autoridad independiente que pusiera limite a la actuación de  los sistemas de inteligencia de EEUU se ha logrado con este acuerdo y la aparición del Tribunal de Revisión de Protección de Datos (DPRC), mejorar en ese aspecto aunque habrá que estar pendiente  a la impugnaciones de Schrems”.

A su juicio, el Gobierno americano ha mejorado mucho en la gestión interna de estos procedimientos, tal  y como señala en sus declaraciones la presidenta de la UE, Ursula Von der Leyen “los dos sistemas anteriores eran sistemas de certificación a los que las empresas se adherían, pero lo que faltaba eran controles en la protección de datos y derechos de las personas y ante quien se reclama. Ese es el paso importante que se da ahora”.

Daniel López (Foto: E&J)

En este contexto se crean dos figuras, la del Oficial de Protección de Datos que resuelve determinadas cuestiones y para el resto está el  DPRC lo que va a permitir gestionar las reclamaciones que lleguen. “Esta cuestión ya la hablaron otros presidentes americanos pero ha sido Biden con su Orden Ejecutiva quien lo ha implementado. Con dicha Orden había el compromiso real que fuera adelante esta cuestión”.

En las próximas semanas se tendrán que poner en marcha estos organismos formados por expertos independientes que no tengan que ver con la administracion americana “a las empresas hay que lanzarlas un par de mensajes. Uno que se refiere a este mecanismo que permite las trasferencias internacionales de datos a EEUU”.

Desde su punto de vista “en el corto plazo habrá que poner al dia las transferencias internacionales de datos, hay que recordar que el pasado mes de diciembre acababa el plazo para adaptarse a las nuevas cláusulas contractuales tipo. Este mecanismo de adhesión no implica que no haya cosas que tengas que hacer”

Para este jurista, la decisión tomada por el gobierno de EEUU es un paso importante para resolver la problemática de este nuevo tratado con la UE “lo que pedia el TJUE está en cuanto a tener un mecanismo de control de los datos. No es perfecto porque EEUU sigue sin tener Privacy Act para todo EEUU, pero al menos dentro de lo que había si aporta cierta seguridad jurídica”, aclara.