Destacado

El fin del Escudo De Privacidad UE-E.E.U.U: Por qué es importante

Si tu empresa con base en Estados Unidos utiliza información de usuarios de la Unión Europea, es momento de revisar y garantizar nuevas protecciones a los datos.

En julio de este año y en una decisión tan polémica como sorpresiva, la Corte de Justicia de la Unión Europea invalidó un acuerdo clave con Estados Unidos, llamado Escudo de Privacidad, o en adelante “Privacy Shield”. Dicho acuerdo le permitía a los miembros de la Unión Europea, entre otras cosas, la transferencia protegida y regulada de datos personales de usuarios a miles de empresas estadounidenses.

Esta decisión generó una serie de incertezas respecto al tratamiento –y más precisamente, al flujo– de los datos entre Europa y América protegidos por Privacy Shield, de manera muy particular para las empresas que tratan con información de usuarios en la Unión Europea. Asimismo, la protección que dichos usuarios ya gozan gracias al RGPD pone presión sobre los legisladores estadounidenses para adecuarse a dichas normas. Esto con el objetivo de asegurar la protección de la privacidad en los casos que la ahora impugnada norma convenía.

Para analizar el panorama, y visualizar con claridad la disputa, se hace necesario remontarnos a la legislación que vino a regular con guante de hierro a las organizaciones americanas con usuarios en la Unión Europea.

RGPD y la Unión Europea

Desde el 25 de mayo del 2018 comenzó a regir el regir el Reglamento General de Protección de Datos de la Unión Europea. Si bien a ojos del consumidor el cambio pudo ser imperceptible, el modo en que se diseña la web y se tratan los datos personales de los usuarios cambió para siempre.

En resumen, el RGPD vino a sobrescribir la legislación sobre datos personales en todos los estados miembros de la Unión Europea con el estándar de privacidad más alto que ha existido hasta ahora. Se consagraron y profundizaron una serie de derechos a favor de los usuarios tales como los de acceso, rectificación y eliminación de los datos personales de cualquier registro donde se encuentren. Además, el RGPD profundiza de modo muy relevante la transparencia e información con la que se debe informar al usuario que datos están siendo recolectados, como, para que y donde están siendo enviados.

Sumado al estándar de transparencia y derechos que establece el RGPD, quizás el aspecto más novedoso y relevante sea que la obligatoriedad de sus normas se extiende no solo a los estados miembros de la Unión Europea, sino además a todos quienes reciben datos personales de organismos o empresas que estén dentro de la Unión Europea. Así, estas transferencias internacionales deben ser autorizadas mediantes las denominadas “decisiones de adecuación” de la Comisión Europea. Esta decisión no busca declarar que la legislación del país destinatario sea igual al reglamento europeo, sino que es en términos prácticos sustancialmente equivalente, de modo que se cumpla con los requisitos básicos esenciales.

Revisa cómo Prey cambió sus políticas de privacidad debido al GDPR aquí.

El marco del “Escudo de Privacidad” entre la Unión Europea y Estados Unidos

En el caso de los Estados Unidos, la decisión de adecuación vigente era el “Escudo de Privacidad” o Privacy Shield, que el año 2016 vino a reemplazar el tratado anterior vigente denominado Safe Harbor, o “Puerto Seguro”. Mediante el Privacy Shield, las empresas que tratasen datos recibidos de la Unión Europea podían pasar por un proceso de certificación ante arbitradores autorizados por la Federal Trade Comission (FTC), que operaba como un órgano fiscalizador encargado de supervigilar que estas empresas efectivamente tratasen dichos datos personales del modo expuesto. En caso de que no cumpliesen o se presentase algún problema, el afectado podía recurrir a alguno de los organismos arbitradores autorizados para resolver la controversia y conseguir, eventualmente, la imposición de multas por parte de la FTC a aquellas empresas que incumplieran la normativa.

Las innovaciones del Privacy Shield respecto de Safe Harbor venían a ampliar los derechos y garantías de los usuarios en el tratamiento de sus datos de modo más acorde con los nuevos derechos garantizados por el RGPD. Además, se creaba la figura de un “Ombudsperson” o “Defensor del Pueblo” al que las autoridades de protección pueden realizar peticiones a nombre de ciudadanos europeos respecto de la vigilancia que pudiera realizar Estados Unidos con motivos de inteligencia. Sumado a esto, los miembros del Privacy Shield debían asegurar que los contratos que celebraran con terceros cumplieran con los mismos principios y protecciones que estos ofrecían a sus usuarios. Esto con el objetivo de igualar la protección o garantía “refleja” o espejo que exige el RGPD respecto de las transferencias a terceros.

En principio, estas decisiones de adecuación son la mejor garantía para la realización de transferencias internacionales a Estados Unidos fuera de la Unión Europea. Con todo, es tan solo una presunción, pues estas decisiones bien pueden ser impugnadas ante el Tribunal de Justicia Europeo (TJUE), en caso de que se constatase que dicho estado no está garantizando un nivel de seguridad suficiente.

La Protección de la Privacidad contra el Gobierno de Estados Unidos

En principio, estas decisiones de adecuación buscan dar seguridad a las empresas e instituciones de la Unión Europea de que pueden transferir datos con tranquilidad a terceros de otros Estados fuera de esta. Así, por ejemplo, una empresa de Francia puede alojar tranquilamente los datos de sus usuarios en un servidor de Estados Unidos, ya que puede garantizar que esta empresa otorga a sus usuarios garantías equivalentes a las que tienen dentro de la Unión Europea.

Pero estas decisiones de adecuación no sólo dicen relación con los privados, sino también contra los actos de los propios Estados, ya que puede ser el propio Estado quien decida realizar vigilancia de las comunicaciones electrónicas para fines de inteligencia o seguridad nacional. 

En estos casos, se requiere como garantía que este tratamiento por parte del Estado cuente con una base legal clara y precisa (cuando y como interferirá), que se realice de forma proporcionada (que sea necesaria y buscando un objetivo legítimo), que dicho tratamiento esté sujeto a una supervisión independiente y, por último, que los afectados con dicho tratamiento tengan acceso a acciones efectivas para hacer valer sus derechos.

El Quiebre: Schrems II y la protección de datos

Como dijimos, estas decisiones de adecuación pueden ser impugnadas. Aquello fue precisamente lo que ocurrió en el denominado caso “Schrems II”, donde por medio de una impugnación que el activista de privacidad Max Schrems levanto respecto al tratamiento de datos personales que realiza Facebook Irlanda –respecto a la transferencia que esta realiza hacia su símil en Estados Unidos– se revocó la decisión de adecuación relativa a Privacy Shield, determinando que éste no otorga garantías adecuadas.

¿Que llevó a esta determinación? Principalmente, la decisión de la Corte dice relación con el artículo 702 de la ley FISA (Foreign Intelligence Surveillance Act). Este artículo permite programas de vigilancia tales como PRSIM o UPSTREAM, mediante los cuales el gobierno de Estados Unidos puede requerir información de los usuarios de redes sociales como Facebook, sean estos ciudadanos estadounidenses o europeos.

Si bien estos programas no son contrarios al RGPD, el mecanismo de protección de los sujetos pasivos ante dichos requerimientos de datos fue encontrado insuficiente. El análisis realizado por la Corte determinó que no se garantiza un nivel de protección sustancialmente equivalente al que ellos tendrían dentro de la Unión Europea, puesto que dichos programas carecen de la proporcionalidad necesaria al no definir el alcance ni la limitación en el ejercicio de tales actividades de inteligencia. 

Además, no todos los actos de inteligencia que permiten recolectar datos personales de la Unión Europea pueden ser objeto de recursos judiciales por parte de los afectados. Sumado a esto, muchas de estas impugnaciones solo se presentarían ante el Ombudsperson –contemplado en el Escudo de Privacidad– el que como autoridad administrativa, no otorga las mismas garantías ni tiene las mismas facultades que un tribunal.

Las Consecuencias: Actualizando El Estándar De Protección De Datos En Estados Unidos

En el largo plazo, la decisión necesariamente deberá provocar que Estados Unidos actualice a los tiempos actuales su régimen de protección de datos personales. Lo contrario implicaría poner más trabas al lucrativo negocio de los datos personales en internet. Según cifras de la FTC, la decisión de la corte pone en riesgo operaciones por hasta 7 trillones de dólares, un duro golpe a las economías tecnológicas de todo el mundo.

En lo inmediato, dado que de ahora en adelante el Escudo de Privacidad fue invalidado como garantía suficiente, se hace necesario que quienes realicen transferencias de datos personales a terceros ubicados en los Estados Unidos analicen el fundamento y condiciones de dichas transferencias, el tipo de datos que se envia y la existencia o no de medidas complementarias de protección, tales como la anonimización o seudonimización de los mismos. Si de este análisis se concluye que no existen garantías adecuadas, igual se podrá continuar con las transferencias, pero se deberá notificar esta decisión a la autoridad de control correspondiente.

Si bien a primera instancia pareciera conveniente optar derechamente por Normas Corporativas Vinculantes, Acuerdos de Protección de Datos o el uso de Cláusulas Contractuales Tipo, debe tenerse presente que estos instrumentos, si bien formalmente mantienen su valor, al no haber sido declarados inválidos por la sentencia, no resultan totalmente suficientes. Esto ocurre debido a que la legislación estadounidense igualmente tendrá primacía sobre estos. En líneas generales, estos instrumentos servirán en la medida que, en base al análisis antes referido, pueda concluirse que existen garantías adecuadas para la protección de los datos personales enviados.

Finalmente, se debe tener presente que el artículo 49 del Reglamento General de Protección de Datos deja abierta ciertas excepciones para mantener las transferencias de datos. Dentro de las hipótesis de transferencias entre privados, esto ocurrirá cuando se cuente con el consentimiento del titular, si este ha sido informado de los posibles riesgos de dichas transferencias o en aquellos casos en que la transferencia sea necesaria para la ejecución de un contrato entre el titular de los datos o en su interés.  Particularmente, cuando dichas transferencias sean ocasionales, limitadas a un grupo de interesados y se hayan analizado todas las circunstancias concurrentes de dicha transferencia y los intereses del titular, de modo que permitan concluir que existen garantías apropiadas de protección de dichos datos personales.

Sobre el autor

Paul Lagniel

Lawyer, graduated from Universidad de Concepción. Litigation attorney in private law and Prey's DPO.