Por Pilar Vargas

2 ago 2023 - 14:55 CET

El 25 de marzo de 2022, se alcanzó un preacuerdo entre la Comisión Europea y la Casa Blanca en relación al establecimiento de un futuro marco para regular las transferencias internacionales de datos de carácter personal entre la Unión Europea (UE) y EE.UU. Desde entonces, han sido muchos los movimientos y modificaciones estratégicas llevadas a cabo en EE.UU. con el fin de acercar posturas y satisfacer los requerimientos de la UE en su conjunto de cara a consolidar dicho preacuerdo. Entre ellos, cabe destacar la firma el 7 de octubre de 2022 por parte del Presidente J. Biden de la Orden Ejecutiva 14086 de “Refuerzo de las salvaguardas para las actividades de inteligencia de señales”, que limitaría el acceso a datos de carácter personal por parte de las agencias norteamericanas. Firma que, meses después, ha consolidado la implementación de dicha Orden Ejecutiva, que incluye la declaración de cada uno de los Estados miembros de la UE y del Espacio Económico Europeo (EEE) como "Estados calificados", de modo que los ciudadanos europeos puedan presentar quejas ante el Office of the Director for National Intelligence, el Civil Liberties Protection Officer y el Tribunal de Revisión de Protección de Datos de EE.UU. Estos pasos han despejado el camino para la adopción del nuevo Privacy Framework el 10 de julio de 2023.

Dichas quejas, entre otras salvaguardas, se podrán presentar para hacer uso del nuevo mecanismo de reparación, independientemente de la herramienta de transferencia utilizada para transferir datos personales a los EE.UU Por tanto, se confirma que cualquier transferencia a EE.UU será válida con independencia de que la entidad destinataria no este adherida al Privacy Framework, pues también se ofrecen beneficios para las transferencias internacionales de datos de carácter personal reguladas a través de las cláusulas contractuales tipo de la Comisión Europea o mediante normas corporativas vinculantes.

El Departamento de Comercio de EE.UU ha otorgado un período de gracia de tres meses para que las empresas que actualmente se autocertifican para el anterior Escudo de privacidad puedan convertir su autocertificación para cubrir el Privacy Framework. También se proporcionará un medio para que las nuevas empresas se autocertifiquen, a fin de obtener los beneficios legales que brinda la protección adecuada bajo el Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Google y Meta ya figuran como entidades adheridas al Privacy Framework, por lo que las transferencias desde el EEE a dichas entidades (bien sean directa o indirectamente a través de sus filiales en la UE), están cubiertas y legitimadas. Esta cobertura reabre el debate por la situación de las varias compañías que han recibido multas millonarias por la utilización de Google Analytics, algunas de ellas a solo unos días de la aprobación de este nuevo Privacy Framework.

El Privacy Framework es una pieza crucial en un rompecabezas global cada vez más fragmentado para las transferencias internacionales de datos de carácter personal en la economía del comercio digital moderno que empieza a solaparse con las acciones de inteligencia y seguridad nacional. Seguridad nacional cuyas normas y prácticas han resultado en este caso en conflicto con la protección de datos de carácter personal de los ciudadanos europeos. Lo anterior, especialmente agravado por la existencia de países que requieren el almacenamiento local de datos como condición para hacer negocios en el territorio, requisito conocido como Data localisation.

Independientemente de la adopción de este Privacy Framework, no se descarta una potencial decisión de adecuación ni entre la UE y EE.UU, si finalmente éste promulgara una Ley federal de privacidad, ni a nivel estatal entre la UE y el Estado de California, especialmente tras la visita del Comisario europeo Didier Reynders a dicho Estado esta semana.

La UE se encuentra actualmente en una etapa de hiperactividad en negociaciones en relación a sus decisiones de adecuación, tanto para implementar algunas nuevas con diversos países de las regiones Asia-Pacífico, África e Iberoamérica -como Brasil-, como para revisar las ya existentes con Canadá, Israel o Argentina, algunas de las cuales son realmente sencillas y previas a Schrems II, por lo que cabe esperar que su revisión resulte en garantías adicionales y extensiones de sus alcances.

En consecuencia, y con este rompecabezas sobre la mesa que no descarta posibles desafíos legales como los que hicieron colapsar el sistema del antiguo Privacy Shield, merece la pena reflexionar sobre una solución de mayor recorrido e independiente del Reglamento general de protección de datos en forma de tratado multilateral.

A continuación se enlaza información a la nota de prensa de la Comisión Europea.