El Tribunal de Justicia de la Unión Europea anula parte del marco para la transferencia de datos personales entre la Unión Europea y Estados Unidos
Resumen: Una reciente sentencia del Tribunal Europeo sobre el tratamiento de los datos personales de los ciudadanos de la UE plantea ahora un reto a las empresas no europeas, especialmente a las estadounidenses, en lo que respecta al cumplimiento del RGPD, dado el acceso del Gobierno de los Estados Unidos a estos datos.
Según informó el Wall Street Journal el 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea dictaminó que las prácticas actuales de EE. UU. destinadas a cumplir con el Reglamento General de Protección de Datos (RGPD) de la UE ya no son válidas.
Esta cuestión llegó a conocimiento del Tribunal en un caso relacionado con un ciudadano austriaco, Max Schrems, quien argumentó que no se debería permitir a Facebook transferir los datos de los ciudadanos de la UE a los Estados Unidos y almacenarlos allí, ya que las entidades gubernamentales estadounidenses podrían acceder a ellos.
Esta sentencia restringe ahora a las organizaciones que desean transferir y almacenar información personal de ciudadanos de la UE fuera de la UE a cualquier otro país que no haya sido determinado como poseedor de garantías de privacidad de datos en línea con el RGPD. Antes de la resolución, la Comisión Europea indicó que los únicos países que garantizan un nivel de protección adecuado para cumplir con la norma del RGPD son Andorra, Argentina, Canadá (solo para organizaciones comerciales), Islas Feroe, Guernsey, Israel, Isla de Man, Japón, Jersey, Nueva Zelanda, Suiza, Uruguay y los Estados Unidos de América (limitado a las empresas que certifican el marco del Escudo de Privacidad).1
Las empresas estadounidenses solo podían cumplir esta norma mediante acuerdos específicos diseñados para cumplir con el RGPD de la UE. Muchas grandes empresas suscribieron normas corporativas vinculantes (BCR), que son contratos y procedimientos sofisticados diseñados para que las grandes multinacionales cumplan con las normas de la UE. Otras empresas, en su mayoría más pequeñas, obtuvieron la certificación del marco del Escudo de Privacidad UE-EE. UU. (que sustituyó al antiguo marco de Puerto Seguro UE-EE. UU.) proporcionado por el Departamento de Comercio de los Estados Unidos con el respaldo de la UE. En la actualidad, más de 5300 organizaciones son signatarias del marco del Escudo de Privacidad UE-EE. UU.
Con la nueva sentencia del Tribunal, estas opciones no cumplen en gran medida con la normativa de la UE. Según la denominada doctrina de terceros aceptada en los Estados Unidos, las personas que facilitan su información personal a un tercero, como un banco, un proveedor de servicios de Internet u otros, no pueden esperar que se respete su privacidad. Esto, a su vez, puede significar que el Gobierno de los Estados Unidos puede obtener esta información personal sin una orden judicial. Las autoridades estadounidenses han utilizado esta doctrina para acceder a los datos de ciudadanos de la UE almacenados en los Estados Unidos, y es lo que rechaza el Tribunal Europeo: que el régimen estadounidense no permita a los ciudadanos europeos tener un derecho absoluto a la privacidad.
El veredicto del Tribunal acaba de anunciarse. Las comunidades de protección de la privacidad de EE. UU. y la UE aún están evaluando la opinión del Tribunal y qué se puede hacer al respecto. Dada la cantidad de negocios transfronterizos de alta tecnología entre EE. UU. y Europa, es evidente que la comunidad empresarial quiere encontrar una solución.
Las primeras ideas sobre las medidas de resolución incluyen lo siguiente:
- Las empresas estadounidenses podrían cifrar la información personal de los ciudadanos de la UE durante la transferencia y el almacenamiento de datos, de modo que las autoridades estadounidenses no puedan acceder a ella.
- Las empresas estadounidenses podrían instalar servidores en la UE específicamente para almacenar información personal de ciudadanos de la UE.
Mientras tanto, las empresas que actúan como «responsables del tratamiento» de la información personal de clientes, consumidores, empleados u otros ciudadanos de la UE que se transfiere o almacena en los Estados Unidos u otros países con garantías insuficientes deberán:
- Seguir de cerca los esfuerzos para resolver esta disputa legal y ver si las partes de la UE y EE. UU. pueden encontrar una solución dentro del marco actual.
- Si las negociaciones del marco se prolongan, supervisar lo que están haciendo las organizaciones homólogas de forma individual para abordar este problema, dado que los reguladores de la UE en algún momento harán cumplir la sentencia del Tribunal.
- Comprender su exposición al manejo/transferencia de información personal de ciudadanos de la UE para conocer los riesgos a los que se enfrentan.
Cualquier empresa que actúe como «procesador» de esta información personal en nombre de un responsable del tratamiento puede esperar que las organizaciones responsables del tratamiento se pongan en contacto con ella en las próximas semanas para explorar nuevos acuerdos que protejan aún más la información personal de los ciudadanos de la UE.
Notas
1EUAdequacy Decisions (Cómo determina la UE si un país no perteneciente a la UE tiene un nivel adecuado de protección de datos); https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
Nota del Editor: Este post fue publicado originalmente en Syntrio.com. En enero de 2024, Mitratech adquirió Syntrio, un proveedor líder de formación en ética y cumplimiento, prevención del acoso laboral y soluciones de denuncia anónima. El contenido ha sido actualizado desde entonces para reflejar nuestras ofertas de soluciones ampliadas, la evolución de las regulaciones de cumplimiento y las mejores prácticas en ética y gestión de riesgos.
