La transferencia de datos personales entre la Unión Europea y los Estados Unidos está en un momento nuevo, luego de la sentencia del TJUE que pone fin al Privacy Shield. El flujo de datos entre estas dos zonas estratégicas del mundo deberá regirse por las normas y procedimientos contemplados en el RGPD. Esto genera otra vuelta de tuerca en la demanda de profesionales de la privacidad.
La política exterior de la Unión Europea siempre ha tenido sus puntos de contraste con la observada en los EE.UU. Los intereses ambos lados del Atlántico no siempre marchan en la misma dirección. En este sentido, como recordamos, el Privacy Shield, el Escudo de Privacidad, intentaba ser un acuerdo no muy profundo e instituido, mediante el cual se fijaban ciertas condiciones para el flujo de datos entre los Estados Unidos y la Unión Europea. Pues bien, el 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) invalidó tal acuerdo, dejando sin piso jurídico la transferencia de datos personales entre ambas supereconomías.
La raíz de esta decisión fue el proceso judicial que enfrentó a Facebook y al abogado austriaco Max Schrems. En la base del alegato de este joven jurista subyace cierto choque cultural entre el poder real de las compañías y el respeto a los derechos que entendemos protegen a los ciudadanos, en este caso a los europeos. La causa estaba basada en varios desajustes entre la utilización de los datos (por ejemplo, su eliminación real por decisión del usuario) y el cumplimiento escrupuloso del Reglamento General de Protección de Datos. No olvidemos que el RGPD es una consonancia en tiempos de la transformación digital con la Carta de los Derechos Fundamentales de la UE.
La sentencia del Tribunal de Justicia de la Unión Europea (TJUE) es para muchos analistas, organizaciones, académicos y científicos sociales una especie de aviso: algo está cambiando de forma fundamental en el mundo, deben de quedar pocos poderes que resulten estar real e indefinidamente por encima de las leyes. En esta argumentación, los ciudadanos europeos pueden estar seguros de contar, posiblemente, con la legislación más avanzada del mundo en protección de datos personales.
Por supuesto, no es ningún secreto que una economía globalizada, digital y cada vez más interdependiente basa parte de su producción de riqueza en un flujo constante de datos que no reconoce fronteras. Aunque una compañía tenga su centro de cómputo en territorio de la Unión Europea es relativamente sencillo que algunos de sus proveedores estén en América o Asia.
Así, el Reglamento Europeo de Protección de Datos pretende una legalidad común en la materia, no detener procesos productivos o empresariales; para ello establece una serie de procedimientos que reglamenten las transferencias internacionales de datos. Por ejemplo, si el destino de los datos tiene una normativa compatible o al nivel del RGPD, la Comisión Europea puede decidir que esa transferencia es segura. En esa misma lógica, el destino de los datos puede implementar distintos mecanismos certificables, sistemas normativos internos en la red corporativa, etc. Por otra parte, el RGPD fija ciertas condiciones aplicables a casos específicos (cuando no se cumplen otros avales), igualmente, contempla la aprobación de la autoridad competente en cada país.
En efecto, el Escudo de Privacidad, aprobado en el 2016, fue originalmente una decisión de la Comisión que venía a regir un acuerdo marco, si las corporaciones u organizaciones estadounidenses cumplían sus requisitos podía certificarse un nivel homologable a la legislación vigente en la UE. La decisión del Tribunal de Justicia de la UE, al dejar sin validez las transferencias de datos, también cuestiona las denominadas como cláusulas contractuales tipo, que intentaban garantizar un nivel de protección sobre los datos personales equivalente al instruido por el RGPD.
De hecho, el proceso contra Facebook se basó, precisamente, en que el Escudo de Privacidad y las cláusulas contractuales tipo no lograban hacer seguras las transferencias de datos, no estando garantizados los derechos de los ciudadanos europeos. ¿Exactamente en qué consistía el problema? Ni más ni menos que en un riesgo serio de injerencia por parte de algunas autoridades estadounidenses, que podrían acceder a esos datos apoyándose en sus propias leyes (como la propia Ley de Seguridad Nacional). El alto Tribunal europeo entiende que tal posibilidad podría no seguir un principio de proporcionalidad.
EL RGPD: LA NORMATIVA DE REFERENCIA EN EL MUNDO
Desde el momento de la sonada sentencia toda transferencia de datos fuera de los procedimientos establecidos en el Reglamento General de Protección de Datos está fuera de la legalidad; éstos pueden resumirse, aproximadamente, en que los niveles de protección implementados deben estar estructurados bajo el supuesto de estar al interior de las fronteras europeas. Lo anterior implica la participación de la figura, ya abordada en entradas anteriores, del Delegado de Protección de Datos – DPD.
Entre otros aspectos, las organizaciones o empresas involucradas deberán valorar la necesidad real de la transferencia e incluso explorar proveedores en territorio de la Unión. Claro está, una estructura corporativa, compuesta por casas matrices y filiales, puede establecer internamente sus compromisos, a modo de cultura organizacional, a través normativas vinculantes. Y siguen existiendo canales ya anteriormente muy importantes, como los mecanismos de certificación y la adhesión a códigos de conducta.
Pero, añadido a lo anterior, el artículo 49 del RGPD admite una serie de situaciones específicas aplicables a transferencias internacionales, como la necesidad generada por una relación comercial donde el titular de esos datos es parte, sin olvidar el consentimiento en sí posterior a la debida información sobre todos los riesgos.
En resumen, ahora entraremos en un tiempo donde la Comisión Europea deberá considerar otros elementos frente a la autoridad competente en los Estados Unidos, siempre con el fin de proteger los intereses ciudadanos y empresariales de la UE.
Sin duda, la cuestión (por todo su abanico de repercusiones futuras) resulta de gran interés para aquellos que trabajan y se preparan para entrar en el sector de la protección de datos en toda Hispanoamérica. El RGPD sigue entendiéndose como el modelo de referencia en el mundo.
