Privacy Shield: el controvertido acuerdo de transferencia de datos entre la UE y los EUA

El acuerdo Privacy Shield (Escudo de Privacidad) entre la UE y los EUA reguló del 2016 al 2020 la transferencia de datos personales de la UE a los EUA. Dicho acuerdo fue declarado nulo en julio de 2020 (sentencia Schrems II), por no poder garantizar una protección de datos conforme al RGPD. Hasta la entrada en vigor de una nueva normativa, las empresas están sujetas a medidas más estrictas y, si quieren evitar ser sancionadas, deben mejorar la protección de datos en los EUA.

Aunque el Privacy Shield fue declarado nulo, las empresas pueden seguir exportando datos personales a los EUA. Para ello pueden continuar utilizando las cláusulas contractuales estándar de la UE (SCC). Las pymes, que hasta ahora confiaban en este acuerdo, pueden recurrir ahora a las cláusulas contractuales estándar de la UE o a otras alternativas. Algunas empresas deberán considerar las Normas Corporativas Vinculantes (BCR).

No obstante, de acuerdo con la sentencia Schrems II, el uso de las cláusulas contractuales estándar conlleva atenerse a una normativa más estricta: las empresas deben introducir medidas adicionales y en principio tratar cada transferencia de datos como un caso particular, debiendo asegurarse de que cada país cuenta con un nivel de protección de datos suficiente. En caso de no cumplirse esta condición, por ejemplo, debido a la legislación de seguridad en ese país, la empresa está obligada a paralizar la transferencia de datos.

Además, estas cláusulas estándar están sujetas a una inspección de los organismos europeos de supervisión y protección de datos. Si la situación jurídica de un país impide que el receptor de los datos cumpla con sus obligaciones de las cláusulas estándar, la transferencia de datos puede interrumpirse o incluso prohibirse. Todo el proceso debe tenerse en cuenta en el momento de analizar el nivel de protección de datos. Se debe garantizar en todo momento que, por ejemplo, las autoridades judiciales o de seguridad nacional del país receptor no tengan acceso a datos personales.

En la situación actual, la evaluación caso por caso es particularmente difícil para las pymes, ya que normalmente no disponen de los conocimientos técnicos y los medios para verificar en detalle si existe, por ejemplo, un nivel adecuado de protección de datos en un tercer país. Además, el fallo del TJUE no especifica exactamente qué normas se aplicarán específicamente a las evaluaciones de casos individuales o a posibles ampliaciones de las cláusulas contractuales estándar.

Las pymes deberían de todos modos abordar activamente la cuestión. Los expertos jurídicos aconsejan tomar las mayores precauciones posibles y documentar detalladamente los procedimientos de protección de datos que aplican. Las empresas estarán así preparadas para una posible disputa legal y podrán defender mejor sus propias acciones ante los tribunales una vez el Privacy Shield quede sin efecto.

Una medida concreta de protección consiste en aplicar cuidadosamente los aspectos formales de las cláusulas generales de protección de datos (por ejemplo, mediante una descripción detallada de los flujos de datos). Además, solo se deben recopilar y transmitir los datos personales absolutamente necesarios. Asimismo, los expertos jurídicos recomiendan realizar un análisis de riesgo bien fundamentado y bien documentado que considere los problemas relevantes. Por ejemplo, debería analizarse en profundidad la situación jurídica en los Estados Unidos o en países fuera de la UE y evaluarse la probabilidad de un acceso no autorizado a los datos.

Además, debería aclararse si, dada la situación actual, el receptor de los datos asume obligaciones contractuales adicionales (por ejemplo, el aumento de sus obligaciones de control y notificación). En la situación actual, las empresas también podrían exigir a sus socios comerciales y proveedores de servicios de los Estados Unidos utilizar todos los medios técnicos disponibles a fin de optimizar la protección de datos –por ejemplo, el uso de cifrado de extremo a extremo en un software de videoconferencia.

Aquellos que puedan renunciar a transferencias de datos, servicios en la nube y servidores en terceros países fuera de la UE, deberían buscar alternativas en la UE que cumplan con la normativa del Reglamento General de Protección de Datos (RGPD). Asimismo, deberían también seguir de cerca los acontecimientos concernientes a la legislación sobre protección de datos. El Comité Europeo de Protección de Datos (CEPD) informa sobre la situación actual en sus preguntas frecuentes acerca de la sentencia del TJUE sobre el acuerdo Privacy Shield.

El Escudo de Privacidad fue introducido oficialmente a mediados de 2016 como sucesor del acuerdo de transferencia de datos Safe Harbor (Puerto Seguro) entre la Unión Europea y los Estados Unidos. El objetivo del acuerdo era proteger los datos de los ciudadanos europeos que son almacenados y procesados por empresas con sede en los EUA después de haber sido transferidos a este país. Esto se refiere exclusivamente a los datos personales, que, por ejemplo, se recogen en gran medida en el comercio online. Los datos personales incluyen números de teléfono, de cliente, de tarjetas de crédito, datos de cuentas, apariencias físicas o direcciones de ciudadanos de la UE, entre otros.

El sucesor del acuerdo Puerto Seguro dejó de ser vigente en julio de 2020 tras un fallo del TJUE. En la denominada sentencia Schrems II del 16 de julio de 2020, el TJUE dictamina que el nivel de seguridad exigido en el RGPD no se alcanza en aquellos datos personales almacenados y procesados en los EUA.

Al hacerlo, el TJUE también anuló la conclusión de adecuación de la Comisión Europea, que confirmó repetidamente que los EUA tenían un nivel suficiente de protección de datos. El fallo del TJUE tuvo lugar a raíz de una demanda presentada por el experto en protección de datos Maximilian Schrems, que había provocado ya el fin del acuerdo Safe Harbor con una demanda previa. El austriaco quería prohibir a Facebook Irlanda la transferencia de sus datos personales a los Estados Unidos y había presentado una denuncia ante la autoridad irlandesa de protección de datos. Al no iniciar el Tribunal Superior de Justicia irlandés ningún procedimiento, Schrems lo demandó. En el segundo caso, la autoridad irlandesa de protección de datos remitió el asunto al Tribunal de Justicia de la Unión Europea para su revisión jurídica, que finalmente anuló el acuerdo Privacy Shield entre la UE y los EUA.

El sucesor de Safe Harbor se basaba en medidas y normas especiales de protección de datos que debían ser cumplidas por los EUA. Un elemento importante era que las empresas estadounidenses podían certificarse para el Privacy Shield. Después de que una empresa estadounidense se sometiera voluntariamente a los términos del acuerdo, se realizaba una inspección por parte del Departamento de Comercio de los Estados Unidos. Una vez una empresa había completado el proceso con éxito, se incluía su nombre en una base de datos de libre acceso. Cuando finalizó la vigencia del acuerdo, la lista incluía un total de 5384 organizaciones.

El acuerdo Privacy Shield entre la UE y los EUA garantizaba a los ciudadanos de la UE amplios derechos cuando sus datos personales eran transferidos a empresas certificadas en los EUA. Los ciudadanos de la UE podían contactar directamente con las empresas estadounidenses para reclamar sus derechos. Estas empresas tenían que responder a las peticiones de los ciudadanos en un plazo de 45 días. Los derechos garantizados en el Privacy Shield eran los siguientes:

• Derecho a la información
• Derecho al recurso (se podía hacer una objeción a un tratamiento de datos, en caso de que fuera necesario)
• Derecho a la corrección de datos inexactos
• Derecho a la eliminación de datos
• Se disponía de procedimientos de reclamación

Para garantizar el cumplimiento del acuerdo y la protección de sus derechos, los ciudadanos de la UE también podían recurrir a un Defensor del Pueblo dentro del Departamento de Estado de los Estados Unidos. El Defensor del Pueblo debía ser independiente de todos los servicios de inteligencia, investigar las demandas de los particulares y en casos concretos proporcionar información sobre si se estaba respetando la legislación vigente. Sin embargo, el cargo estuvo inicialmente vacante y no se ocupó hasta 2018 pese a la insistencia de la UE. Manisha Singh trabajó inicialmente como Defensora del Pueblo, seguida por Keith Krach en junio de 2019.

Como alternativa, los ciudadanos de la UE podían también ponerse en contacto con sus respectivas autoridades nacionales de protección de datos, que a su vez podían ponerse en contacto con la Comisión Federal de Comercio de los Estados Unidos (FTC) para obtener más aclaraciones. El procedimiento de arbitraje con un laudo arbitral ejecutable era la última instancia en caso de no alcanzarse un mutuo acuerdo. Todas las empresas podían también actuar de acuerdo con las recomendaciones de las autoridades europeas de protección de datos. Las empresas que procesan datos personales, de igual forma, están obligadas a hacerlo.

Un requisito previo para la validez del acuerdo Privacy Shield fue una decisión de adecuación de la Comisión Europea que certificase que Estados Unidos tenía un reglamento adecuado de protección de datos para el almacenamiento y el procesamiento de datos personales de la UE. La Decisión de Adecuación de 2016 era revisada anualmente y se renovaba si se cumplía el nivel requerido de protección de datos. La Comisión Europea y el Departamento de Comercio de Estados Unidos llevaban a cabo la revisión conjuntamente, contando también con la participación de profesionales. El procedimiento daba lugar a un informe público que se presentaba al Parlamento y al Consejo Europeo.

A pesar de estas amplias medidas de protección de datos, no había certeza de la inexistencia de la vigilancia masiva. Estados Unidos podía aún recolectar datos con seis objetivos, que, al examinarse detenidamente, dejan cierto margen de interpretación:

• La lucha contra el terrorismo
• La revelación de actividades de las potencias extranjeras
• La lucha contra la proliferación de armas de destrucción masiva
• La ciberseguridad
• La protección de los EUA y las fuerzas aliadas
• La lucha contra las amenazas criminales internacionales

Los amplios derechos de los ciudadanos europeos a presentar quejas ante diversos organismos en caso de incumplimiento de la protección de datos por parte de empresas estadounidenses era uno de los beneficios del acuerdo Privacy Shield. Un componente importante era también el principio de limitación de la finalidad. Los datos solo podían registrarse y procesarse para un propósito claramente definido de antemano y legalmente permisible.

Sin embargo, el acuerdo Privacy Shield entre la UE y los EUA fue objeto de oposición desde el principio. Para los críticos, el acuerdo no era lo suficientemente amplio. Reclamaban que los requisitos del TJUE no se cumplían suficientemente y se ocultaban muchas incoherencias. Dado que el puesto de Defensor del Pueblo fue asignado al Ministerio de Relaciones Exteriores, los críticos consideraron que el acuerdo carecía de independencia institucional y lo interpretaron como un conflicto con el reglamento básico de protección de datos (párrafo 1 del artículo 52 del RGPD). También criticaron el hecho de que los ciudadanos de la UE afectados no pudieran emprender acciones legales contra las decisiones de la oficina del Defensor del Pueblo.

Otro de los principales aspectos que fueron objeto de críticas fue que las medidas de vigilancia masiva no estaban sujetas a una prueba de proporcionalidad y, por lo tanto, violaban la legislación europea. Estados Unidos seguía siendo el poder central de control y no había pruebas de una investigación por parte de las autoridades supervisoras. Los críticos también echaban en falta un control urgente sobre las grandes empresas online de los EUA.

A raíz de estas deficiencias, críticos y expertos supusieron que el acuerdo no resistiría una revisión en profundidad del TJUE, y por lo tanto no era una solución duradera. Las mínimas diferencias con el acuerdo Safe Harbor fueron repetidamente señaladas. Numerosos críticos denunciaron que el acuerdo Privacy Shield no suplía las carencias de la ley anterior.

Por favor ten en cuenta el aviso legal relativo a este artículo.