¿Qué pasó con el acuerdo de transferencia de datos entre la UE y EEUU?

El pasado 16 de julio, el Tribunal de Justicia de la Unión Europea invalidó el acuerdo de transferencia de datos (o “Privacy Shield”) entre la UE y EEUU, a consecuencia de considerar preocupante el acceso del gobierno estadounidense a datos personales por medio de sus cuerpos de inteligencia. Políticas que sustentan estas preocupaciones son la sección 702 de la Ley de Vigilancia de Inteligencia Extranjera, la Directiva de Política Presidencial 28 y la Orden Ejecutiva 12333, señaló IAPP. De acuerdo al Tribunal de Justicia Europea, es preocupante la recopilación de datos masiva sin tener en cuenta el principio de proporcionalidad (recopilación de acuerdo a los fines, “lo necesario”).

El Privacy Shield fue introducido en 2016 como sucesor del acuerdo de transferencia de datos “Safe Harbor” ente la UE y EEUU. El propósito del acuerdo es resguardar los datos personales de los ciudadanos europeos que son objeto de almacenamiento y procesamiento por entidades con sede en EEUU, señaló IONOS. Este almacenamiento de datos se da con mucha frecuencia debido a la recopilación de datos personales que se realiza de manera cotidiana mediante el comercio online. De acuerdo al Tribunal de Justicia Europeo, el Privacy Shield no alcanza el nivel de seguridad exigido de acuerdo a los estándares del GDPR, normativa de protección de datos personales exigible en territorio de la Unión Europea.

El Privacy Shield permitía que ciudadanos de la UE contacten directamente a las empresas de EEUU para reclamar sus derechos (derecho a la información, corrección de datos inexactos, eliminación, oposición al tratamiento de datos). De igual forma, también podían recurrir al Defensor del Pueblo del Departamento de Estado de los Estados Unidos. Y finalmente, también podían recurrir a sus propias autoridades nacionales de protección de datos, para que, a su vez, ellas se contacten con la Comisión Federal de Comercio de los Estados Unidos (FTC) para obtener aclaraciones sobre la reclamación ejercida.

¿Cuáles son las consecuencias? Las empresas con sede en EEUU podrán continuar recopilando datos personales de ciudadanos europeos mediante la utilización de “cláusulas contractuales estándar de la UE”. El uso de estas cláusulas implica atenerse a una normativa más estricta. En este sentido, las empresas deben introducir medidas adicionales de protección y deben tratar cada transferencia de datos como un caso particular. Adicionalmente, deben someterse a la inspección de organismos europeos de supervisión y protección de datos.

Si las empresas con sede en EEUU desean transferir tales datos a otras sedes o terceros en diferentes países, deben asegurarse que la situación jurídica del país receptor permita que puedan cumplir con las obligaciones de las cláusulas contractuales estándar de la UE, de lo contrario, la transferencia de datos debe interrumpirse o cancelarse por completo. De igual forma, se debe garantizar que las autoridades judiciales o de seguridad nacional del país receptor no tengan acceso a tales datos personales.

Un aspecto importante que contribuyó a la decisión del Tribunal de Justicia de la Unión Europea es el hecho de que el gobierno estadounidense podía recopilar datos personales en base a seis objetivos con amplio margen de interpretación: (i) lucha contra el terrorismo, (ii) revelación de actividades de potencias extranjeras, (iii) lucha contra la proliferación de armas de destrucción masiva, (v) ciberseguridad, (v) protección de los EEUU y las fuerzas aliadas y (vi) lucha contras las amenazas criminales internacionales.

- Aviso Publicitario-
Marilú Lazo
Abogada por la Pontificia Universidad Católica del Perú (PUCP). Cuenta con experiencia en asesoría corporativa, así como en materia de protección de datos personales y nuevas tecnologías.

Similares

1,901FansMe gusta
443SeguidoresSeguir
76SeguidoresSeguir

Suscríbete

*Todos los campos son requeridos
es Spanish
X