En un reciente comunicado de prensa (sólo en alemán), el Comisario de Protección de Datos y Libertad de Información del Estado de Baden-Württemberg, Stefan Brink, ha expresado sus críticas sobre la orden ejecutiva del Presidente de EE.UU., Joe Biden, relativa a la transferencia de datos.
Para ser claros, el Comisario no es la autoridad de protección de datos de Baden-Württemberg, y sus posiciones no reflejan necesariamente las de la autoridad. Sin embargo, es la primera institución europea de protección de la intimidad que comenta el decreto, por lo que merece la pena tener en cuenta sus críticas. Pero antes de nada, necesitaremos algo de contexto.
(Actualización: al parecer, al Parlamento de la UE tampoco le gusta mucho la Orden Ejecutiva. En mayo de 2023, la institución votó en contra del nuevo marco de transferencia de datos en una resolución no vinculante)
¡Averigüémoslo!
Las secuelas de Schrems II
Ya escribimos aquí extensamente sobre las transferencias de datos, así que aquí está la historia en pocas palabras. En 2020, el Tribunal de Justicia de la UE emitió su histórica sentencia Schrems II. Esta sentencia hizo que las transferencias de datos a EE.UU. fueran complicadas para las empresas del EEE por varias razones.
Antes de la sentencia, los datos personales podían transferirse a EE.UU. sobre la base de un marco de transferencia de datos llamado Escudo de Privacidad. El Tribunal de Justicia invalidó el marco en Schrems II, obligando a las empresas a recurrir a diferentes herramientas para exportar legalmente sus datos.
La mayoría de las empresas necesitan recurrir a las cláusulas contractuales tipo (CCT ). Las CEC son un conjunto de cláusulas jurídicamente vinculantes redactadas por la Comisión Europea, que deben incorporarse a un contrato jurídicamente vinculante con el destinatario de los datos. Sin embargo, las CEC no vinculan al Estado receptor. Esto es problemático: La vigilancia estadounidense está en el centro del caso Schrems, y los CEC no pueden impedir que la NSA acceda a los datos europeos.
La sentencia Schrems II también se ocupó de los CEC y examinó su validez como mecanismo de transferencia de datos. El Tribunal sostuvo que los CEC son un mecanismo válido para la transferencia de datos incluso cuando se trata de Estados "inseguros", a condición de que el responsable del tratamiento aplique salvaguardias adicionales efectivas para proteger los datos. En la práctica, esto es difícil de hacer y totalmente imposible para ciertos tipos de transferencias. Así pues, el Tribunal "perdonó" esencialmente a los SCC, pero los hizo mucho más complicados.
Después de Schrems II, las autoridades europeas de protección de datos han empezado a adoptar un enfoque más duro respecto a las transferencias de datos. Cinco APD han prohibido prácticamente Google Analytics (escribimos ampliamente sobre ello), y la autoridad irlandesa de protección de la intimidad anunció un proyecto de decisión para cerrar las transferencias de datos de Meta Platforms Ireland. Estas DPA están siguiendo un enfoque coordinado1, por lo que existe la posibilidad real de que otras sigan su ejemplo y de que otros proveedores de servicios estadounidenses sean objeto de críticas. Esto crea un clima de inseguridad jurídica en torno a las transferencias de datos estadounidenses.
(Actualización: el 20 de mayo, la autoridad irlandesa impuso a Meta Ireland una multa récord de 1.200 millones y ordenó suspender las transferencias de datos estadounidenses para Facebook. Analizamos en profundidad esta importante decisión)
La nueva orden ejecutiva
La reciente orden ejecutiva de Joe Biden es un primer paso hacia un nuevo marco denominado Marco Transatlántico de Privacidad de Datos. La orden pone en práctica algunas normas materiales para limitar el alcance de la vigilancia y establece un enrevesado sistema para proporcionar a los ciudadanos de la UE2 recursos judiciales.
Es casi seguro que la Comisión Europea adopte una decisión de adecuación en los próximos meses, dando luz verde a Estados Unidos como país "seguro" para la transferencia de datos. Esto permitirá a las empresas europeas transferir datos personales sin necesidad de implantar SCC y salvaguardias adicionales.
Las empresas de ambos lados del Océano esperan que el nuevo marco aporte seguridad jurídica y permita transferencias de datos sin complicaciones. Sin embargo, la futura decisión de adecuación será seguramente objeto de escrutinio por parte del Tribunal de Justicia. La ONG de protección de la intimidad noyb criticó el nuevo marco y probablemente lo impugnará ante el Tribunal de Justicia.
Comunicado de prensa del RPD
En los próximos meses, el EDPB emitirá un dictamen sobre el asunto como parte del procedimiento de decisión para la decisión de adecuación. Aunque el dictamen de la Junta no es vinculante, nos permitirá comprender mejor las cuestiones fundamentales de Schrems III.
Mientras tanto, el Comisario de Protección de Datos y Libertad de Información del Estado alemán de Baden-Württemberg ha expresado algunas preocupaciones sobre el nuevo decreto. Curiosamente, algunas de las cuestiones planteadas por el Comisario también fueron destacadas por noyb en un reciente comunicado de prensa (el mismo que enlazamos anteriormente):
- Las personas que presentan una queja reciben muy poca información sobre la decisión. Esto puede hacer que las decisiones sean difíciles de recurrir en la práctica.
- El Tribunal de Revisión de Protección de Datos (que tiene la última palabra sobre cualquier denuncia de vigilancia) es una rama del poder ejecutivo y no forma parte del sistema judicial estadounidense. No está claro si el TJUE considerará que este Tribunal es independiente.
- El hecho de que la orden ejecutiva mencione la proporcionalidad3 no significa que el sistema de vigilancia estadounidense sea, de hecho, proporcional, ya que la noción de proporcionalidad puede ser interpretada de forma diferente por el Tribunal de Revisión de Protección de Datos y por el Tribunal de Justicia de la UE.
El Comisario también expresó otras preocupaciones. Por ejemplo, las órdenes ejecutivas son revocables a voluntad por el Presidente, lo que las hace inadecuadas para proteger los derechos individuales. Y aún no está claro cómo interactuará la orden ejecutiva con la normativa vigente en materia de vigilancia.
Reflexiones finales
La orden ejecutiva es muy compleja, y la comunidad de la privacidad tardará un tiempo en desentrañarla. Es difícil decir cómo se desarrollará un caso "Schrems III", pero ya está claro que el nuevo marco es potencialmente problemático en varios aspectos. En general, el futuro de las transferencias de datos en Estados Unidos sigue sin estar claro.
Nosotros, Simple Analytics, le mantendremos informado al respecto a través de nuestro boletín de noticias sobre privacidad. Si quiere ir sobre seguro, existen alternativas a Google Analytics que respetan la privacidad y el GDPR. Nosotros somos una de ellas. No dude en echar un vistazo a lo que estamos construyendo aquí. A diferencia de Google, creemos en la creación de una web independiente que sea amigable para los visitantes del sitio web. Si esto resuena con usted, no dude en darnos una oportunidad.
#1 Las decisiones contra Google Analytics están relacionadas con 101 denuncias presentadas por la ONG noyb sobre transferencia de datos. La EDPB creó un grupo de trabajo para coordinar el enfoque de las APD a escala europea [^2]: El sistema será accesible a cualquier persona en la UE, ya que gozan de los derechos de protección de datos en virtud del GDPR, independientemente de su ciudadanía [^3]: La proporcionalidad es una noción específica de la legislación de la UE y desempeñó un papel importante en la decisión Schrems II. En este contexto, y como regla general, se puede considerar que una medida (como la vigilancia estatal) es proporcionada cuando es necesaria para un fin legítimo y no es excesiva. Véase el Art. 52(1) de la Carta de los Derechos Fundamentales de la Unión Europea.