A vueltas con las transferencias internacionales de datos a y desde Estados Unidos
Tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, los EE.UU. “contraatacan” con un proyecto de ley denominado “Protegiendo los datos de los estadounidenses de la vigilancia extranjera”, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional.
Como es sabido, tras la sentencia Schrems II del TJUE que invalidó el Privacy Shield, el CEPD adoptó recomendaciones sobre medidas suplementarias para realizar transferencias internacionales de datos a países fuera de la UE / EEE, los llamados terceros países.
La recomendación adoptada contiene un sistema de varios pasos que deben llevarse a cabo para garantizar un nivel de protección “esencialmente equivalente” al que ofrece el RGPD cuando los datos se transfieren a un tercer país. El responsable del tratamiento debe evaluar si existe algún aspecto en la legislación o práctica del tercer país que impida que el encargado del tratamiento cumpla con sus obligaciones derivadas del RGPD y el mecanismo de transferencia elegido. Si el responsable del tratamiento llega a la conclusión de que la legislación o la práctica del tercer país implica que el encargado del tratamiento no puede cumplir con sus obligaciones y, por tanto, no puede garantizar una protección “esencialmente equivalente”, deben adoptarse medidas suplementarias.
A pesar de las recomendaciones citadas, subsiste una gran inseguridad jurídica en cuanto a lo que se entiende por un “nivel de protección esencialmente equivalente” y cómo conseguirlo y, más importante aún, poder acreditarlo, en la práctica. Es de la máxima relevancia que los responsables del tratamiento y sus asesores conozcan qué entienden las autoridades de control por el término “nivel de protección esencialmente equivalente”.
Aunque las recomendaciones del CEPD hacen referencia a todo tercer estado, el TJUE ya se ha pronunciado en relación a la legislación estadounidense sobre protección de datos, a pesar de lo cual lo previsto en las recomendaciones sigue siendo de obligado cumplimiento en ese contexto.
Así las cosas, desde el Departamento de Comercio norteamericano se insiste en que el Privacy Shield y los flujos de datos transatlánticos son una prioridad para la Administración Biden. El 25 de marzo de 2021, la Secretaria de Comercio de EE.UU., Gina Raimondo, y el Comisario europeo de Justicia, Didier Reynders, emitieron una declaración conjunta en la que señalaron que “el gobierno de EE.UU. y la Comisión Europea han decidido intensificar las negociaciones en relación a obtener un mejorado marco Privacy Shield UE-EE.UU. para dar cumplimiento a la sentencia de 16 de julio de 2020 del TJUE en el caso Schrems II. Estas negociaciones subrayan nuestro compromiso compartido con la privacidad, la protección de datos y el estado de derecho y nuestro reconocimiento mutuo de la importancia de los flujos de datos transatlánticos para nuestros respectivos ciudadanos, economías y sociedades “.
El Departamento de Comercio informa, en su web, además, de que el Departamento continúa administrando el programa Privacy Shield – en el que siguen autocertificadas cientos de empresas- mientras continúan esas negociaciones.
Por su parte, los EE.UU. publican un proyecto de ley titulado “Protegiendo los datos de los estadounidenses de la vigilancia extranjera”, que propone imponer limitaciones a las transferencias de datos personales desde EE.UU. a países a los que una exportación de datos personales iría en contra de la seguridad nacional. Por consiguiente, se pretenden requerir controles de exportación con respecto a ciertos datos personales de ciudadanos estadounidenses.
El proyecto de ley requiere, entre otros aspectos, formar una lista de categorías de información personal que pueden ser explotadas por gobiernos extranjeros; elaborar una lista de países a los que la exportación de datos personales iría en detrimento de la seguridad nacional y establecer un umbral cuantitativo para las transferencias anuales que, si se excediera, dañarían la seguridad nacional de los EE.UU.
Se prevé la imposición de controles impositivos a la exportación, reexportación o transferencia en el país de datos personales que superen los umbrales establecidos. Dichos controles podrían incluir la necesidad de obtener una licencia o autorización.
A la espera de saber si el proyecto de ley progresará y será aprobado y, en ese caso, conocer cuáles serán las definiciones finales de conceptos como exportación, cuáles serán los criterios de evaluación para considerar que una transferencia de datos daña o no la seguridad nacional de los EE.UU., las excepciones a los requisitos de autorización y licencia y, no menos importante, el régimen sancionador que resulte aprobado, la controversia está servida.
Belén Arribas Sánchez
Vicepresidenta de ENATIC