El logotipo de Privacy Shield Framework se muestra en la pantalla de un teléfono inteligente.
Pavlo Gonchar | Sopa Imágenes | Cohete ligero | Getty Images
Las empresas pueden continuar transfiriendo datos de la Unión Europea a los EE. UU. con normalidad después de que las dos superpotencias acordaron esta semana un pacto histórico para compartir datos.
El marco, que reemplaza un acuerdo anterior que se invalidó en 2020, es un avance importante con implicaciones para los gigantes tecnológicos de EE. UU., que confían en el pacto para transferir datos de sus usuarios europeos a Estados Unidos.
Sin ella, estas empresas se enfrentaron al riesgo de iniciativas costosas para procesar y almacenar datos de usuarios localmente, o retirar sus negocios del bloque por completo. Por lo tanto, el acuerdo de las nuevas reglas brindará cierto alivio a Meta y otras empresas estadounidenses que comparten cantidades gigantescas de datos de usuarios en todo el mundo.
Sin embargo, las reglas ya enfrentan la amenaza de desafíos legales por parte de los activistas de la privacidad, quienes no están contentos con el nivel de protección que las medidas ofrecen a los ciudadanos europeos. Dicen que no es tan diferente de un marco anterior llamado Privacy Shield.
CNBC repasa todo lo que necesita saber sobre el nuevo marco de privacidad UE-EE. UU., por qué es importante y sus posibilidades de éxito.
¿Qué es el nuevo marco de privacidad de datos UE-EE. UU.?
El nuevo pacto de intercambio de datos, denominado Marco de privacidad de datos UE-EE. UU.tiene como objetivo garantizar que los datos puedan fluir de forma segura entre la UE y los EE. UU., sin tener que establecer salvaguardas de protección de datos adicionales.
en un declaración El lunes, el órgano ejecutivo de la UE, la Comisión Europea, dijo que concluyó que las leyes de protección de datos de EE. UU. ofrecen un «nivel adecuado de protección» para los ciudadanos europeos e introdujo nuevas salvaguardas que limitan el acceso a los datos de la UE por parte de los servicios de inteligencia de EE. UU. a solo lo que es «necesario y proporcionado». «
Se establecerá un nuevo Tribunal de Revisión de Protección de Datos para que los europeos emitan quejas de privacidad. Tendrá facultades para ordenar a las empresas que eliminen los datos de los usuarios si descubre que la información recopilada incumplió las nuevas salvaguardas.
¿Por qué se necesitaba un nuevo acuerdo de transferencia de datos?
El marco de privacidad de datos reemplaza un acuerdo anterior, llamado Privacy Shield, que permitía a las empresas compartir datos sobre europeos con los EE. UU. para su almacenamiento y procesamiento localmente en sus centros de datos nacionales.
Schrems dijo que las revelaciones del denunciante de la NSA, Edward Snowden, sobre la vigilancia de los EE. UU. significaban que no se podía confiar en los estándares estadounidenses de protección de datos.
Presentó una queja contra la red social Facebook que, como muchas otras empresas, estaba transfiriendo sus datos y los de otros usuarios a los Estados Unidos, así como contra la Comisión de Protección de Datos de Irlanda, que es la principal autoridad reguladora de Facebook en lo que respecta a la privacidad de datos en Europa. .
Llegó al Tribunal de Justicia de la Unión Europea, que en 2015 dictaminó que el entonces Acuerdo de puerto seguro, un mecanismo anterior para permitir que los datos de los usuarios europeos se trasladaran a los EE. UU., no era válido y no protegió adecuadamente a los ciudadanos europeos.
Fue reemplazado por el Escudo de privacidad, sin embargo, esto también se eliminó posteriormente.
Mientras tanto, las empresas se han basado en mecanismos separados conocidos como Cláusulas contractuales estándar para garantizar que aún puedan mover datos a través del Atlántico.
Estas herramientas también están amenazadas.
El DPC irlandés dictaminó en mayo que el uso de SCC por parte de Meta para la transferencia de datos personales a los EE. UU. infringe el Reglamento general de protección de datos de la UE. El gigante tecnológico estadounidense fue multado con un récord de 1.300 millones de dólares.
¿Por qué eso importa?
Las empresas multinacionales operan en varias jurisdicciones y necesitan mover los datos de sus clientes a través de las fronteras de una manera segura y que cumpla con las normas de protección de datos.
Los gigantes tecnológicos estadounidenses comparten datos sobre sus usuarios europeos en casa todo el tiempo. Es parte integral de que Internet sea una plataforma abierta e interconectada.
Pero la forma en que estas empresas de tecnología manejan los datos ha sido objeto de un intenso escrutinio por parte de los reguladores y los defensores de la privacidad.
Meta, Google, Amazonas y otros recopilan grandes cantidades de datos sobre sus usuarios, que utilizan para informar sus algoritmos de recomendación de contenido y personalizar anuncios.
También ha habido innumerables ejemplos de escándalos relacionados con el uso indebido de los datos de las personas por parte de las empresas de tecnología, entre ellos el intercambio inadecuado de datos de Meta con Cambridge Analytica, la controvertida firma de consultoría política.
Europa tiene regulaciones estrictas cuando se trata de procesar los datos de los usuarios de Internet.
En 2018, entró en vigor el Reglamento General de Protección de Datos, o GDPR, que introdujo requisitos estrictos para que las organizaciones se aseguren de que manejan los datos de los usuarios de manera segura. Esta es una ley que se aplica en todos los países de la UE.
Los EE. UU., por otro lado, no cuentan con una ley federal de protección de datos única que cubra la privacidad de todo tipo de datos.
En cambio, los estados individuales de EE. UU. han elaborado sus propias regulaciones respectivas para la privacidad de datos, con California a la cabeza.
«Ha habido un intenso escrutinio normativo y político sobre las transferencias de datos entre la UE y EE. UU., por lo que existen diferencias notables en las protecciones legales de EE. UU. implementadas para respaldar el nuevo marco», dijo Holger Lutz, socio del bufete de abogados Clifford Chance, a CNBC por correo electrónico.
«Se han realizado cambios en la ley de los EE. UU. en paralelo para mejorar la protección de los datos personales de la UE y los derechos de los ciudadanos de la UE en relación con esos datos. Esas protecciones no se limitan al nuevo marco: también protegen las transferencias de datos personales entre la UE y los EE. UU. fuera del marco. , y puede tenerse en cuenta al realizar dichas transferencias sobre la base de otros instrumentos jurídicos, como las cláusulas contractuales estándar de la UE».
¿Tendrá éxito?
La aprobación de un nuevo marco de privacidad de datos significa que las empresas ahora tendrán certeza sobre cómo pueden procesar los datos a través de las fronteras en el futuro.
De no haber habido un acuerdo, algunas empresas podrían haberse visto obligadas a cerrar sus operaciones en Europa. Efectivamente, Meta advirtió que esto era un riesgo en febrero de 2022.
Aún así, quedan obstáculos por delante.
Schrems, el activista de privacidad austriaco que ayudó a derribar Privacy Shield, ya ha dicho que planea lanzar un desafío legal para romper el nuevo pacto de intercambio de datos.
En un comunicado, Schrems dijo que su bufete de abogados Noyb tiene «varias opciones para un desafío que ya están en el cajón».
«Actualmente esperamos que esto vuelva al Tribunal de Justicia a principios del próximo año», dijo Schrems.
«El Tribunal de Justicia podría incluso suspender el New Deal mientras revisa su contenido. En aras de la seguridad jurídica y el estado de derecho, obtendremos una respuesta sobre si las pequeñas mejoras de la Comisión fueron suficientes o no».
Los activistas de la privacidad dicen que las medidas no son suficientes ya que las leyes de privacidad de los EE. UU. no extienden la protección a los ciudadanos no estadounidenses, lo que significa que las personas en la UE no tienen el mismo nivel de protección.
«Si el marco tiene éxito dependerá de si los tribunales europeos consideran que las protecciones de datos personales en los EE. UU. hacen lo suficiente para brindar una equivalencia esencial con las protecciones de la UE», dijo Lutz de Clifford Chance a CNBC.
«Las empresas considerarán cuidadosamente estos desafíos potenciales en su planificación de escenarios».
