Privacy Shield: el co­n­tro­ve­r­ti­do acuerdo de tra­n­s­fe­re­n­cia de datos entre la UE y los EUA

El acuerdo Privacy Shield (Escudo de Pri­va­ci­dad) entre la UE y los EUA reguló del 2016 al 2020 la tra­n­s­fe­re­n­cia de datos pe­r­so­na­les de la UE a los EUA. Dicho acuerdo fue declarado nulo en julio de 2020 (sentencia Schrems II), por no poder ga­ra­n­ti­zar una pro­te­c­ción de datos conforme al RGPD. Hasta la entrada en vigor de una nueva normativa, las empresas están sujetas a medidas más estrictas y, si quieren evitar ser sa­n­cio­na­das, deben mejorar la pro­te­c­ción de datos en los EUA.

Aunque el Privacy Shield fue declarado nulo, las empresas pueden seguir ex­po­r­ta­n­do datos pe­r­so­na­les a los EUA. Para ello pueden continuar uti­li­za­n­do las cláusulas co­n­tra­c­tua­les estándar de la UE (SCC). Las pymes, que hasta ahora confiaban en este acuerdo, pueden recurrir ahora a las cláusulas co­n­tra­c­tua­les estándar de la UE o a otras al­te­r­na­ti­vas. Algunas empresas deberán co­n­si­de­rar las Normas Co­r­po­ra­ti­vas Vi­n­cu­la­n­tes (BCR).

No obstante, de acuerdo con la sentencia Schrems II, el uso de las cláusulas co­n­tra­c­tua­les estándar conlleva atenerse a una normativa más estricta: las empresas deben in­tro­du­cir medidas adi­cio­na­les y en principio tratar cada tra­n­s­fe­re­n­cia de datos como un caso pa­r­ti­cu­lar, debiendo ase­gu­rar­se de que cada país cuenta con un nivel de pro­te­c­ción de datos su­fi­cie­n­te. En caso de no cumplirse esta condición, por ejemplo, debido a la le­gi­s­la­ción de seguridad en ese país, la empresa está obligada a paralizar la tra­n­s­fe­re­n­cia de datos.

Además, estas cláusulas estándar están sujetas a una in­s­pe­c­ción de los or­ga­ni­s­mos europeos de su­pe­r­vi­sión y pro­te­c­ción de datos. Si la situación jurídica de un país impide que el receptor de los datos cumpla con sus obli­ga­cio­nes de las cláusulas estándar, la tra­n­s­fe­re­n­cia de datos puede in­te­rru­m­pi­r­se o incluso prohi­bi­r­se. Todo el proceso debe tenerse en cuenta en el momento de analizar el nivel de pro­te­c­ción de datos. Se debe ga­ra­n­ti­zar en todo momento que, por ejemplo, las au­to­ri­da­des ju­di­cia­les o de seguridad nacional del país receptor no tengan acceso a datos pe­r­so­na­les.

En la situación actual, la eva­lua­ción caso por caso es pa­r­ti­cu­la­r­me­n­te difícil para las pymes, ya que no­r­ma­l­me­n­te no disponen de los co­no­ci­mie­n­tos técnicos y los medios para verificar en detalle si existe, por ejemplo, un nivel adecuado de pro­te­c­ción de datos en un tercer país. Además, el fallo del TJUE no es­pe­ci­fi­ca exac­ta­me­n­te qué normas se aplicarán es­pe­cí­fi­ca­me­n­te a las eva­lua­cio­nes de casos in­di­vi­dua­les o a posibles am­plia­cio­nes de las cláusulas co­n­tra­c­tua­les estándar.

Las pymes deberían de todos modos abordar ac­ti­va­me­n­te la cuestión. Los expertos jurídicos aconsejan tomar las mayores pre­cau­cio­nes posibles y do­cu­me­n­tar de­ta­lla­da­me­n­te los pro­ce­di­mie­n­tos de pro­te­c­ción de datos que aplican. Las empresas estarán así pre­pa­ra­das para una posible disputa legal y podrán defender mejor sus propias acciones ante los tri­bu­na­les una vez el Privacy Shield quede sin efecto.

Una medida concreta de pro­te­c­ción consiste en aplicar cui­da­do­sa­me­n­te los aspectos formales de las cláusulas generales de pro­te­c­ción de datos (por ejemplo, mediante una de­s­cri­p­ción detallada de los flujos de datos). Además, solo se deben recopilar y tra­n­s­mi­tir los datos pe­r­so­na­les ab­so­lu­ta­me­n­te ne­ce­sa­rios. Asimismo, los expertos jurídicos re­co­mie­n­dan realizar un análisis de riesgo bien fu­n­da­me­n­ta­do y bien do­cu­me­n­ta­do que considere los problemas re­le­va­n­tes. Por ejemplo, debería ana­li­zar­se en pro­fu­n­di­dad la situación jurídica en los Estados Unidos o en países fuera de la UE y evaluarse la pro­ba­bi­li­dad de un acceso no au­to­ri­za­do a los datos.

Además, debería aclararse si, dada la situación actual, el receptor de los datos asume obli­ga­cio­nes co­n­tra­c­tua­les adi­cio­na­les (por ejemplo, el aumento de sus obli­ga­cio­nes de control y no­ti­fi­ca­ción). En la situación actual, las empresas también podrían exigir a sus socios co­me­r­cia­les y pro­vee­do­res de servicios de los Estados Unidos utilizar todos los medios técnicos di­s­po­ni­bles a fin de optimizar la pro­te­c­ción de datos –por ejemplo, el uso de cifrado de extremo a extremo en un software de vi­deo­co­n­fe­re­n­cia.

Aquellos que puedan renunciar a tra­n­s­fe­re­n­cias de datos, servicios en la nube y se­r­vi­do­res en terceros países fuera de la UE, deberían buscar al­te­r­na­ti­vas en la UE que cumplan con la normativa del Re­gla­me­n­to General de Pro­te­c­ción de Datos (RGPD). Asimismo, deberían también seguir de cerca los aco­n­te­ci­mie­n­tos co­n­ce­r­nie­n­tes a la le­gi­s­la­ción sobre pro­te­c­ción de datos. El Comité Europeo de Pro­te­c­ción de Datos (CEPD) informa sobre la situación actual en sus preguntas fre­cue­n­tes acerca de la sentencia del TJUE sobre el acuerdo Privacy Shield.

El Escudo de Pri­va­ci­dad fue in­tro­du­ci­do ofi­cia­l­me­n­te a mediados de 2016 como sucesor del acuerdo de tra­n­s­fe­re­n­cia de datos Safe Harbor (Puerto Seguro) entre la Unión Europea y los Estados Unidos. El objetivo del acuerdo era proteger los datos de los ciu­da­da­nos europeos que son al­ma­ce­na­dos y pro­ce­sa­dos por empresas con sede en los EUA después de haber sido tra­n­s­fe­ri­dos a este país. Esto se refiere ex­clu­si­va­me­n­te a los datos pe­r­so­na­les, que, por ejemplo, se recogen en gran medida en el comercio online. Los datos pe­r­so­na­les incluyen números de teléfono, de cliente, de tarjetas de crédito, datos de cuentas, apa­rie­n­cias físicas o di­re­c­cio­nes de ciu­da­da­nos de la UE, entre otros.

El sucesor del acuerdo Puerto Seguro dejó de ser vigente en julio de 2020 tras un fallo del TJUE. En la de­no­mi­na­da sentencia Schrems II del 16 de julio de 2020, el TJUE dictamina que el nivel de seguridad exigido en el RGPD no se alcanza en aquellos datos pe­r­so­na­les al­ma­ce­na­dos y pro­ce­sa­dos en los EUA.

Al hacerlo, el TJUE también anuló la co­n­clu­sión de ade­cua­ción de la Comisión Europea, que confirmó re­pe­ti­da­me­n­te que los EUA tenían un nivel su­fi­cie­n­te de pro­te­c­ción de datos. El fallo del TJUE tuvo lugar a raíz de una demanda pre­se­n­ta­da por el experto en pro­te­c­ción de datos Ma­xi­mi­lian Schrems, que había provocado ya el fin del acuerdo Safe Harbor con una demanda previa. El austriaco quería prohibir a Facebook Irlanda la tra­n­s­fe­re­n­cia de sus datos pe­r­so­na­les a los Estados Unidos y había pre­se­n­ta­do una denuncia ante la autoridad irlandesa de pro­te­c­ción de datos. Al no iniciar el Tribunal Superior de Justicia irlandés ningún pro­ce­di­mie­n­to, Schrems lo demandó. En el segundo caso, la autoridad irlandesa de pro­te­c­ción de datos remitió el asunto al Tribunal de Justicia de la Unión Europea para su revisión jurídica, que fi­na­l­me­n­te anuló el acuerdo Privacy Shield entre la UE y los EUA.

El sucesor de Safe Harbor se basaba en medidas y normas es­pe­cia­les de pro­te­c­ción de datos que debían ser cumplidas por los EUA. Un elemento im­po­r­ta­n­te era que las empresas es­ta­dou­ni­de­n­ses podían ce­r­ti­fi­car­se para el Privacy Shield. Después de que una empresa es­ta­dou­ni­de­n­se se sometiera vo­lu­n­ta­ria­me­n­te a los términos del acuerdo, se realizaba una in­s­pe­c­ción por parte del De­pa­r­ta­me­n­to de Comercio de los Estados Unidos. Una vez una empresa había co­m­ple­ta­do el proceso con éxito, se incluía su nombre en una base de datos de libre acceso. Cuando finalizó la vigencia del acuerdo, la lista incluía un total de 5384 or­ga­ni­za­cio­nes.

El acuerdo Privacy Shield entre la UE y los EUA ga­ra­n­ti­za­ba a los ciu­da­da­nos de la UE amplios derechos cuando sus datos pe­r­so­na­les eran tra­n­s­fe­ri­dos a empresas ce­r­ti­fi­ca­das en los EUA. Los ciu­da­da­nos de la UE podían contactar di­re­c­ta­me­n­te con las empresas es­ta­dou­ni­de­n­ses para reclamar sus derechos. Estas empresas tenían que responder a las pe­ti­cio­nes de los ciu­da­da­nos en un plazo de 45 días. Los derechos ga­ra­n­ti­za­dos en el Privacy Shield eran los si­guie­n­tes:

• Derecho a la in­fo­r­ma­ción
• Derecho al recurso (se podía hacer una objeción a un tra­ta­mie­n­to de datos, en caso de que fuera necesario)
• Derecho a la co­rre­c­ción de datos inexactos
• Derecho a la eli­mi­na­ción de datos
• Se disponía de pro­ce­di­mie­n­tos de re­cla­ma­ción

Para ga­ra­n­ti­zar el cu­m­pli­mie­n­to del acuerdo y la pro­te­c­ción de sus derechos, los ciu­da­da­nos de la UE también podían recurrir a un Defensor del Pueblo dentro del De­pa­r­ta­me­n­to de Estado de los Estados Unidos. El Defensor del Pueblo debía ser in­de­pe­n­die­n­te de todos los servicios de in­te­li­ge­n­cia, in­ve­s­ti­gar las demandas de los pa­r­ti­cu­la­res y en casos concretos pro­po­r­cio­nar in­fo­r­ma­ción sobre si se estaba re­s­pe­ta­n­do la le­gi­s­la­ción vigente. Sin embargo, el cargo estuvo ini­cia­l­me­n­te vacante y no se ocupó hasta 2018 pese a la in­si­s­te­n­cia de la UE. Manisha Singh trabajó ini­cia­l­me­n­te como Defensora del Pueblo, seguida por Keith Krach en junio de 2019.

Como al­te­r­na­ti­va, los ciu­da­da­nos de la UE podían también ponerse en contacto con sus re­s­pe­c­ti­vas au­to­ri­da­des na­cio­na­les de pro­te­c­ción de datos, que a su vez podían ponerse en contacto con la Comisión Federal de Comercio de los Estados Unidos (FTC) para obtener más acla­ra­cio­nes. El pro­ce­di­mie­n­to de arbitraje con un laudo arbitral eje­cu­ta­ble era la última instancia en caso de no al­ca­n­zar­se un mutuo acuerdo. Todas las empresas podían también actuar de acuerdo con las re­co­me­n­da­cio­nes de las au­to­ri­da­des europeas de pro­te­c­ción de datos. Las empresas que procesan datos pe­r­so­na­les, de igual forma, están obligadas a hacerlo.

Un requisito previo para la validez del acuerdo Privacy Shield fue una decisión de ade­cua­ción de la Comisión Europea que ce­r­ti­fi­ca­se que Estados Unidos tenía un re­gla­me­n­to adecuado de pro­te­c­ción de datos para el al­ma­ce­na­mie­n­to y el pro­ce­sa­mie­n­to de datos pe­r­so­na­les de la UE. La Decisión de Ade­cua­ción de 2016 era revisada anua­l­me­n­te y se renovaba si se cumplía el nivel requerido de pro­te­c­ción de datos. La Comisión Europea y el De­pa­r­ta­me­n­to de Comercio de Estados Unidos llevaban a cabo la revisión co­n­ju­n­ta­me­n­te, contando también con la pa­r­ti­ci­pa­ción de pro­fe­sio­na­les. El pro­ce­di­mie­n­to daba lugar a un informe público que se pre­se­n­ta­ba al Pa­r­la­me­n­to y al Consejo Europeo.

A pesar de estas amplias medidas de pro­te­c­ción de datos, no había certeza de la in­e­xi­s­te­n­cia de la vi­gi­la­n­cia masiva. Estados Unidos podía aún re­co­le­c­tar datos con seis objetivos, que, al exa­mi­nar­se de­te­ni­da­me­n­te, dejan cierto margen de in­te­r­pre­ta­ción:

• La lucha contra el te­rro­ri­s­mo
• La re­ve­la­ción de ac­ti­vi­da­des de las potencias ex­tra­n­je­ras
• La lucha contra la pro­li­fe­ra­ción de armas de de­s­tru­c­ción masiva
• La ci­be­r­se­gu­ri­dad
• La pro­te­c­ción de los EUA y las fuerzas aliadas
• La lucha contra las amenazas cri­mi­na­les in­te­r­na­cio­na­les

Los amplios derechos de los ciu­da­da­nos europeos a presentar quejas ante diversos or­ga­ni­s­mos en caso de in­cu­m­pli­mie­n­to de la pro­te­c­ción de datos por parte de empresas es­ta­dou­ni­de­n­ses era uno de los be­ne­fi­cios del acuerdo Privacy Shield. Un co­m­po­ne­n­te im­po­r­ta­n­te era también el principio de li­mi­ta­ción de la finalidad. Los datos solo podían re­gi­s­trar­se y pro­ce­sar­se para un propósito cla­ra­me­n­te definido de antemano y le­ga­l­me­n­te pe­r­mi­si­ble.

Sin embargo, el acuerdo Privacy Shield entre la UE y los EUA fue objeto de oposición desde el principio. Para los críticos, el acuerdo no era lo su­fi­cie­n­te­me­n­te amplio. Re­cla­ma­ban que los re­qui­si­tos del TJUE no se cumplían su­fi­cie­n­te­me­n­te y se ocultaban muchas in­cohe­re­n­cias. Dado que el puesto de Defensor del Pueblo fue asignado al Mi­ni­s­te­rio de Re­la­cio­nes Ex­te­rio­res, los críticos co­n­si­de­ra­ron que el acuerdo carecía de in­de­pe­n­de­n­cia in­s­ti­tu­cio­nal y lo in­te­r­pre­ta­ron como un conflicto con el re­gla­me­n­to básico de pro­te­c­ción de datos (párrafo 1 del artículo 52 del RGPD). También cri­ti­ca­ron el hecho de que los ciu­da­da­nos de la UE afectados no pudieran emprender acciones legales contra las de­ci­sio­nes de la oficina del Defensor del Pueblo.

Otro de los pri­n­ci­pa­les aspectos que fueron objeto de críticas fue que las medidas de vi­gi­la­n­cia masiva no estaban sujetas a una prueba de pro­po­r­cio­na­li­dad y, por lo tanto, violaban la le­gi­s­la­ción europea. Estados Unidos seguía siendo el poder central de control y no había pruebas de una in­ve­s­ti­ga­ción por parte de las au­to­ri­da­des su­pe­r­vi­so­ras. Los críticos también echaban en falta un control urgente sobre las grandes empresas online de los EUA.

A raíz de estas de­fi­cie­n­cias, críticos y expertos su­pu­sie­ron que el acuerdo no re­si­s­ti­ría una revisión en pro­fu­n­di­dad del TJUE, y por lo tanto no era una solución duradera. Las mínimas di­fe­re­n­cias con el acuerdo Safe Harbor fueron re­pe­ti­da­me­n­te señaladas. Numerosos críticos de­nu­n­cia­ron que el acuerdo Privacy Shield no suplía las carencias de la ley anterior.

Por favor ten en cuenta el aviso legal relativo a este artículo.