Volver

Privacy Framework: ¿Un paso más cerca?

Publicaciones
12-oct-22

El pasado viernes 7 de octubre se produjo la firma por parte del Presidente de los Estados Unidos de América de la denominada “Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities(“Orden Ejecutiva”) con la que Estados Unidos da un paso más en el cumplimiento de sus compromisos con la Unión Europea para lograr un acuerdo que permita retomar las transferencias de datos personales desde la Unión Europea a empresas situadas en territorio de los Estados Unidos.

Esta Orden Ejecutiva tiene dos objetivos principales:

  1. Establecer un límite a la actividad de las organizaciones de inteligencia estadounidenses de forma que la intercepción o recopilación de datos personales de no nacionales quede limitada a aquellos supuestos es que sea necesario y proporcionado para la labor de dichas entidades, que no es otra que la defensa y seguridad nacional. 
  1. La creación de un procedimiento de defensa a los usuarios que permita a los mismos reclamar cualquier actividad de estas organizaciones que, según su criterio, haya supuesto una invasión desproporcionada de su derecho a la privacidad. Para lograr esto, mediante esta orden se han creado dos nuevos organismos con la función de atender estas reclamaciones:
  2. a. El Oficial de Protección de las Libertades Civiles, dependiente del director Nacional de Inteligencia y entre cuyas funciones se encuentran la de supervisar el cumplimiento por parte de los organismos de inteligencia de los requisitos para la vigilancia de los usuarios, así como atender las posibles reclamaciones de estos últimos.
  3. b. El Tribunal de Revisión de Protección de Datos, ante el que se podrán recurrir las decisiones del Oficial de Protección de las Libertades Civiles. Este organismo, que deberá estar compuesto por profesionales expertos en privacidad y seguridad nacional y ser imparcial, será el encargado de revisar las denuncias realizadas por ciudadanos europeos y sus decisiones serán vinculantes para los organismos de inteligencia. Ante estas decisiones no cabra posterior recurso.

Si bien la iniciativa del gobierno de los Estados Unidos puede interpretarse como una buena señal de cara a lograr que se declare una nueva decisión de adecuación que pueda amparar las transferencias de datos a dicho país, aún queda pendiente evaluar hasta qué punto este nuevo sistema supone realmente un cambio de paradigma en el actual riesgo al que están sometidos los datos personales de los residentes europeos que, de alguna forma, llegan a Estados Unidos.

De hecho, la entidad NOYB, dedicada a la defensa del derecho a la privacidad de los usuarios, ya ha hecho un comunicado en el que realiza un análisis de esta Orden Ejecutiva, y donde sus miembros se muestran claramente escépticos sobre la realidad detrás de estos cambios. Entre otras cosas, la entidad comenta el riesgo del uso del término “proporcional” sin que haya un acuerdo claro de que significa esto para Estados Unidos o la Unión Europea, lo que puede suponer que las medidas no cumplan los criterios de proporcionalidad que exige el Reglamento General de Protección de Datos y, por tanto, que no pueda garantizarse un nivel adecuado similar de protección al que gozan los ciudadanos en el territorio europeo.

En cualquier caso, si esta Orden Ejecutiva y las medidas que contiene son o no suficientes es algo se debe determinar en las siguientes fases del proceso de adecuación. Dicho proceso exige que la Comisión Europea obtenga un dictamen del Consejo Europeo de Protección de Datos (CEPD) así como la autorización de un comité compuesto por representantes de los Estados miembros de la UE. Todo esto, sin olvidar que el Parlamento Europeo también tiene un derecho de control sobre las decisiones de adecuación.

Por ello, consideramos que aún tardaremos bastante tiempo en tener una visión clara de si estamos realmente más cerca de obtener un nuevo mecanismo que permita la transferencia de información personal a Estados Unidos. 

Mientras tanto, las empresas deberán seguir aplicando los mecanismos disponibles (siendo el principal las Cláusulas Contractuales Tipo con el añadido de las medidas de seguridad adicionales publicadas por la Comisión Europea) con el riesgo de incumplimiento que esto conlleva si las medidas no son suficientes o adecuadas, o seguir con sus procesos de migración paulatina a proveedores situados en la Unión Europea, con el impacto en negocio que, en muchos casos, tiene ese proceso.

Enrique Extremera Maestro, Head of Privacy, Legal Army

Leer más

Posts relacionados que podrían interesarte

Todas nuestras noticias
25-04-24
TikTok, o cambia de dueño o tendrá que abandonar Estados Unidos
This is some text inside of a div block.
Leer más
25-04-24
Responsables de la toma de decisiones sobre IA están temerosos por la privacidad y ciberseguridad
This is some text inside of a div block.
Leer más
25-04-24
TikTok cuestionada por la UE
This is some text inside of a div block.
Leer más