Aún no existe un nuevo y brillante acuerdo de transferencia de datos entre la Unión Europea y los Estados Unidos destinado a solucionar la costosa inseguridad jurídica sobre las exportaciones de datos personales, pero el comité de libertades civiles del Parlamento Europeo predice el Marco de Privacidad de Datos UE-EE. No sobreviviría a un desafío legal, al igual que sus dos predecesores, Safe Harbor (RIP: octubre de 2015); y Privacy Shield (RIP: julio de 2020), y no logró impresionar a los jueces de la UE.
En una resolución aprobada ayer por la comisión LIBE, con 37 votos a favor, ninguno en contra y 21 abstenciones, los eurodiputados calificaron el DPF como una mejora que, sin embargo, no es suficiente. También predijeron que es probable que sea invalidado por el Tribunal de Justicia de la UE (TJUE) en el futuro.
El desarrollo sigue un proyecto de dictamen de la LIBE en febrero, que también rechazó la propuesta e instó a la Comisión a presionar por reformas significativas.
En la resolución, el comité considera que el acuerdo propuesto no proporciona garantías suficientes para los ciudadanos de la UE, ya que el marco aún permite la recopilación masiva de datos personales en ciertos casos; no supedita la recopilación masiva de datos a una autorización previa independiente; y no prevé reglas claras sobre la retención de datos.
Los eurodiputados también están preocupados de que un mecanismo de reparación propuesto, el llamado «Tribunal de revisión de protección de datos», viole los derechos de los ciudadanos de la UE a acceder y rectificar datos sobre ellos, ya que las decisiones se mantendrían en secreto. También cuestionan su independencia ya que los jueces podrían ser destituidos por el presidente estadounidense, quien también podría anular sus decisiones.
“En la resolución, los eurodiputados argumentan que el marco para las transferencias de datos debe estar preparado para el futuro, y la evaluación de la idoneidad debe basarse en la implementación práctica de las reglas”, según un parlamentario en una nota de prensa dijo que el comité instó a a la Comisión a no conceder la adecuación sobre la base del régimen actual y, en su lugar, a negociar un marco de transferencia de datos que es probable que se retrase en los tribunales.
Comentando en declaración Tras la votación, el ponente de la comisión LIBE, Juan Fernando López Aguilar, dijo:
El nuevo marco es sin duda una mejora en comparación con los mecanismos anteriores. Sin embargo, todavía no estamos allí. No estamos convencidos de que este nuevo marco proteja suficientemente los datos personales de nuestros ciudadanos y, por lo tanto, dudamos que sobreviva a la prueba del TJUE. La Comisión debe seguir trabajando para abordar las preocupaciones planteadas por el Consejo Europeo de Protección de Datos [EDPB] y el Comité de Libertades Civiles, incluso si eso significa reabrir las negociaciones con EE.UU.
En febrero, el EDPB aportó su opinión en el marco, expresando el acuerdo como una mejora en el escudo de privacidad también. Pero el influyente organismo directivo también planteó una serie de inquietudes que recomendó abordar y obtener aclaraciones para «garantizar que la decisión de adecuación perdure».
La votación del comité LIBE es parte del proceso de escrutinio general de la UE. Aunque es importante tener en cuenta que los parlamentarios no tienen una opinión activa sobre si se adopta o no el DPF, ni siquiera el EDPB. La última palabra sobre las decisiones de adecuación recae únicamente en la Comisión.
Al mismo tiempo, obviamente es incómodo si surgen dudas dentro de la UE sobre la solidez y sostenibilidad del marco de reemplazo planificado.
El Parlamento Europeo en su conjunto también podrá expresar una opinión, a través de una futura sesión plenaria que considerará la resolución de la comisión LIBE. Por lo tanto, será interesante ver de qué manera se posicionan los parlamentarios.
El DPF es la última oferta de alto nivel para resolver el choque frontal entre los derechos de privacidad de la UE y los poderes de vigilancia de los EE. UU. al incluir otra llamada decisión de adecuación para facilitar los flujos de datos entre la UE y los EE. UU. El marco propuesto se basa en intentos anteriores (eliminados) al establecer un nuevo conjunto de disposiciones destinadas a encubrir diferencias importantes, como una afirmación de «salvaguardas vinculantes» para limitar el acceso de las agencias de inteligencia de EE. UU. a los datos, incluida la introducción de conceptos de necesidad y proporcionalidad; y una promesa de una mejor supervisión de la vigilancia de los espías.
Como se señaló anteriormente, también se creará un nuevo Tribunal de Revisión de Protección de Datos que se supone que se sumará a un mecanismo de reparación independiente capaz de resolver las quejas de los ciudadanos de la UE al nivel requerido por los jueces europeos. Pero los críticos sostienen que no es un tribunal adecuado, en el sentido legal completo, por lo que no pasará la prueba con el TJUE.
Una cosa está clara: se está tardando mucho más en adoptar un acuerdo esta vez ahora que se ha agotado el suministro de pequeñas curas simples.
La Comisión llegó a un acuerdo de principio sobre el DPF hace poco más de un año. Luego, el presidente de EE. UU., Joe Biden, tardó alrededor de seis meses en firmar una Orden Ejecutiva necesaria para implementar el reemplazo. Si bien pasaron casi nueve meses desde el anuncio del acuerdo para que la UE llegara a un borrador de acuerdo (alrededor de dos meses después de la EO). En ese momento se inició un proceso de revisión y escrutinio del borrador por parte de otras instituciones de la UE, que aún continúa.
(Por el contrario, el escudo de privacidad UE-EE. UU. pasó de ser anunciado como entrante en febrero de 2016 a adoptarse oficialmente en julio y estar en funcionamiento a principios de agosto del mismo año. Luego, el TJUE tardó poco más de cuatro años en retirarlo. Así que ciertamente hay lecciones que aprender acerca de los legisladores que actúan con prisa y se arrepienten aquí.)
En abril del año pasado, la Comisión sugirió que todo el proceso de reemplazo de Privacy Shield podría estar «finalizado» para fines de 2022. Y si finalizado significa adoptado, sin duda fue demasiado optimista ya que estamos en la primavera de 2023 y el proceso aún está débil.
Algunos informes han sugerido que el DPF no se adoptará antes del verano (Reuters cita a funcionarios anónimos que sugieren que podría estar listo para julio).
Cuando se le preguntó sobre la fecha prevista para la adopción, un portavoz de la Comisión dijo que no puede proporcionar un cronograma preciso ya que el proceso involucra a múltiples partes interesadas.
También estipuló que está analizando «cuidadosamente» la opinión del EDPB y trabajando para abordar sus comentarios y solicitudes de aclaraciones antes de pasar a la siguiente fase del proceso de adopción, que implicará buscar la aprobación de un comité de representantes de los Estados miembros de la UE.
La Comisión claramente querrá evitar una tercera huelga, lo que probablemente explica por qué la adopción está demorando más de lo esperado. Y por qué tiene cuidado de evitar ser acusado de ignorar las preocupaciones de la EDPB y otros.
Los datos UE-EE. UU. de Meta fluyen en este marco
Si bien las complejidades de la comitología de la UE pueden parecer un tema extremadamente árido, hay una consecuencia muy tangible asociada a la adopción del DPF. Esto se debe a que el gigante tecnológico Meta, propietario de Facebook e Instagram, que se enfrenta a una orden de suspensión de datos que podría obligarlo a interrumpir sus exportaciones de datos de usuarios de la UE. Y dado que Facebook no está federado, podría verse obligado a cerrar el servicio a los usuarios de la UE para cumplir con la orden.
El organismo de control de datos de Irlanda emitió una orden preliminar con este fin en el otoño de 2020. Después de lo cual, a Meta se le otorgó una suspensión y también solicitó una revisión judicial, por lo que logró retrasar el proceso por un tiempo. Pero se quedó sin camino en ese desafío legal en particular en mayo de 2021. Y luego se emitió un proyecto de decisión revisado en febrero de 2022.
El desafío original a los flujos de datos UE-EE.UU. de Meta depende del mismo problema central de vigilancia de EE. UU. versus privacidad de la UE, pero la queja en realidad se remonta al año de las revelaciones de Snowden. Así que ha habido alrededor de una década de regulaciones sobre este tema y todavía no hay una decisión final.
Sin embargo, un final está, en teoría, finalmente a la vista.
ayer el EDPB confirmó que ha tomado una decisión vinculante sobre el tema, lo que significa que la DPA de la UE principal de Meta, la Comisión de Protección de Datos de Irlanda (DPC), debe emitir una decisión final dentro de un mes. Así que a mediados de mayo.
El verano pasado, el gigante de las redes sociales evitó por poco un escenario de corte anterior cuando las autoridades de protección de datos de la UE no estuvieron de acuerdo con el proyecto de decisión del DPC, lo que dio inicio a un proceso de resolución de disputas integrado en el Reglamento General de Protección de Datos (GDPR) que condujo, finalmente, al EDPB tener que intervenir y tomar una decisión vinculante.
Todavía no sabemos qué dice la decisión, pero dado que la orden preliminar era de suspensión, parece poco probable que la Junta llegue a un resultado radicalmente diferente. Y Con este tortuoso proceso de aplicación de GDPR llegando a su fin, la pregunta ahora es qué vendrá primero: ¿Una orden a Meta para cerrar sus flujos de datos UE-EE. UU., o la adopción del DPF UE-EE. UU.?
El último escenario, por supuesto, proporcionaría una nueva vía de escape para que Meta la use para evitar una orden de suspensión.
Si bien, si el DPF llega antes de la orden final del DPC, es el mismo escenario: la empresa aprovechará el marco de alto nivel para renovar su afirmación de cumplir plenamente con las normas de la UE y retroceder en el camino (probablemente para muchos años más).
Pero incluso si primero llega una orden de que Meta suspenda sus flujos de datos, la compañía seguramente dedicará a todos sus abogados locales a encontrar nuevas formas de retrasar el cuchillo. Una apelación de cualquier orden regulatoria para detener la exportación de datos de usuarios de la UE es segura. También puede tratar de suspender la ejecución en espera del resultado de su apelación. Aunque no es seguro que los tribunales lo permitan.
Sin embargo, también hay otra posibilidad. La decisión final del DPC podría proporcionar a Meta un período de tiempo para cerrar los flujos de datos, digamos dos o tres meses, lo que podría darle el tiempo suficiente para que se adopte el DPF, lo que le permitiría reiniciar su base legal utilizando el nuevo marco. y evite la amenaza de un cierre una vez más.
El mes pasado, la comisionada del DPC, Helen Dixon, admitió Reuters la línea de tiempo estaba «viniendo hasta el final».
Los observadores de la privacidad sin duda examinarán este de cerca para ver si Meta se enfrenta a un ajuste de cuentas final sobre las transferencias de datos por fin, por mucho tiempo. O si se aferra a otra forma de seguir enfrentando a los reguladores y legisladores.
