Acordar un nuevo acuerdo de transferencia de datos con EE. UU. es una «alta prioridad» para la UE, dijo ayer Margrethe Vestager, vicepresidenta ejecutiva de estrategia digital del bloque, pero también advirtió que un reemplazo del extinto Escudo de privacidad UE-EE. Safe Harbor antes de eso) no es de ninguna manera un pacto cerrado, dado el choque legal fundamental entre los derechos de privacidad europeos y el exceso de vigilancia de EE. UU.
En las últimas semanas, algunos informes de prensa han sugerido que es inminente un nuevo acuerdo sobre transferencias de datos transatlánticos, según un informe politico del 3 de febrero.
Sin embargo, los mensajes de la comisario Vestager sugiere lo contrario.
“Este es un esfuerzo de alta prioridad para llegar a un acuerdo de este tipo con los estadounidenses”, dijo durante una sesión de preguntas y respuestas en una conferencia de prensa sobre la última propuesta de la Comisión sobre el intercambio de datos (también conocida como Ley de Datos). “Esto no es fácil, por decirlo de forma discreta. Porque tomamos la guía, por supuesto, de la corte [CJEU] que gobernó sobre la base de la Carta de los Derechos Fundamentales, que no es algo que podamos o vayamos a cambiar».
“Entonces, debemos encontrar una manera de trabajar con los estadounidenses que esté de acuerdo con esto, por supuesto, para no obtener un juicio Schrems III negativo (Cumplimiento de Schrems II: Desafíos de privacidad de datos y solución), si es así. Pero es una prioridad para nosotros permitir que la comunidad empresarial aproveche al máximo los datos, pero nuevamente hacerlo en condiciones seguras, claras y transparentes, y es por eso que estamos impulsando esto”.
La razón por la que el problema de las transferencias de datos surgió en el contexto de la Ley de datos, que la propia Vestager sugirió se relaciona principalmente con datos no personales (mientras que el fallo de Schrems que rechazó el Escudo de privacidad y el Puerto seguro se refiere a las exportaciones de datos personales fuera del bloque). )— es que el proyecto de ley propone una especie de «Schrems II para datos no personales», como rápidamente lo denominaron los expertos en protección de datos.
Un memorando explicativo prefijado al borrador de la propuesta de Ley de Datos enumera «salvaguardas contra la transferencia ilegal de datos sin notificación por parte de los proveedores de servicios en la nube» como uno de sus objetivos específicos, explicando: «Esto se debe a que se han planteado preocupaciones sobre lo que queda fuera de la UE/Espacio Económico Europeo (EEE) el acceso ilegal de los gobiernos a los datos. Dichas salvaguardas deberían mejorar aún más la confianza en los servicios de procesamiento de datos que sustentan cada vez más la economía de datos europea”.
El artículo 27 de la Ley de Datos, que trata sobre el acceso y la transferencia internacional, también establece:
“Los proveedores de servicios de procesamiento de datos tomarán todas las medidas técnicas, legales y organizativas razonables, incluidos los arreglos contractuales, para evitar la transferencia internacional o el acceso gubernamental a los datos no personales mantenidos en la Unión cuando dicha transferencia o acceso cree un conflicto con la Unión. o la legislación nacional del Estado miembro de que se trate”
Resumiendo, según una fuente de la UE familiarizada con el asunto dijo: «Estamos diciendo que los datos no personales no deberían salir de la UE si es probable que caigan en manos de espías extranjeros», comparándolo también con un “Schrems II para datos no personales”.
Entonces, para cualquiera que imagine la incertidumbre legal regional que se cierne sobre (especialmente) los servicios en la nube con sede en EE. UU., desde mediados de 2020, no parece más que una pequeña niebla que seguramente se despejará, pero mientras podría afectar de forma siniestra a las transferencias de datos de la UE.
Aquí, en el borrador de la Ley de Datos, se puede ver a la Comisión esencialmente redoblando su apuesta por Schrems II, en lugar de buscar formas de eludir la sentencia del TJUE, como hizo después de Schrems I al apresurarse a aceptar un Escudo de privacidad con defectos legales muy obvios.
Los dos ataques del Tribunal de Justicia de la Unión Europea (TJUE) de forma sucesiva sobre este tema parecen haber acabado con cualquier intento igualmente superficial de disimular grietas legales fundamentales.
Lo que a su vez significa que hablar de segregación/federación de servicios y aumentar la localización de datos en la UE es muy real, al menos mientras fallen las principales reformas de la ley de vigilancia de EE. UU.
Durante la conferencia de prensa de la Ley de Datos, Vestager rechazó la sugerencia de un periodista de que la Ley de Datos es proteccionista y afirmó: «Es beneficioso para las empresas, sin importar de dónde sean, que los datos puedan fluir».
Pero también dejó en claro que el libro de reglas de la UE es vinculante, por lo que está claro que sin un acuerdo de transferencia de datos de reemplazo entre la UE y los EE. UU., los datos no fluirán libremente.
Incluso, al parecer, datos ‘no personales’. Lo que aumenta aún más las apuestas, y corre el riesgo de convertir la Ley de datos en sí misma en una especie de herramienta de negociación del Escudo de la Privacidad dado que, sin un nuevo acuerdo sólido de transferencia de datos entre la UE y los EE. el cambio solo puede ser más fácil en el futuro si se transfieren datos de un proveedor de EE. UU. a un proveedor de la UE, no al revés.
“La cuestión es que, por supuesto, tenemos la obligación de asegurarnos de que la forma en que fluyen las cosas esté de acuerdo con las disposiciones de protección de datos; es por eso que podemos tomar estas decisiones de adecuación”, enfatizó Vestager. “Eso va más allá de la Ley de Datos. Ahora mismo nuestro colega Didier Reynders [justice commissioner] es jefe de archivo de las negociaciones con EE.UU. y del seguimiento de la sentencia Schrems II.
“Entonces, la Ley de datos no se mantendrá sola. Continuaremos este trabajo tomando decisiones de adecuación con jurisdicciones de terceros países donde podamos ver que las cosas son como deberían ser”.
También reiteró el punto a la prensa el comisario de mercado interior, Thierry Breton. “El objetivo de la Ley de Datos es abrir y desbloquear datos industriales”, dijo. “Es importante que demos reglas y explicaciones para que todas las empresas, europeas o no, sepan exactamente cuáles son las reglas del juego en el mercado único de la UE. Damos esa legitimidad».
“Para los servicios en la nube, debemos asegurarnos de que existan salvaguardas para proteger los datos personales contra el acceso forzado de un tercero, digamos un gobierno extranjero, donde no existe protección procesal o acuerdo internacional, es por eso que estamos discutiendo esto con nuestro socios para establecer las reglas”.
“Ciertamente no impide la transferencia voluntaria de datos si así lo desea la empresa o el ciudadano”, agregó. “Es obvio, pero tenemos que recordarlo. La cooperación internacional entre las autoridades judiciales y las autoridades policiales está obviamente incluida en esto”.
Con los EE. UU., la situación de la protección de datos definitivamente no está donde «debería estar» en relación con la equivalencia con la legislación de la UE tal como está. Al contrario.
Esta es la razón por la que, en los últimos meses, los reguladores de protección de datos de toda la UE han estado emitiendo decisiones de aplicación que implican el uso de los principales servicios basados en Estados Unidos, pero diciendo que el uso debe cumplir con la legislación de la UE (y actualmente no lo es), y por lo tanto, puede ser necesario buscar alternativas, debido a, la brecha obvia que existe.
El organismo de control de Francia, por ejemplo, inició un trabajo para evaluar alternativas a Google Analytics para la medición y el análisis de la audiencia del sitio web que pueden estar exentos de la necesidad de obtener el consentimiento del usuario.
El uso de servicios en la nube por parte de los organismos del sector público europeo también se enfrenta a un escrutinio coordinado a través de una acción de aplicación conjunta que comenzó a principios de este mes, centrándose de manera similar en la preocupación por las transferencias internacionales de datos.
Además, por supuesto, aún se avecina una decisión importante sobre los flujos de datos entre la UE y los EE. UU. de Facebook, que eran el objetivo original de Schrems, desde 2013.
Una orden para suspenderlos podría llegar tan pronto como mayo, según la jefa de la Comisión de Protección de Datos de Irlanda (DPC), Helen Dixon, en una entrevista con Reuters. Aunque también dejó en claro que el regulador irlandés no emitirá órdenes generalizadas según lo que decida en Facebook.
“La decisión que finalmente tomará el DPC en relación con Facebook será específica de Facebook y dirigida sólo a Facebook”, dijo. “La consecuencia de la decisión del TJUE es que no podemos hacer una conclusión más amplia y radical. Tenemos que ir empresa por empresa”, señalando además que hay “cientos de miles de entidades” que potencialmente tendrían que ser analizadas, según el informe de Reuters, comenzando con otras grandes plataformas de Internet.
El DPC ya emitió una orden de suspensión preliminar a Facebook poco después del fallo del TJUE Schrems II, en septiembre de 2020, pero el gigante tecnológico obtuvo rápidamente una suspensión, antes de perder su impugnación del procedimiento regulatorio en el Tribunal Superior de Irlanda en mayo pasado.
Y como informamos a principios de esta semana, el DPC ahora ha presentado una decisión preliminar revisada a la matriz de Facebook, Meta, dándole a la compañía un mes para responder.
Después de lo cual, los otros supervisores de datos de la UE tendrán la oportunidad de revisar y potencialmente objetar el proyecto de decisión irlandés, lo que podría agregar meses más al proceso de toma de decisiones. Pero si hay un amplio acuerdo sobre lo que sea que Irlanda haya concluido, la frase de Dixon es que «el momento más temprano en que podríamos tener una decisión final podría ser a fines de mayo».
El lento ritmo de aplicación de Irlanda en las investigaciones sobre gigantes tecnológicos significa que no hay absolutamente ninguna posibilidad de que otras decisiones a corto plazo aterricen en el tema de las transferencias de datos contra empresas como Google.
Sin embargo, en toda la UE, estamos viendo que otros reguladores toman medidas donde tienen competencia local, por lo que puede ser un caso de ‘muerte por miles de quejas’ contra herramientas como Google Analytics, para las cuales existen alternativas viables (Facebook no es la única red social pero es más vinculante, debido a los efectos de la red y los desafíos de portabilidad de datos).
Una pregunta candente es si habrá un nuevo ‘Privacy Shield 2.0‘ acordado por la UE y EE. UU. antes de que Irlanda decida sobre los flujos de datos de Facebook, suponiendo que haya una decisión final de Irlanda a fines de mayo.
Incluso si hay un acuerdo básico entre las dos partes sobre la esencia de un nuevo acuerdo para entonces, ese cronograma parece ajustado, y cualquier nuevo proyecto de acuerdo de adecuación aún debe ser adoptado por la Comisión, que deberá esperar una opinión de la Comisión Europea de Protección de Datos (EDPB).
La última vez, después de que se invalidara Safe Harbor en octubre de 2015, transcurrieron alrededor de siete meses entre la publicación del borrador del acuerdo del Escudo de privacidad (febrero de 2016) y el mecanismo adoptado por la Comisión, y finalmente la puesta en marcha para que las empresas se autocertificaran (agosto de 2016).
Aunque, en particular, el Grupo de Trabajo 29, también conocido como el organismo compuesto por las agencias de protección de datos de los Estados miembros que desde entonces se transformó en el EDPB, acordó no cortar ninguna transferencia durante el período de análisis del Escudo de Privacidad.
Es posible que Meta esté apostando por un período de gracia de implementación igualmente generoso para cualquier nuevo Escudo de Privacidad, que le permita seguir esquivando una orden de suspensión de sus flujos de datos entre la UE y los EE. UU.
Dicho esto, no está claro si el EDPB sentiría hacerlo esta vez, dado que las aplicaciones en el tema de las transferencias de datos ya están ocurriendo sin la necesidad de esperar a Irlanda.
Las 101 quejas de Schrems de agosto de 2020, presentadas deliberadamente ante agencias de toda la UE para contrarrestar la compra de grupos, se han asegurado de eso.
Por supuesto, también es probable que el TJUE tenga una visión muy negativa de cualquier acuerdo de adecuación de reemplazo que repita los errores del pasado. Y el tribunal ha demostrado capacidad para acelerar las deliberaciones cuando percibe riesgos importantes para los derechos fundamentales. Entonces, mientras que Privacy Shield cojeó durante cuatro años, cualquier reemplazo defectuoso, llamémoslo un ‘paraguas de privacidad’, puede tener una duración aún más corta antes de explotar irremediablemente.
Quizás lo más destacado: una tercera huelga del TJUE sería una gran vergüenza para la Comisión, lo que explica las fuertes señales de advertencia de Vestager, hasta el punto de afirmar explícitamente que no quiere «una sentencia Schrems III negativa».
Si la Comisión una vez más llevará voluntariamente los flujos de datos ilegales de Meta es una pregunta particularmente interesante.
No es la misma entidad que pasó por todo esto la última vez. Además, se ha embarcado en una ambiciosa agenda de políticas tecnológicas, de la cual la Ley de Datos es solo la última pieza del rompecabezas, junto con nuevos planes radicales para dominar el poder de mercado de los gigantes tecnológicos, actualizar las reglas de comercio electrónico y definir un marco para la ‘IA confiable’. , entre muchos otros movimientos legislativos, quiere remodelar la economía digital y la sociedad europea para impulsar la economía de la UE.
De ahí que se hable de un gran movimiento de ‘soberanía digital’.
Sin embargo, el apetito de la UE por descubrir qué significa la soberanía digital en la práctica, podría verse muy pronto puesto a prueba en el extremo comercial de decenas de flujos de datos interrumpidos.
