Regla número 1 para quienes trabajan en el ámbito de la privacidad: sentirse muy cómodo con la incertidumbre.
Esa regla se aplica a la sentencia histórica de la semana pasada en el caso del Comisionado de Protección de Datos contra Facebook Ireland Limited, Maximilian Schrems (“Schrems II”) del Tribunal de Justicia de la Unión Europea (TJUE).
¿Qué significa Schrems II para la privacidad de datos?
Durante la última década, ha habido intentos constantes de validar que las empresas estadounidenses mantengan un "nivel adecuado de protección" para cualquier dato de la UE. Escudo de privacidad UE-EE. UU. Se introdujo para abordar específicamente la protección de datos personales transferidos desde la Unión Europea a Estados Unidos. Más de 5000 empresas pronto aprovecharon la... Escudo de privacidad como su principal mecanismo legal al transferir datos personales de la Unión Europea a los Estados Unidos.
La sentencia histórica Declara inválido el Escudo de Privacidad de la UE, lo que ha sumido en el caos el mundo de la privacidad. En concreto, ha puesto en tela de juicio la legalidad de transferir datos de ciudadanos de la UE a Estados Unidos y cómo deberían compartirse los datos personales transfronterizos.
Dónde se quedó corto el Escudo de Privacidad
El Tribunal consideró que la legislación estadounidense no establece límites efectivos al acceso a las actividades de inteligencia y no prevé ningún recurso efectivo que los ciudadanos de la UE puedan utilizar si sus datos han sido transferidos a Estados Unidos.
Si bien el Escudo de Privacidad incluía un Defensor del Pueblo para remediar las deficiencias en la transferencia de datos, este no era lo suficientemente independiente de los requisitos legales de Estados Unidos como para ser considerado un mecanismo suficiente para la reparación individual, y el propio Escudo de Privacidad no establecía limitaciones a los poderes de inteligencia de Estados Unidos.
El Departamento de Comercio ha declarado que continuará administrando el programa Escudo de Privacidad, pero la realidad es que ahora el programa se considera inmediatamente un mecanismo de protección de datos ineficaz para las transferencias de datos de la UE.
Como Omer Tene, Director de Conocimiento de la Asociación Internacional de Profesionales de la Privacidad bromeó – la situación es esencialmente como intentar meter una clavija redonda en un agujero cuadrado, ya que “los requisitos de legitimación de la Constitución de los Estados Unidos no pueden conciliarse con las impugnaciones legales de individuos a quienes nunca se les informa que están sujetos a vigilancia gubernamental. Y el Cláusula de nombramientos de la Constitución de los Estados Unidos no es susceptible de un Defensor del Pueblo totalmente independiente que satisfaga las demandas del TJUE”.
¿Salvados por las SCC?
Schrems II Afortunadamente no invalidó la en sí uso de Cláusulas contractuales estándar (CCE) como mecanismo de transferencia de datos.
Sin embargo, el Tribunal sí previó que las empresas tuvieran que recurrir a «medidas complementarias» u «otras cláusulas y salvaguardias adicionales» en casos en que las cláusulas contractuales subcontratadas no pudieran garantizar la protección. El TJUE no aclaró qué medidas o salvaguardias deberían adoptar las empresas en la actualidad.
Al reflexionar sobre lo que esto podría significar, el Dr. Chris Kunner, profesor de derecho y codirector del Centro de Privacidad de Bruselas, conjeturó: «El precio de mantener las CSC parece haber sido hacer que los controladores de datos sean más responsables de tomar medidas cuando la legislación del país de importación permite el acceso a datos que van más allá de los estándares de la UE».
¿Quién se ve afectado?
En última instancia, todas las empresas de cualquier tamaño, en cualquier sector, que procesan datos de la UE. Esto afecta la forma en que... se recopilan datos personales, movido y compartido a través de países y fronteras, con posibles ramificaciones en todas las industrias, desde las redes sociales hasta el comercio minorista, las agencias gubernamentales y todos los lugares intermedios.
¿Y ahora qué?
Muchos están esperando la orientación oficial del Comité Europeo de Protección de Datos (CEPD); otros hablarán con sus asesores jurídicos internos y externos sobre qué mecanismos legales deberían utilizar mientras tanto.
Mientras tanto, al considerar las “salvaguardias adicionales” a las SCC desde la perspectiva de los datos, las organizaciones pueden adoptar un enfoque proactivo para gobernar la transferencia de datos personales.
BigID ayuda a las organizaciones a identificar, gestionar y supervisar toda la actividad relacionada con datos personales y sensibles, incluidas las transferencias transfronterizas. Con BigID, las organizaciones pueden:
- Informar y supervisar el intercambio de datos de terceros
- Detectar transferencias transfronterizas de datos que no cumplen con las políticas
- Etiquetar y rotular datos para fines legales
- Atributos de datos de etiquetas basados en la residencia del titular de los datos para transferencias dentro de la empresa
Comprender sus existencias de datos, como vincular la residencia a una identidad y saber dónde El almacenamiento de estos datos es un excelente punto de partida para las empresas que intentan comprender qué sigue después del Escudo de privacidad.
Como Secretario de Comercio de Estados Unidos, Wilbur Ross fijadoEsperamos “poder limitar las consecuencias negativas para la relación económica transatlántica de $7,1 billones que es tan vital para nuestros respectivos ciudadanos, empresas y gobiernos. Los flujos de datos son esenciales no solo para las empresas tecnológicas, sino para empresas de todos los tamaños en todos los sectores.."
Autor
