El Consejo Europeo de Protección de Datos (SEPD) publicó ayer sus recomendaciones finales sobre directrices para realizar transferencias de datos personales a terceros países para cumplir con las normas de protección de datos de la UE a la luz de la histórica sentencia del TJUE del verano pasado.

El largo y corto de estas recomendaciones, que son bastante largas; con 48 páginas, es que algunas transferencias de datos a terceros países simplemente no serán posibles de llevar a cabo (legalmente). A pesar de la existencia continua de mecanismos legales que, en teoría, se pueden utilizar para realizar dichas transferencias (como Cláusulas Contractuales Estándar; una herramienta de transferencia que fue actualizada recientemente por la Comisión). Sin embargo, depende del controlador de datos evaluar la viabilidad de cada transferencia, caso por caso, para determinar si los datos pueden fluir legalmente en ese caso particular. (Lo que puede significar, por ejemplo, que una empresa realice evaluaciones complejas sobre los regímenes de vigilancia del gobierno extranjero y cómo afectan a sus operaciones específicas.)

Las empresas que rutinariamente llevan los datos de los usuarios de la UE fuera del bloque para su procesamiento en terceros países (como los EE. UU.), que no tienen acuerdos de adecuación de datos con la UE, se enfrentan a costos y desafíos sustanciales para lograr el cumplimiento, en el mejor de los casos. Aquellos que no pueden aplicar «medidas especiales» viables para garantizar que los datos transferidos sean seguros están obligados a suspender los flujos de datos, con el riesgo, en caso de que no lo hagan, de ser ordenados por una autoridad de protección de datos (que también podría aplicar sanciones adicionales). Una opción alternativa podría ser que una empresa de este tipo almacene y procese los datos de los usuarios de la UE localmente, dentro de la UE. Pero claramente eso no será viable para todas las empresas.

Es probable que los bufetes de abogados estén muy contentos con este resultado, ya que habrá una mayor demanda de asesoramiento legal a medida que las empresas lidian con cómo estructurar sus flujos de dato. En algunas jurisdicciones de la UE (como Alemania) las agencias de protección de datos ahora están llevando a cabo controles de cumplimiento activamente, por lo que las órdenes de suspender las transferencias están obligadas a seguir. Mientras que el Supervisor Europeo de Protección de Datos está ocupado examinando el propio uso de las instituciones de la UE de los gigantes de servicios en la nube de EE. UU. para ver si los acuerdos de alto nivel con gigantes tecnológicos como AWS y Microsoft pasan a la cuenta o no.

El verano pasado, el TJUE eliminó el Escudo de Privacidad UE-EE. UU., solo unos años después de que se contegiera el acuerdo de adecuación insignia. Las mismas cuestiones legales básicas hicieron con su predecesor, «Safe Harbor», aunque eso había permanecido durante unos quince años. Y desde la desaparición del Escudo de Privacidad, la Comisión ha advertido repetidamente que esta vez no habrá un reemplazo de solución rápida; es probable que se requiera una reforma importante de la ley de vigilancia de Estados Unidos. Los legisladores de EE. UU. y la UE siguen en negociaciones sobre un acuerdo de reemplazo de flujos de datos UE-EE. UU., pero un resultado viable que pueda resistir el desafío legal, ya que los dos acuerdos anteriores no podrían, bien puede requerir años de trabajo, no meses. Y eso significa que los flujos de datos UE-EE. UU. se enfrentan a inseguridad jurídica en el futuro previsible.

El Reino Unido, mientras tanto, acaba de exprimir un acuerdo de adecuación de datos de la Comisión, a pesar de algunos planes post-Brexit fuertemente enunciados para la divergencia regulatoria en el área de la protección de datos. Si el Reino Unido sigue adelante en la ruptura de principios clave de su marco legal heredado de la UE, hay una alta probabilidad de que también pierda su estatus de adecuación en los próximos años, lo que significa que también podría enfrentar barreras devastadoras a los flujos de datos de la UE. (Pero por ahora parece haber esquivado esa bala.) Los flujos de datos a otros terceros países que también carecen de un acuerdo de adecuación de la UE, como China e India, se enfrentan a la misma inseguridad jurídica actual.

Fuente: TechCrunch