La Unión Europea, Estados Unidos y las transferencias de datos

El Reglamento General de Protección de Datos de la Unión Europea (el “RGPD” o “GDPR”, este último por sus siglas en inglés) es considerado el estándar global en materia de protección de datos personales. Generalmente, aquellos países que han modernizado y/o aprobado legislaciones en la materia han seguido la experiencia europea y se han inspirado en dicha normativa. No obstante, al menos no de manera nacional, Estados Unidos no se ha sumado a la tendencia y, en cambio, son los distintos estados los que optan o no por aprobar normas de protección de datos personales y definir su contenido y alcance.

En este sentido, históricamente la protección de los datos que se dio en Estados Unidos ha sido mucho más laxa que la que asegura la Unión Europea. A ello, se le suma que la Unión Europea – a través de la Comisión Europea- ha emitido decisiones en las cuales declaró a ciertos países como países con nivel de protección adecuado. Los países dentro de dicho listado gozan de un flujo de datos personales desde y hacia el territorio europeo que otros países no gozan.

Por lo explicado brevemente, Estados Unidos no se encuentra dentro de dicho listado de países con legislación adecuada a los ojos de la Unión Europea (Argentina, por ejemplo, sí). Para sumarle complejidad al asunto, pensemos que las grandes empresas tecnológicas son de Estados Unidos y brindan servicios (incluso algunas tienen sedes allí) a ciudadanos europeos. Es claro que hay un flujo de datos desde y hacia servidores no ubicados dentro de Europa y con información de, por ejemplo, ciudadanos europeos.

Entonces ¿cómo circulan los datos desde la Unión Europea y hacia Estados Unidos, y viceversa? Las transferencias de datos entre ambos bloques estuvieron signadas, desde hace tiempo, de diversas etapas: los Safe Harbors (Decisión de la Comisión Europea 2000/520) y el Privacy Shield (Decisión de la Comisión Europea 2016/1250), ambas revocadas por las acciones interpuestas por el austríaco activista en privacidad Schrems… Así, finalmente en julio del 2020, el Tribunal de Justicia de la Unión Europea anuló el acuerdo entre la Unión y Estados Unidos conocido como Privacy Shield y que permitía la transferencia de datos. Ello en razón de que consideraba que Estados Unidos no garantizaba la privacidad de los datos de los ciudadanos europeos. En este sentido, desde entonces las transferencias carecen de amparo legal.

El viernes 25 de marzo de 2022 se confirmó que la Unión Europea y Estados Unidos han llegado a un principio de acuerdo para desarrollar un nuevo marco jurídico para realizar las transferencias transatlánticas de datos personales entre ambos bloques y que equilibre el flujo de datos con los deberes de seguridad y derecho a la privacidad y protección de datos.

Si bien no se conoce aún el texto del nuevo acuerdo, han trascendido declaraciones de la presidenta de la Comisión Europea – Ursula von der Leyen- y del presidente de los Estados Unidos – Joe Biden-. A grandes rasgos, se ha asegurado que el acuerdo ofrecerá salvaguardas que limiten el acceso por parte de la inteligencia estadounidense y a las autoridades a los datos de ciudadanos europeos.

Asimismo, la Casa Blanca ha publicado un “Fact Sheet” en el cual se muestran algunos de los compromisos que Estados Unidos habría asumido. Entre ellos, reforzar las garantías de privacidad y libertades civiles que rigen las actividades de inteligencia de señales de Estados Unidos. Por ejemplo, el nuevo marco garantiza que dichas actividades sólo pueden llevarse a cabo cuando sea necesario para avanzar en los objetivos legítimos de seguridad nacional, y no debe tener un impacto desproporcionado en la protección de la privacidad individual y las libertades civiles. (1)

Este artículo es un breve comentario sobre temas de interés general y novedades legales en Argentina. En este sentido, no pretende ser un análisis exhaustivo ni brindar asesoramiento legal.

Referencias: