La transferencia de datos personales a nivel internacional se ha vuelto más difícil en los últimos días. El Tribunal de Justicia de la Unión Europea (TJUE) ha invalidado el Escudo de la privacidad, una decisión de adecuación de la UE que permitió que los datos fluyeran libremente desde el Reino Unido y la UE a más de 5.300 empresas en los Estados Unidos.
Al mismo tiempo, hizo que la dependencia de las cláusulas contractuales estándar (SCC), la alternativa obvia al Escudo de privacidad, fuera más onerosa. Requiere que las empresas evalúen los regímenes legales en los países a los que se exportarán los datos y que se establezcan «salvaguardas apropiadas» si la legislación en el país de destino es insuficiente.
Ahora se espera que los reguladores vigilen las transferencias internacionales de manera mucho más rigurosa que en el pasado. Los comentaristas temen que las transferencias de datos de la UE y el Reino Unido a los EE. UU. Ahora estén efectivamente prohibidas, aunque debe enfatizarse que el TJUE no dijo que los flujos de datos de la UE o el Reino Unido a los EE. UU. Deberían detenerse.
Las empresas en el Reino Unido y los EE. UU. Pueden preguntarse qué significa Brexit, que finaliza la aplicación de los tratados de la UE en el Reino Unido, para los flujos de datos entre el Reino Unido y los EE. UU., Y si facilitará el intercambio de datos con los EE. UU.
La Directiva General de Protección de Datos (GDPR) dejará de aplicarse al Reino Unido al final del período de transición el 31 de diciembre de 2020, cuando el Reino Unido ya no estará sujeto a la legislación de la UE. Sin embargo, esto no significa que el Reino Unido tendrá una mano libre en los arreglos de protección de datos que establece con países no pertenecientes a la UE, incluido EE. UU.
El Reino Unido está negociando una decisión de adecuación con la UE. Si la UE decide que las disposiciones legales del Reino Unido son «esencialmente equivalentes» a las de la UE, una decisión de adecuación permitiría que el flujo libre de datos de la UE al Reino Unido continúe después de que finalice el período de transición.
Una decisión de adecuación también limitará la capacidad del Reino Unido para acordar nuevos arreglos para la transferencia de datos con países no pertenecientes a la UE. Esto se debe a que cualquier cambio significativo en el régimen de protección de datos del Reino Unido, en particular la reducción de los estándares de protección, podría poner en peligro el estado del Reino Unido como adecuado para los flujos de datos UE-Reino Unido. La UE puede revocar una decisión de adecuación si el país en cuestión ya no proporciona un régimen de protección de datos esencialmente equivalente al de la UE.
Incluso si el Reino Unido perdiera su estatus de adecuado para los flujos de datos UE-Reino Unido en algún momento en el futuro, el Reino Unido se ha comprometido a garantizar un nivel de protección de datos personales esencialmente equivalente al del GDPR, al menos para los datos que vino de la UE antes de que terminara el período de transición.
El Reino Unido tiene la intención de adoptar el GDPR como ley nacional al final del período de transición. Esto significa que las transferencias de datos entre el Reino Unido y los EE. UU. Tendrán que cumplir con los mismos estándares exactos actualmente requeridos por el RGPD para transferir datos a los EE. UU.
No obstante, existe un verdadero nerviosismo en la UE por el hecho de que el Reino Unido podría terminar como una «puerta trasera» a través de la cual los datos de la UE se pasan a los Estados Unidos sin las protecciones adecuadas, como los párrafos finales de esta carta desde el presidente de la Junta Europea de Protección de Datos hasta el Parlamento Europeo dejar en claro.
Es interesante leer las posiciones de negociación de apertura de los Estados Unidos y el Reino Unido en el mundo posterior a Schrems. Ambas partes enfatizan la necesidad de permitir el libre flujo de datos y la indeseabilidad de las leyes de localización de datos que requieren que los datos personales se almacenen en el país donde se recopilaron.
El gobierno de los Estados Unidos resumen de los objetivos de negociación para un TLC entre el Reino Unido y los Estados Unidos establece que el TLC debe «establecer reglas de vanguardia para garantizar que el Reino Unido no imponga medidas que restrinjan los flujos de datos transfronterizos y no requiera el uso o la instalación de instalaciones informáticas locales».
El documento de política del Reino Unido sobre un futuro TLC entre el Reino Unido y los Estados Unidos enfatiza la importancia de «maximizar el alcance del Reino Unido en campos emergentes como los flujos de datos globales y la inteligencia artificial». Establece que el TLC debe «incluir disposiciones que faciliten el libre flujo de datos, al tiempo que garantiza que se mantengan los altos estándares de protección de datos personales del Reino Unido e incluir disposiciones para evitar requisitos de localización de datos injustificados».
La decisión de Schrems II parecería dificultar el cumplimiento de los objetivos de negociación del Reino Unido y los Estados Unidos. La opinión del abogado general en Schrems II enfatizó que el pragmatismo era necesario para «por un lado … permitir la interacción con otras partes del mundo … y por otro lado … para afirmar los valores fundamentales reconocidos en los órdenes legales de la Unión y sus estados miembros, y en particular en la carta [of fundamental rights]».
Sin embargo, el consenso parece ser que el TJUE no pasó la prueba del pragmatismo, creando expectativas poco realistas de que las empresas podrán realizar evaluaciones sólidas de los regímenes legales en terceros países y evaluar las transferencias caso por caso.
La reacción del gobierno del Reino Unido y el regulador del Reino Unido para la protección de datos, la Oficina del Comisionado de Información (ICO), reflejó sus preocupaciones compartidas para garantizar que los flujos de datos internacionales no se vean interrumpidos. La declaración del gobierno del Reino Unido enfatizó que «sigue comprometido a apoyar a las organizaciones del Reino Unido en las transferencias internacionales de datos». La OIC emitió una nota similar, diciendo que estaba considerando el impacto de la sentencia en las transferencias internacionales de datos, que declaró que son «vitales para la economía global».
La ICO también declaró que las transferencias que se realizan en dependencia del Escudo de privacidad deberían continuar por ahora. Esto se hizo eco de la respuesta del Departamento de Comercio de EE. UU., Que declaró que las empresas que confían en Privacy Shield deberían seguir cumpliendo con sus obligaciones y enfatizó que «los flujos de datos son esenciales no solo para las empresas tecnológicas, sino también para las empresas de todos los tamaños en todos los sectores».
Si la localización de datos no es deseable para los Estados Unidos, es aún más problemático para el Reino Unido. Brexit a menudo se ha discutido como el proceso de convertir al Reino Unido en una «nación comercial global». Crear barreras para el comercio a través de requisitos onerosos en la ley de protección de datos se siente incómodo con esa ambición.