Los poderes otorgados a los ministros del Reino Unido en virtud de las Regulaciones de Salida de la UE les permiten determinar o revocar decisiones de adecuación de datos con poco o ningún escrutinio parlamentario, y podrían poner en peligro la capacidad del Reino Unido para compartir datos con Europa, dijeron los expertos a Computer Weekly.
A medida que las negociaciones del Reino Unido con la UE continúan sumidas en el desacuerdo, aumentan las preocupaciones sobre la capacidad de intercambiar datos libremente entre los dos, lo que se basa en la capacidad del gobierno del Reino Unido para garantizar una decisión de adecuación de datos de la UE.
Sin esta decisión, las empresas del Reino Unido podrían tener dificultades para intercambiar datos con sus filiales de la UE o con clientes y proveedores. Los expertos temen que la legislación del Reino Unido, si se utiliza, podría socavar las perspectivas de que se tome tal decisión.
Introducido en febrero de 2019, el Reglamento de salida de la UE transfiere los poderes de decisión de la Comisión Europea (CE) a los ministros del Reino Unido, quienes, mediante el uso de un instrumento legal, podrán evitar cualquier escrutinio serio del Parlamento.
Esto se debe a que el instrumento (una herramienta para la creación de legislación secundaria) está sujeto al “procedimiento de resolución negativa”, lo que significa que una vez que el ministro competente lo aprueba, se convierte en ley a menos que el Parlamento lo anule activamente en un plazo de 40 días.
Aunque cualquier diputado puede presentar una moción de nulidad (denominada “oración”) dentro de este período, el gobierno no tiene la obligación de debatirla en la Cámara de los Comunes y, según el Instituto de Gobierno, mientras que el “procedimiento negativo otorga al Parlamento un veto teórico sobre la legislación secundaria, en realidad, este poder se utiliza raramente ”.
Agregó: «La última vez que la Cámara de los Comunes oró contra la legislación secundaria fue en 1979, mientras que los Lores no han rechazado un instrumento negativo desde 2000».
Las regulaciones dicen que el secretario de Estado debe monitorear los desarrollos en la jurisdicción de adecuación «de manera continua», y que se debe realizar una revisión «a intervalos de no más de cuatro años».
Por el contrario, en el marco legislativo actual de la UE, la adopción de una decisión de adecuación, que determina si un país fuera de la UE ofrece un nivel adecuado de protección de datos y, por lo tanto, si los datos se pueden compartir con él, requiere la participación de múltiples organismos.
Esto incluye una propuesta inicial de la CE, que luego es revisada por la Junta Europea de Protección de Datos y votada por un comité de representantes de los estados miembros, antes de regresar a la CE para su aprobación final.
En cualquier momento, el Parlamento Europeo o el Consejo pueden solicitar que la CE mantenga, modifique o retire la decisión de adecuación si decide que excede las competencias de ejecución de la CE.
Falta de responsabilidad
Según Nick Dearden, director de Global Justice Now (GJN), a medida que el gobierno asume poderes previamente investidos en la UE, “no están traduciendo los mecanismos democráticos o de rendición de cuentas en absoluto”.
“Lo encuentro absolutamente extraordinario, dado que uno de los argumentos sobre la UE fue lo antidemocrática que era, que nos encontramos en una situación en la que los ministros del gobierno pueden tomar poderes amplios que no hubieran sido posibles en la UE, Dearden dijo a Computer Weekly.
“Claramente, tenemos un gobierno aquí que no está interesado en absoluto en la responsabilidad democrática. Eso sería un problema enorme en el mejor de los casos, pero es particularmente un problema en un momento en que estamos transfiriendo poderes de un lugar a otro, es decir, a sus manos, porque lo que significa es que están construyendo un sistema completo que es antidemocrático, y simplemente no tenemos los controles y equilibrios allí para controlarlos en este momento «.
Las Regulaciones de Salida también otorgan a los ministros el poder de crear nuevas cláusulas contractuales estándar (CEC) que consideren que brindan un nivel apropiado de protección de datos, que también podría usarse como base legal para transferencias de datos a jurisdicciones o entidades no adecuadas.
En julio, un fallo histórico del Tribunal de Justicia de la Unión Europea (TJUE) que anuló el acuerdo de intercambio de datos del Escudo de privacidad entre EE. UU. Y la UE también arrojó dudas sobre la legalidad del uso de SCC como base para las transferencias internacionales de datos, y encontró que, aunque eran legalmente válidas, las empresas aún tienen la responsabilidad de garantizar que aquellos con quienes compartieron los datos tengan protecciones de privacidad equivalentes a las contenidas en la legislación de la UE.
Si bien varios reguladores europeos de protección de datos y privacidad están en el proceso de decidir cómo serían los SCC apropiados a raíz de la sentencia del TJUE (coloquialmente conocido como Schrems II en honor al abogado austriaco que inició el caso), se aplicaría el mismo procedimiento de resolución negativa. a los ministros del Reino Unido al crear sus propios SCC, lo que significa que potencialmente podrían crear sus propios estándares, nuevamente sin un escrutinio parlamentario adecuado.
En declaraciones a Computer Weekly, Javier Ruiz Diaz, un consultor independiente de políticas digitales que anteriormente trabajó como director de políticas y campañas del Open Rights Group, dijo que la transferencia de poder de Bruselas a Westminster «no es una transferencia igual a igual», porque a pesar de las críticas válidas que muchos tienen de la burocracia de la UE, los controles y equilibrios establecidos tienden a fomentar niveles más altos de participación en el proceso.
“Por un lado, este modelo está desvinculado de los ciudadanos de a pie, pero por otro, por ese desprendimiento, tienen muchas [more] procesos formales de participación que en el Reino Unido ”, dijo Ruiz Díaz, y agregó que existe la preocupación de que el Reino Unido esté más interesado en priorizar los flujos de datos y el comercio sobre la protección de datos.
“Por todo lo que sabemos del gobierno, ellos realmente quieren tener este nuevo Reino Unido basado en datos, IA, algorítmico y de vanguardia”, dijo.
En su Estrategia Nacional de Datos, publicada recientemente, el gobierno se comprometió a eliminar los «riesgos legales y de seguridad reales y percibidos de compartir datos», lo que, según afirmó, ayudaría a lograr una «transformación radical de cómo el gobierno comprende y libera el valor de su propio datos».
Según informes en El guardián, Fuentes de la UE dijeron que la estrategia de datos había exacerbado las preocupaciones existentes sobre el enfoque del Reino Unido al final del período de transición.
“También facilitaremos los flujos de datos transfronterizos eliminando barreras innecesarias a las transferencias internacionales de datos que promueven el crecimiento y la innovación”, dijo un documento de consulta que acompaña a la estrategia de datos, que también pregunta a los encuestados qué países son prioritarios para los futuros acuerdos de adecuación de datos del Reino Unido.
Haciendo eco de Ruiz Díaz, Dearden dijo: «Existe una preocupación particular cuando se trata de la protección de datos porque sabemos que esta es un área en la que el gobierno británico quiere avanzar, potencialmente diluyendo los estándares».
Posibilidades divergentes
Si bien los ministros tienen la posibilidad de tomar nuevas decisiones de adecuación o SCC, hacerlo dificultaría que la propia UE los considere adecuados.
Phil Lee, socio del grupo de información, seguridad y privacidad del bufete de abogados Fieldfisher, dijo a Computer Weekly que una vez que finalice el período de transición, el Reino Unido ya no estará sujeto a la legislación de la UE y una vez que se haya copiado el Reglamento general de protección de datos (GDPR) en según los estatutos del Reino Unido, depende del gobierno cómo se desarrolle a partir de ahí.
«Debido a que seremos soberanos, podemos elegir a qué países queremos otorgar la adecuación», dijo. “Por esas razones, podríamos optar por otorgar adecuación a países completamente diferentes de aquellos que la UE ha reconocido como adecuados.
“Pero si hacemos eso, inevitablemente afectará nuestra posición con la UE y si la UE nos considera seguros para recibir datos de la UE, porque la preocupación sería que simplemente puede transferir datos al Reino Unido y luego transferirlos desde el Reino Unido a países que el Reino Unido consideraría adecuados, pero la UE no «.
Aunque ya es incierto si el Reino Unido será considerado adecuado por la UE, en gran parte debido a sus leyes de vigilancia intrusivas, como la Ley de Poderes de Investigación y la membresía de la Alianza Cinco Ojos, Ruiz Díaz dijo que está escuchando preocupaciones que algunos en el gobierno » darse cuenta de que la adecuación europea de la UE puede no valer la pena desde su punto de vista ”.
Añadió: «Si lee entre líneas las ambiciones de datos declaradas por el gobierno, muchas de ellas no son compatibles con una decisión de adecuación».
Dearden de GJN agregó que mantener los mismos estándares GDPR y, por lo tanto, la adecuación con la UE, «es algo que potencialmente van a comprometer para obtener un acuerdo comercial estadounidense o un acuerdo comercial con varios otros países».
«Eso hará que sea más difícil para nosotros comerciar con la UE, pero por lo que puedo ver, ese es el camino que es más probable que sigan», dijo. “Para ellos, el objetivo de salir de la UE era salirse de los estándares y protecciones que se han negociado a lo largo de los años por ese bloque.
“El estándar que el gobierno británico está considerando beneficia al sector privado de la gran tecnología, y están dispuestos a renunciar a la relación con la UE y las redes comerciales que se han construido a lo largo del tiempo para conseguirlo”.
Refiriéndose a los documentos comerciales entre Estados Unidos y el Reino Unido filtrados en noviembre de 2019, Ruiz Díaz dijo: «Estados Unidos espera abiertamente utilizar el Reino Unido para debilitar la protección de datos europea». Agregó que todo esto debe considerarse en el contexto de una “batalla geopolítica por la economía digital global” entre los modelos regulatorios de Europa, Estados Unidos y China.
Pero también dijo que la UE y el Reino Unido estaban esencialmente atrapados en un juego de gallina reguladora, una situación de «quién se mueve primero».
«Supongamos que el Reino Unido obtiene la adecuación por sí mismo, y eso es un gran si en este momento, eso ataría las manos del gobierno del Reino Unido en términos de lo que podría hacer», dijo Ruiz Díaz, al tiempo que coincidió con Lee en que el Reino Unido debería comenzar a tomar decisiones de adecuación. en otros lugares, también ataría las manos de la UE.