La Comisión Europea (CE) emitirá contactos legales actualizados que describirán cómo las empresas y las empresas pueden compartir datos con los EE. UU., Sin violar las leyes de privacidad de la Unión Europea (UE), en semanas.
La medida está diseñada para brindar claridad legal a las organizaciones europeas siguiendo el consejo de los reguladores de que deben realizar evaluaciones de privacidad detalladas antes de compartir datos personales con los EE. UU.
Los contratos, conocidos como cláusulas contractuales estándar (SCC), proporcionan un mecanismo legal para que las empresas europeas intercambien datos con EE. UU. Y otros países terceros.
Las empresas se han enfrentado a la inseguridad jurídica desde que el Tribunal de Justicia de las Comunidades Europeas (TJCE) anuló el acuerdo de intercambio de datos UE-EE. UU., Privacy Shield, en julio, y especificó advertencias para las empresas que utilizan SCC.
Desde entonces, los reguladores europeos de protección de datos han advertido a las empresas que siguen siendo responsables de garantizar que cumplen con las leyes de protección de datos y derechos humanos de la UE cuando intercambian datos personales sobre ciudadanos de la UE con los EE. UU.
Caja de herramientas de opciones
Se espera que la UE emita SCC actualizados que brindarán a las empresas una “caja de herramientas” de opciones para transferir datos, como parte de un intento de aclarar su posición legal.
Los SCC se actualizarán para cumplir con la sentencia de Max Schrems y la legislación de protección de datos del Reglamento general de protección de datos (GDPR) de Europa.
Se espera que sean seguidas por las directrices revisadas de la Junta Europea de Protección de Datos (EDPB) sobre transferencias de datos entre la UE y los EE. UU.
Eleonor Duhs, directora del grupo legal de información y privacidad del bufete de abogados Fieldfisher, dijo que se esperaba que las cláusulas contractuales estándar revisadas de la UE cubrieran escenarios no cubiertos por las SCC existentes.
Por ejemplo, entre otras omisiones, las SCC actuales no ofrecen disposiciones para intercambiar datos legalmente para organizaciones que actúan como controladores de datos fuera de la UE y desean compartir datos con la UE para su procesamiento.
«Tengo entendido que cualquiera que sea la configuración de controlador de datos o subprocesador que tenga, tendrá ciertas cláusulas contractuales disponibles en cualquiera de esos escenarios», dijo.
Es probable que otras medidas incluyan un requisito para que las organizaciones de la UE que comparten datos con los EE. UU. Ejerzan cierto control sobre cómo se compartirían los datos con los servicios de inteligencia y las fuerzas del orden de EE.
Eso significaría un proceso sólido para garantizar que las empresas en los EE. UU. Que reciben datos de la UE no entreguen datos a las agencias de EE. UU. Solo porque se les solicite, sino que solo lo hagan si se les presenta una orden judicial u otra evidencia de un tribunal. proceso.
Cifrado y minimización de datos
Bruno Gencarelli, jefe de la unidad de protección y flujos de datos internacionales de la Comisión Europea, dijo en un seminario en línea que las SCC revisadas requerirían que las empresas tuvieran en cuenta todas las circunstancias relevantes de las transferencias de datos.
Eso incluiría la naturaleza de la transferencia, el modelo de negocio de las organizaciones y si el país que recibe los datos tiene un acuerdo de adecuación con la UE.
Las empresas podrán utilizar la evaluación para decidir si quieren utilizar un mecanismo de transferencia de datos y si necesitan introducir salvaguardas adicionales, como el cifrado, para mitigar los riesgos de protección de datos, dijo Gencarelli.
Se espera que la CE ofrezca a las empresas orientación «no exhaustiva» y «no prescriptiva» sobre los factores que deben tener en cuenta.
Esto incluye la seguridad de los sistemas informáticos utilizados, si los datos están encriptados y cómo responderán las organizaciones a las solicitudes de los EE. UU. U otras agencias gubernamentales de aplicación de la ley para acceder a los datos personales de los ciudadanos de la UE.
Gencarelli dijo que las preguntas relevantes incluirían: ¿Qué hace como empresa cuando recibe una solicitud de acceso? ¿Cómo lo revisas? ¿Cuándo lo desafías, si, por supuesto, tienes motivos para desafiarlo?
Las empresas también pueden necesitar evaluar si pueden utilizar los principios de minimización de datos para garantizar que cualquier dato sobre ciudadanos de la UE que entreguen en respuesta a una solicitud legítima de un gobierno cumpla con los principios de privacidad de la UE.
Las directrices, que estarán abiertas a consulta pública, se basarán en la experiencia de las empresas que han desarrollado las mejores prácticas para las SCC y de las organizaciones de la sociedad civil.
Gencarelli dijo que reconocía que las empresas más pequeñas podrían no tener el tiempo y la experiencia para realizar investigaciones en profundidad, y que la UE estaba trabajando en las SSC como una solución lista para usar para la transferencia de datos.
Thomas Boué, director general de política de Business Software Alliance (BSA), un organismo comercial para empresas de tecnología, dijo en el seminario que la “metodología de la caja de herramientas” de la comisión sería un importante paso adelante.
“Tiene que hacerse caso por caso. No podremos tener una solución, una cosa que va a funcionar. Si eso es lo que estamos buscando, creo que te decepcionará ”, dijo.
Sin embargo, Alex Greenstein, director de Privacy Shield del Departamento de Comercio de EE. UU., Dijo que un análisis intensivo caso por caso de las transferencias de datos sería una tarea importante para las empresas.
«Dada la cantidad de recursos que se necesitan para realizar la mini evaluación de adecuación, es mucho más proporcionado simplemente considerar que su tercer país no ha superado la mini evaluación de adecuación y pasar a medidas complementarias»
Eleonor Duhs, pescador de campo
Alrededor del 70% de las empresas que utilizan Privacy Shield son pequeñas y medianas empresas, dijo.
Estados Unidos inició conversaciones con la UE en agosto para «evaluar el potencial» de una versión mejorada del Escudo de privacidad que cumpliera con la legislación de la UE.
Greenstein dijo que Estados Unidos estaba manteniendo conversaciones con diferentes sectores de la economía, desde la atención médica hasta la investigación, que se verían afectados por un Escudo de privacidad mejorado.
Uno de los temas en discusión es el papel de la Junta de Supervisión y Libertades Civiles de Privacidad de los Estados Unidos (PCLOB), un organismo independiente que monitorea el cumplimiento de los Estados Unidos con la privacidad y las libertades civiles, en los programas de vigilancia.
Duhs dijo que la EDPB podría requerir que las empresas pasen por un proceso de tres estados: primero, evaluar si pueden utilizar cláusulas contractuales estándar; en segundo lugar, evaluar si ese tratamiento de datos es compatible con la legislación de la UE; y tercero, el uso de medidas complementarias para proteger los datos cuando sea necesario.
En la práctica, las empresas pueden evitar el costo y el tiempo de una evaluación de la adecuación de sus intercambios de datos con EE. UU. Simplemente asumiendo que EE. UU. No cumple con las normas.
Si el EDPB permitiera tal movimiento, esto permitiría a las organizaciones seguir adelante con otras medidas de protección de datos que mitigarán los riesgos de incumplimiento de la legislación de la UE.
“Dada la cantidad de recursos que se necesitan para hacer la mini evaluación de adecuación, es mucho más proporcionado simplemente considerar que su tercer país no ha superado la mini evaluación de adecuación y pasar a medidas complementarias”, dijo.
El Escudo de privacidad puede activar las elecciones estadounidenses
Es probable que la rapidez con la que se introduzca un reemplazo del Escudo de privacidad dependa de los resultados de las elecciones estadounidenses.
Se cree ampliamente que una presidencia de Biden probablemente querría priorizar el intercambio de datos entre los EE. UU. Y la UE que una administración Trump de segundo mandato.
Y es posible que los cambios en las cláusulas contractuales estándar no lleguen a tiempo para incorporarlos a la legislación del Reino Unido antes de que finalice el período de transición del Brexit, especialmente si la UE permite tiempo para la consulta pública.
“El RGPD del Reino Unido potencialmente se dirigirá en una dirección separada de la UE”, dijo Duhs.
