Transferencia de datos entre UE-EEUU y sus implicancias en investigadores

Desde el surgimiento de los gigantes tecnológicos globales, principalmente situados en los EE. UU., el flujo de datos personales ha sido el epicentro de una serie de debates políticos en los que se plantearon cuestiones en torno a quién controla qué tipo de datos, qué es lo hacen con estos datos, etc. Esta tendencia ha ganado más velocidad y atención con la pandemia Covid-19 en la que un mayor porcentaje de nuestras transacciones diarias son más digitales.  

Los investigadores, especialmente los académicos, suelen trabajar con datos sensibles.  Principalmente debido a este hecho, la seguridad de los datos y el cumplimiento del GDPR son imperativos para proteger el anonimato de los participantes a los que entrevistan, que también es una de sus principales responsabilidades como controladores de datos. Antes de profundizar la situación actual en torno a la regulación de transferencia de datos entre UE y los EE. UU., comprender el contexto de los flujos de datos transatlánticos podría ayudar a entender el Privacy Shield que se abolió el 16 de julio de 2020 y qué esperar en el futuro.

Descargo de responsabilidad: esta publicación no pretende proporcionar una base legal para Schrems II. Nos gustaría ayudar a los investigadores a comprender mejor los esquemas más recientes sobre transferencia de datos entre la UE y países terceros que pueden ser relevantes para sus prácticas.

Diferencias entre las prácticas de la UE y los EE. UU.

El respeto de la vida privada y la protección de datos se perciben como derechos fundamentales en la ley de la UE.  A medida que el Tribunal de Justicia Europeo (TJUE) del  juicio de Google España en 2014 en un “derecho de solicitud de borrado”, el derecho fundamental de la privacidad de los datos de un individuo, se decidió que tiene más importancia que los intereses económicos de las empresas de terceros o incluso intereses del público en general - por las autoridades europeas.

Esta es una de las principales diferencias entre los sistemas de privacidad de datos de los EE. UU. y la UE. En la UE el derecho a la protección de datos está protegido a nivel constitucional mientras que no es el caso en los Estados Unidos. En los EE. UU., la Comisión Federal de Comercio (FTC) toma las medidas necesarias para garantizar que los consumidores estén protegidos contra prácticas desleales, mientras que en la UE, las organizaciones están obligadas a tener una base legal para el procesamiento de datos personales o no procesamiento de estos datos crea una situación perjudicial para el individuo.

El artículo 6 del GDPR esboza las seis bases legales; 1) consentimiento, 2) contrato, 3) obligación legal, 4) intereses vitales, 5) tarea pública y 6) intereses legítimos. Por tanto, debe haber una base legal para procesar datos independientemente de sus consecuencias. Esto, por supuesto, no significa que la FTC en los EE. UU. toma las cuestiones de privacidad de datos a la ligera. En el pasado, ha adoptado una postura bastante estricta contra algunos de los gigantes tecnológicos estadounidenses cuando evaluó que violaban los derechos de privacidad de sus consumidores.

Por ejemplo, la FTC emitió una multa sin precedentes de $ 5 mil millones a Facebook en 2019 por la violación de la privacidad de usuario.

¿Por qué se han invalidado el Safe Harbor y Privacy Shield ?

Uno de los aspectos problemáticos de los flujos de datos entre la UE y los EE. UU. proviene de las diferencias entre prácticas nacionales de seguridad y vigilancia de los EE. UU. y las normas de protección de la UE. Actualmente la legislación de los EE.UU. no impiden por completo la capacidad de las entidades gubernamentales de acceder a datos personales del usuario.  

Esta es una de las razones por las que tanto el Privacy Shield como su predecesor, el Safe Harbour, quedaron abolidos. El Safe Harbour fue emitido por la Comisión Europea en 2000, que actuó como decisión de adecuación parcial en la que empresas individuales o incluso industrias podrían transferir datos entre la UE y los EE. UU. siempre que estuvieran obligados a aplicar iniciativas de protección más estrictas de transferencia de datos que la ley general de EE. UU.

En 2015, la decisión del Safe Harbour fue invalidado por el TJUE en respuesta a una denuncia presentada por un activista y abogado austriaco, Max Schrems.  Él afirmó que sus datos de redes sociales no eran protegidos por Facebook cuando se transfirió a los EE. UU. y que el gobierno de los EE. UU. accedió a sus datos desde Facebook. Esta decisión demostró que el TJUE no favoreció a ningún requisito de seguridad o prioridades sobre los propios derechos de privacidad del individuo.

Los mismos problemas siguieron existiendo incluso cuando se introdujo el Privacy Shield en Julio de 2016. El Privacy Shield era similar al Safe Harbour en el sentido de que permitía un flujo de datos más fácil desde las entidades en la UE a los EE. UU. a cambio de normas de protección de datos más estrictas que las exigidas por la ley estadounidense. En comparación con el Safe Harbour, el Privacy Shield impuso mecanismos de vigilancia más fuertes y requirió el nombramiento de un Ombudsperson independiente que fuera responsable de gestionar y tramitar solicitudes de ciudadanos de la UE sobre la transferencia de sus datos personales.

Una preocupación fundamental y una crítica hacia el Privacy Shield por parte de algunos de los funcionarios de la UE, ciudadanos y activistas fue que no impidió ni limitó a las entidades gubernamentales de EE. UU. al acceso de los datos de los ciudadanos de la UE de una manera que viola la ley de la UE. 

El Reglamento General de Protección de Datos (GDPR) se implementó el 25 de mayo de 2018 y estableció normas en torno a las cuales se debe tratar la protección de datos y la privacidad dentro de la UE.  Su impacto se extiende más allá de las fronteras de la UE, ya que implica a ciudadanos europeos que viven en el extranjero. Esencialmente, GDPR proporcionó pautas mucho más estrictas sobre cómo se deben procesar y almacenar datos personales por particulares y empresas. Este ha sido un gran desencadenante positivo para aumentar conciencia sobre cuestiones de privacidad en todo el mundo.

Moviéndonos hasta julio de 2020, Max Schrems volvió a ser el centro de atención cuando afirmó que los datos de los ciudadanos de la UE no estaban completamente protegidos de los programas de vigilancia de los EE. UU. que finalmente llevaron a la sentencia del TJUE que invalidó el acuerdo de Privacy Shield.. Casi 3 meses después, las autoridades suizas siguieron la misma decisión e invalidaron el acuerdo del Privacy Shield bilateral con los EE. UU.

Implicaciones generales

Según el Parlamento Europeo, ya no es legal transferir datos de la UE a los EE. UU. sobre la base de las leyes de privacidad nacionales de los EE. UU. ya que no cumplen con los requisitos de protección de datos establecidos por el Reglamento General de Protección de Datos (GDPR) y la Carta de los Derechos Fundamentales de la UE. En otras palabras, el TJUE ya no considera que los EE. UU. tenga procedimientos de seguridad adecuados que permitan a las organizaciones transferir datos libremente.  

Por otro lado, la sentencia de julio de 2020 permitió a las empresas seguir transfiriendo datos mediante el uso de cláusulas contractuales estándar (SCCs), mientras que algunos argumentan que esto sólo puede suceder con la condición de que esos SCCs se fortalezcan para garantizar salvaguardias adicionales y que no están sujetos a ninguna ley de vigilancia.

Cláusulas contractuales contienen obligaciones tanto para los controladores de datos que deseen transferir datos personales a países fuera de la UE / EEA y controladores de datos o procesadores de datos que recibir dichos datos. Las cláusulas también incluyen temas sobre los derechos de los interesados ​​y las formas de qué posibles disputas pueden resolverse.

La Junta Europea de Protección de Datos (EDPB) ha publicado su últimas recomendaciones el 11 de noviembre de 2020 sobre medidas complementarias tras Schrems II. El objetivo principal de las recomendaciones era motivar a los exportadores de datos a tomar las medidas de seguridad necesarias para garantizar un nivel de protección esencialmente equivalente a la garantizada en el EEA.

En consecuencia, las empresas no pueden confiar únicamente en las SCCs para ofrecer una base clara para la transferencia de datos a terceros países. En su lugar, se les aconseja que tracen e identifiquen sus mecanismos de transferencia de datos y consideren el fortalecimiento de medidas que incluyen, entre otras, el cifrado, la seudonimización, etc., cuando consideren que las medidas de seguridad de datos existentes en el país receptor no cumplen los requisitos establecidos por la UE. 

EDPB Presidente, Andrea Jelinek en el mismo comunicado dijo que “estas medidas se extienden a todas las transferencias a terceros países y los exportadores de datos deben evaluar la situación legal del país que que van a transferir los datos y tomar medidas eficaces cuando sea necesario ”.

Las recomendaciones sobre medidas complementarias se someterán a consulta pública. Serán de aplicación inmediatamente después de su publicación. 

También hay críticas a estas recomendaciones porque hacen que sea casi imposible para miles de empresas evaluar si los países a los que desean transferir datos personales cumplen los requisitos de las Garantías Esenciales Europeas para las Medidas de Vigilancia (EEG). Se argumenta que no pueden tener la capacidad para realizar tal tarea.

Para resumir, la Junta Europea de Protección de Datos ha contestado algunas de las preguntas más frecuentes sobre la sentencia del TJUE sobre el caso Schrems II que se resume a continuación:

  1. La Decisión de adecuación del Privacy Shield no es válida a partir del 16 de julio de 2020. 
  2. No hay un período de gracia, lo que significa que las empresas / personas deben comenzar a evaluar la base legal para la transferencia electrónica de datos a los EE. UU. inmediatamente y sin demoras.
  3. Si se utilizan Cláusulas Contractuales Estándar (SCC) para transferir datos a los EE. UU., el exportador de datos y el destinatario de los datos deberán evaluar cada caso individualmente y evaluar si existen salvaguardas apropiadas equivalentes a los estándares GDPR vigentes en el país receptor. Si no se puede garantizar dicha protección adecuada, el procesador de datos debe dejar de transferir datos personales o tratar de aplicar medidas adicionales.
  4. Las mismas reglas establecidas anteriormente se aplican a la transferencia de datos a través de Reglas corporativas vinculantes (BRCs).
  5. Todavía es posible transferir datos del EEA a los EE. UU. sobre la base de excepciones previsto en el artículo 49 de GDPR sino más bien de forma ocasional y no repetitiva. Para que esto suceda;
  • el interesado ha dado su consentimiento explícito a la transferencia propuesta
  • el consentimiento es específico para una transferencia de datos en particular o un conjunto de transferencias de datos
  • El interesado debe ser informado con mucha claridad sobre los riesgos potenciales que sus datos sean transferidos a un tercero cuando no existen las garantías adecuadas.

Implicaciones para las empresas que manejan datos de investigadores en países de la UE / EEA

El avance en la tecnología ha creado una conveniencia incomparable para los académicos tanto en la forma en que enseñan y realizan investigaciones. Cada vez se utilizan más herramientas de software desarrollado para ayudar a los investigadores a simplificar sus flujos de trabajo cuando utilizan métodos cualitativos y cuantitativos.

El cambio potencial a servicios basados ​​en la nube puede generar dudas en la mente de algunos investigadores académicos porque, comprensiblemente, están preocupados por la privacidad de sus datos, en muchos casos incluyen información sensible sobre sus interesados.

Les gustaría saber si el contexto de su conversación privada y la información de sus entrevistados se maneja con cuidado y máxima seguridad. Protegiendo la privacidad es la esencia de la integridad de su investigación.

La abolición del Privacy Shield significa que las empresas que manejan los datos de la entrevista de los académicos no deben transferir esta información a terceros países ni deben mantener estos datos en servidores fuera de la UE donde no existe una decisión de adecuación. Los procesadores de datos deben tomar acciones para minimizar la exposición de información sensible de sus usuarios (controladores de datos) a terceros países y si es posible aplicar los principios de minimización de datos.

Si hay algún dato que pueda ser transferido a los EE. UU. o cualquier otro tercer país, el exportador de datos debe evaluar cuidadosamente si es posible hacerlo analizando las regulaciones del país del destinatario, aplicar medidas adicionales como el cifrado cuando sea necesario o la investigación correspondiente debe proporcionar explícitamente su consentimiento para que dicha transferencia se produzca si se produce en ocasiones específicas y no sistémicas.

La Autoridad de Protección de Datos sueca (SW. Datainspektion) declaró que en lugar de esperar

orientación clara de las autoridades, se recomienda a las empresas que comiencen a asumir la responsabilidad de sus acciones de procesamiento de datos mediante el mapeo de qué flujos de datos personales fluyen o podrían fluir hacia terceros países, incluido los EE. UU.

En Scrintal, estamos tomando medidas adicionales para satisfacer la privacidad de nuestros usuarios mientras monitoreamos de cerca los desarrollos que rodean el nuevo marco regulatorio mejorado que permitirá transacciones de datos más seguras a través del Atlántico. Sabemos que no existe un recurso único que se adapte a todos los tipos de soluciones, por lo que seguimos continuamente los últimos desarrollos y revisamos qué podemos hacer mejor.

Mientras tanto, nos aseguramos de que:

  • Toda la información confidencial, incluidos los datos de la entrevista de nuestro usuario, se cifra durante la transferencia y almacenamiento de datos, los cuales se ajustan a los últimos adelantos tecnológicos.
  • Toda la información confidencial relacionada con los datos de las entrevistas de nuestros usuarios se almacena en los centros de datos seguros de nuestros proveedores. Ubicados físicamente en la UE.
  • Proporcionamos un acuerdo de procesamiento de datos que sigue el GDPR y establece las responsabilidades y obligaciones de Scrintal en relación con nuestros usuarios.
  • No vendemos ni compartimos archivos de audio o video de nuestros usuarios con terceros para ningún propósito, incluso para desarrollar sus algoritmos.
  • Documentamos continuamente nuestro proceso a fondo de acuerdo con los últimos cambios en las regulaciones 

Para obtener más información, visite nuestra página de seguridad para aprender más acerca de nuestra privacidad de los datos y políticas de GDPR.

Ece Kural's profile picture

Ece Kural

PhD Candidate @ Stockholm University