Un posible nuevo acuerdo para las transferencias de datos personales entre el Reino Unido y los Estados Unidos
En los últimos días, se ha publicado la noticia de que el gobierno del Reino Unido y el de los Estados Unidos de América (en adelante, “EE.UU”) han alcanzado un acuerdo para empezar a trabajar en un mecanismo que hará posible las transferencias de datos personales entre ambos países, de manera libre y sin tener que adoptar garantías adicionales. En la práctica, este pretendido acuerdo sería una extensión del famoso borrador del Data Privacy Framework, que actualmente existe entre la Unión Europea y EE.UU.
Antes de pasar a explicar lo que ha dicho el gobierno del Reino Unido respecto a este nuevo posible acuerdo, es necesario repasar qué es el Data Privacy Framework, por la gran influencia que tendría, así como su contexto.
El Data Privacy Framework es un borrador de un nuevo acuerdo entre la UE y EE.UU que pretende sustituir al derogado Privacy Shield, con el objetivo de poder llevar a cabo transferencias internacionales de datos entre ambos territorios sin que sea necesario adoptar garantías adicionales. Garantías adicionales que, en los últimos meses, han sido objeto de debate por haber considerado las autoridades de protección de datos europeas que no son suficientes para alcanzar un nivel aceptable de protección de los datos cuando se trata de transferencias a EE.UU.
¿Cuál es entonces el problema que presenta el tratamiento de datos europeos en EE.UU y que ha llevado a la derogación de antiguos acuerdos? La derogación de los antiguos acuerdos entre estos territorios ha sido siempre llevada a cabo por parte del Tribunal de Justicia de la Unión Europea (TJUE), por el mismo motivo: no considerar aceptable la posibilidad (aún existente en el nuevo borrador) de que las autoridades y agencias de inteligencia estadounidenses tengan acceso ilimitado e injustificado a los datos personales de ciudadanos europeos, una vez transferidos a dicho país.
Si bien la ventaja de no aceptar este acceso es fácilmente detectable (una enorme protección de los datos personales de los ciudadanos europeos), también hay que tener en cuenta las inmensas pérdidas que implica que no se puedan hacer transferencias a EE.UU de forma fácil y eficiente: pérdidas millonarias, teniendo en cuenta que las mayores empresas proveedoras de servicios tecnológicos a nivel mundial, a día de hoy, tienen su sede central en EE.UU.
En este sentido se ha pronunciado, precisamente, el gobierno del Reino Unido a colación del acuerdo publicado para llevar a cabo el “Privacy Shield 2.0”: “La mayoría de las empresas del Reino Unido que desean enviar datos personales a un proveedor de servicios o a una empresa en los Estados Unidos deben tener costosas cláusulas contractuales para garantizar que se mantengan los estándares de protección y privacidad. Un puente de datos eliminaría esa carga, acelerando los procesos para las empresas, reduciendo los costos y aumentando las oportunidades al facilitar a las empresas británicas la operación y el comercio internacional.”
Chloe Smith, Secretaria de Estado de Ciencia, Innovación y Tecnología del Reino Unido, ha destacado también los beneficios que este nuevo acuerdo, al que también se refieren como “data bridge” en relación con la posibilidad de compartir información crucial que permita, con la colaboración internacional, impulsar la investigación, la innovación y, en definitiva, el avance de la ciencia.
Por lo expresado por el gobierno inglés, a pesar de ser un acuerdo que se base en el proyecto del Data Privacy Framework, parece favorable a flexibilizar aún más el contenido de este último, teniendo en cuenta la actitud abierta que se mantiene a la hora de aceptar el tratamiento de datos de sus ciudadanos en EE.UU.
La conclusión que podemos sacar de este hecho es que, a pesar de que todavía no hay ningún acuerdo materializado y que sea de aplicación, la posición de las instituciones europeas y del gobierno inglés difieren en gran medida, por cuanto las primeras siguen en su línea de poner por delante la protección de sus ciudadanos frente a las ganancias económicas, criterio que se relaja notablemente en el caso inglés.
Aun así, es pronto para sacar conclusiones sobre qué va a significar este “data bridge”, y lo que es seguro es que cabe estar pendiente de los cambios que se vayan sucediendo en el tiempo para formarnos una idea clara de hacia dónde va a moverse la normativa de protección de datos, que siempre se encuentra en desarrollo.
Sara Hervías Costa, Privacy Counsel, Legal Army