¿Estrategia paralela de EE. UU al nuevo Privacy Shield para garantizar el flujo internacional de datos?
El pasado 21 de abril de 2022, EE.UU., Canadá, Japón, Singapur, Filipinas, la República de Corea y Taiwán, realizaron una declaración conjunta (en adelante, la "Declaración") por la cual nacía el Foro Global de Reglas de Privacidad Transfronterizas (el "Foro Global CBPR”).
El objetivo de su creación es garantizar el flujo de datos entre los miembros participantes, a través de una serie de acciones entre las que destaca, la creación de un sistema de certificación internacional basado en las certificaciones ya existentes dentro del marco Foro de Cooperación Económica de Asia Pacífico (en adelante, “APEC”).
Tal y como se indica en la declaración, se trata de un sistema abierto a la participación voluntaria de nuevos países, siempre y cuando, los mismos acepten los objetivos y principios que se indican en la declaración. Su creación pretende lograr en última instancia, que los países participantes reconozcan el sistema Global CBPR como una base legal válida para la realización de transferencias internacionales, y lo incorporen en su legislación nacional de privacidad; bajo acuerdos comerciales u otros marcos bilaterales y/o multilaterales.
En las siguientes líneas analizaremos el objeto y alcance de estas futuras certificaciones, su relación con el Reglamento General de Protección de Datos (en adelante, “RGPD”), y las consecuencias de su aplicación teniendo en cuenta el pacto recientemente alcanzado entre EE.UU. y Europa para propulsar nuevo marco para la transferencia de datos personales a nivel transatlántico.
Sistema de certificación internacional: objeto y alcance
El foro pretende establecer un sistema de certificación internacional basado en las siguientes certificaciones ya existentes para las transferencias de datos entre países de la APEC:
- APEC Cross-Border Privacy Rules (en adelante, “CBPR”): Las CBPR son una certificación de privacidad que proporciona a las organizaciones una garantía para la realización de transferencias internacionales de datos en los territorios de la APEC; siendo un instrumento muy parecido a las Normas Corporativas Vinculantes (BCR) de la UE. Por otro lado, permite a las organizaciones mostrar evidencias de su cumplimiento normativo en materia de privacidad.
- Privacy Recognition for Processors (en adelante, “PRP”) Systems: La PRP es una certificación complementaria del CBPR, diseñada específicamente para los encargados del tratamiento. Contiene menos requisitos que la certificación CBPR y su objetivo principal es servir como una evidencia de diligencia debida para los encargados de tratamiento frente a las eventuales evaluaciones a las que se vean sometidos por los diferentes responsables.
Por otro lado, el Departamento de Comercio de EE.UU. (principal impulsor de la declaración), ha publicado un comunicado aclarando algunas cuestiones sobre el alcance de la nueva certificación:
- Se pretende que opere de manera independiente a las certificaciones ya anteriormente mencionadas.
- Las certificaciones ya concedidas en base al sistema preexistente seguirán siendo válidas.
Relación entre el sistema CBPR y el RGPD
Si bien el RGPD, establece como garantía posible a la realización de transferencias internacionales la existencia de mecanismos de certificación; hasta la fecha no han sido delimitadas qué certificaciones podrían ser utilizadas.
Por otro lado, actualmente la Comisión Europea no reconoce que las CBPR otorguen un nivel de protección equivalente al proporcionado por el RGPD.
En este sentido, la Comisión Europea publicó un extenso estudio en febrero de 2019 relativo a los mecanismos de certificación de protección de datos, que incluía un análisis comparativo de los criterios de certificación bajo RGPD y el sistema CBPR de APEC. El estudio encontró que el sistema CBPR era un “buen ejemplo” de cómo establecer mecanismos de supervisión de certificación, pero concluyó que las reglas del sistema no se correspondían con los estándares de certificación del RGPD.
La declaración por la cual se crea Foro Global CBPR y la correspondiente certificación descrita, llega inmediatamente después de asistir al compromiso alcanzado entre EE.UU. y Europa para el desarrollo de un nuevo marco para la transferencia de datos personales a nivel transatlántico; lo cual supone un extraño hito, ya que el país norteamericano podría garantizar las transferencias ulteriores de datos de ciudadanos sometidos a RGPD, a través de un mecanismo que actualmente no es considerado como constituyente de una garantía adecuada.
En línea con lo anteriormente descrito, un sector de profesionales de la privacidad defiende que se debería aprovechar la oportunidad existente con el compromiso alcanzado entre EE.UU. y Europa, para crear un gran marco transatlántico de privacidad de datos que pudiera ser extendible a nuevos territorios.
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army