Humo blanco para la privacidad transatlántica
Después de casi dos años de negociaciones a partir de la invalidación de la decisión de adecuación de la Unión Europea en el marco del Reglamento General 679/2016 denominado como Escudo de Privacidad que permitía las transferencias de datos con los Estados Unidos de América y que, a partir de la sentencia C-311/18, también denominada como Schrems-II, en la que se determinó que dichas transferencias no cubrían los estándares europeos, el viernes 7 de octubre, la Casa Blanca señaló: “Hoy, el presidente Biden firmó una Orden Ejecutiva sobre la Mejora de las Salvaguardias para las Actividades de Inteligencia de Señales (E.O.) de los Estados Unidos que indica los pasos que los Estados Unidos tomarán para implementar los compromisos de los EE. UU. bajo la Unión Europea-EE. UU. Marco de privacidad de datos (DPF UE-EE. UU.) anunciado por el presidente Biden y la presidenta de la Comisión Europea, Von Der Leyen, en marzo de 2022.
Los flujos de datos transatlánticos son fundamentales para permitir que los $ 7,1 billones UE-EE. UU. relación económica. UE-EE.UU. DPF restaurará una base legal importante para los flujos de datos transatlánticos al abordar las preocupaciones que planteó el Tribunal de Justicia de la Unión Europea al anular el anterior EU-U.S. El marco del Escudo de la privacidad como mecanismo de transferencia de datos válido según la legislación de la UE.
La Orden Ejecutiva refuerza una gama ya rigurosa de garantías de privacidad y libertades civiles para las actividades de inteligencia de señales de EE. UU. También crea un mecanismo independiente y vinculante que permite a las personas en los estados calificados y las organizaciones regionales de integración económica, según lo designado en la O.E., buscar reparación si creen que sus datos personales se recopilaron a través de la inteligencia de señales de EE. UU. de una manera que violó la ley estadounidense aplicable.
Las empresas de EE. UU. y la UE, grandes y pequeñas, en todos los sectores de la economía, dependen de los flujos de datos transfronterizos para participar en la economía digital y ampliar las oportunidades económicas. UE-EE.UU. DPF representa la culminación de un esfuerzo conjunto de los Estados Unidos y la Comisión Europea para restaurar la confianza y la estabilidad en los flujos de datos transatlánticos y refleja la fortaleza del compromiso duradero entre la UE y los EE. UU. relación basada en nuestros valores compartidos.
En particular, la Orden Ejecutiva:
- Agrega más salvaguardas para las actividades de inteligencia de señales de EE. UU., incluido el requisito de que dichas actividades se lleven a cabo solo en busca de objetivos de seguridad nacional definidos; tener en cuenta la privacidad y las libertades civiles de todas las personas, independientemente de su nacionalidad o país de residencia; y llevarse a cabo solo cuando sea necesario para promover una prioridad de inteligencia validada y solo en la medida y de manera proporcional a esa prioridad.
- Ordena los requisitos de manejo de información personal recopilada a través de actividades de inteligencia de señales y amplía las responsabilidades de los funcionarios legales, de supervisión y de cumplimiento para garantizar que se tomen las medidas adecuadas para remediar los incidentes de incumplimiento.
- Requiere que los elementos de la comunidad de inteligencia de los EE. UU. actualicen sus políticas y procedimientos para reflejar las nuevas garantías de privacidad y libertades civiles contenidas en la E.O.
- Crea un mecanismo de varios niveles para que las personas de los estados calificados y las organizaciones regionales de integración económica, según lo designado de conformidad con la E.O., obtengan una revisión independiente y vinculante y una reparación de las reclamaciones de que su información personal recopilada a través de la inteligencia de señales de los EE. UU. fue recopilada o manejada por los Estados Unidos. Los Estados que violen la ley estadounidense aplicable, incluidas las salvaguardas mejoradas en el E.O.
- Bajo el primer nivel, el Oficial de Protección de Libertades Civiles en la Oficina del Director de Inteligencia Nacional (CLPO) llevará a cabo una investigación inicial de las denuncias calificadas recibidas para determinar si se violaron las garantías mejoradas de la O.E. u otras leyes estadounidenses aplicables y, si así, para determinar la remediación adecuada. El E. O. desarrolla las funciones estatutarias existentes de CLPO al establecer que la decisión de CLPO será vinculante para la comunidad de inteligencia, sujeta a la segunda capa de revisión, y proporciona protecciones para garantizar la independencia de las investigaciones y determinaciones de CLPO.
- Como segundo nivel de revisión, la E.O. autoriza y ordena al Fiscal General que establezca un Tribunal de Revisión de Protección de Datos («DPRC») para proporcionar una revisión independiente y vinculante de las decisiones de CLPO, previa solicitud del individuo o un elemento de la Comunidad de Inteligencia. Los jueces de la DPRC serán designados fuera del gobierno de los EE. UU., tendrán experiencia relevante en los campos de privacidad de datos y seguridad nacional, revisarán los casos de forma independiente y disfrutarán de protecciones contra la remoción. Las decisiones de la DPRC con respecto a si hubo una violación de la ley estadounidense aplicable y, de ser así, qué remedio se implementará serán vinculantes. Para mejorar aún más la revisión de la DPRC, el E.O. dispone que la DPRC seleccione un abogado especial en cada caso que defenderá el interés del denunciante en el asunto y se asegurará de que la DPRC esté bien informada sobre los problemas y la ley con respecto al asunto. El Fiscal General emitió hoy las normas complementarias sobre el establecimiento de la RPDC.
- Pide a la Junta de Supervisión de Privacidad y Libertades Civiles que revise las políticas y procedimientos de la Comunidad de Inteligencia para garantizar que sean consistentes con la Orden Ejecutiva y que lleve a cabo una revisión anual del proceso de reparación, incluso para revisar si la Comunidad de Inteligencia ha cumplido plenamente con las determinaciones realizadas. por la CLPO y la DPRC.
Estos pasos proporcionarán a la Comisión Europea una base para adoptar una nueva determinación de adecuación, que restablecerá un mecanismo de transferencia de datos importante, accesible y asequible según la legislación de la UE. También brindará mayor seguridad jurídica a las empresas que utilicen cláusulas contractuales estándar y normas corporativas vinculantes para transferir datos personales de la UE a los Estados Unidos”.
A partir de ello, será importante verificar si se han atajado los problemas legales de transferencias y la revisión de paquetes así como de información y datos personales en posesión del sector privado y su acceso gubernamental, o, empezará a cobrar utilidad los esfuerzos de organizaciones asociadas a dicho tema, como la OCDE, que propone una serie de principios y recomendaciones sobre el tema, en un borrador que ha causado especial interés internacional. Hasta la próxima.