El fin del Escudo de privacidad: por qué es importante y qué pueden hacer las empresas al respecto


Las normas que facilitan gran parte del comercio digital entre la UE y los EE. UU. Se han puesto en marcha en las últimas semanas. El mes pasado, el Tribunal de Justicia de la Unión Europea (TJCE) emitió un fallo histórico que invalida el Escudo de la privacidad, un marco para el flujo de datos personales de los ciudadanos de la UE dentro de las empresas estadounidenses. La semana pasada, el oficial austriaco de protección de datos Max Schrems, que había llevado el primer caso al TJCE, presentó nuevas quejas contra 101 empresas, según las cuales los datos de los ciudadanos de la UE, a pesar de la pionera sentencia del TJCE, no ofrecen la protección adecuada

¿Qué significa todo esto en la práctica? Con el Escudo de la privacidad, las empresas estadounidenses pudieron certificarse a sí mismas que cumplirían con estándares de datos más altos que los requeridos por ellas en casa, y así permitirían la transferencia de datos personales de la UE a los EE. UU. Más de 5000 empresas confiaron en el acuerdo, y la libertad de mover datos entre los mercados que ofrecían fue fundamental para la capacidad de las empresas de vender bienes y servicios físicos y digitales a clientes en Europa: actividades que contribuyeron en gran medida del acuerdo representan $ 7 billones en comercio transatlántico anual. La decisión original del TJCE puso a las empresas de EE. UU. Y la UE en una posición precaria y puso en duda su capacidad para comerciar sin problemas.

¿Un punto de inflexión?

La decisión del Tribunal de Justicia de la UE para invalidar el Escudo de la privacidad aún no ha significado que las empresas tengan prohibido transferir datos de la UE a los EE. UU. Al menos por el momento, las empresas pueden confiar en las Cláusulas Contractuales Estándar (CEC) como un medio válido de transmisión (y en algunos casos en las normas vinculantes de la empresa, aunque son menos comunes). Estos son términos especiales que tienen como objetivo garantizar los estándares de protección de datos. Los SCC están muy extendidos, por lo que muchas empresas han podido continuar como antes.

Sin embargo, las quejas que presentó Schrems la semana pasada tienen como objetivo eliminar esta opción para las empresas. Las quejas contra 101 empresas, incluidas Airbnb y el Huffington Post, argumentan que las SCC no brindan la protección adecuada para los datos personales de la UE porque las empresas estadounidenses están sujetas a las leyes de vigilancia estadounidenses.

Las filtraciones de Snowden de 2013 mostraron hasta qué punto las autoridades de seguridad de Estados Unidos habían utilizado datos personales de empresas. El TJCE descubrió que el Escudo de la privacidad era un mecanismo inadecuado para proteger los datos de los ciudadanos de la UE de los programas de vigilancia de EE. UU., Y Schrems argumenta que los SCC no son mejores.

Con una reforma de la ley de vigilancia estadounidense poco probable en un futuro próximo, estas empresas se han quedado en una posición incómoda. De repente, se está volviendo menos práctico confiar en las SCC para transferir datos, y las empresas deben realizar un análisis completo de las leyes locales y, si es necesario, tomar medidas adicionales para proteger los datos personales. Estamos esperando más orientación de los principales actores reguladores y políticos a este respecto.

Podría seguir un acuerdo de retazos para reemplazar el Escudo de Privacidad, pero existe una posibilidad real de que lleguemos a un punto en el que los datos ya no puedan moverse libremente de la UE a los EE. UU. Esto podría dar lugar a que todos los datos sobre los ciudadanos de la UE deban almacenarse en la UE. Esto podría reducir drásticamente la capacidad de los proveedores estadounidenses para acceder y procesar estos datos y la gama de servicios digitales disponibles para los ciudadanos de la UE.

Una cuestión clave en las negociaciones del Brexit

La decisión del TJCE sobre el Escudo de la privacidad también podría tener un impacto importante en el Brexit, solo quedan unos meses para que Gran Bretaña y la UE ratifiquen los términos de un acuerdo comercial posterior al Brexit. Desafortunadamente, las cuestiones de los derechos de datos y el marco de protección de datos no han sido un tema importante en las negociaciones hasta ahora, y parece que prevalecen cuestiones políticas como los derechos de pesca, a pesar del enorme impacto económico de no llegar a un acuerdo sobre el flujo de datos. Independientemente del resultado, la UE tendrá que tomar una decisión sobre la “adecuación de los datos” del Reino Unido, es decir, hasta qué punto la ley del Reino Unido protege los datos personales en comparación con el Reglamento General de Protección de Datos (GDPR) de la UE.

La decisión del Tribunal de Justicia de la UE sobre el Escudo de la privacidad fue una indicación del nivel de escrutinio que aplicará la UE al evaluar el Reino Unido. Mientras tanto, el Reino Unido tiene que decidir si alinearse más estrechamente con la UE o con los EE. UU. ¿Será más difícil para las empresas exportar datos del Reino Unido como lo hizo la UE? ¿O favorecerá una relación más estrecha con EE. UU. Y se arriesgará a la misma incertidumbre regulatoria que enfrenta actualmente EE. UU.?

Esta decisión tendrá un impacto tremendo en la forma en que las empresas del Reino Unido operan a nivel internacional y en cómo operan las empresas internacionales en los EE. UU. REINO UNIDO. Si no se llega a un acuerdo sobre la adecuación de los datos, el sistema que permite el libre flujo de datos personales entre la UE y el Reino Unido podría desarraigarse. Y si se logra uno, podría tener un impacto en un posible acuerdo de libre comercio entre el Reino Unido y Estados Unidos.

Reaccionar ante la incertidumbre

Entonces, si eres una empresa del Reino Unido que se enfrenta a la imprevisibilidad de las negociaciones del Brexit o una empresa estadounidense preocupada por el futuro del flujo de datos fuera de la UE, ¿qué puedes hacer? hacer ahora para prepararse para los próximos cambios? Como siempre, comienza con la enseñanza de los conceptos básicos. Aquí hay cuatro pasos que cualquier empresa puede tomar para asegurarse de que puede adaptarse rápida y eficazmente a cualquier resultado regulatorio:

  • Comprender cómo usar los datos: Para actuar con rapidez, las organizaciones necesitan saber qué datos están usando, de dónde provienen y cómo se mueven a través de su organización. Este debería ser un esfuerzo continuo, pero en este momento demasiadas empresas no tienen una comprensión clara de estos problemas.
  • Piense a largo plazo: Con tanta incertidumbre, las empresas deben considerar los requisitos potenciales para las estrategias de crecimiento de cumplimiento de datos. El régimen de privacidad en cada región debe ser una consideración importante en cualquier plan de negocios para expandirse a nuevos mercados. Evalúe cuidadosamente las regulaciones de datos al considerar dónde invertir en crecimiento y el presupuesto correspondiente para que sepa que puede cumplir con todas las regulaciones locales.
  • Manténgase ágil: Dondequiera que tenga su sede, es importante que las nuevas empresas y las empresas digitales supervisen la evolución de las negociaciones entre la UE y los EE. UU. Y entre la UE y el Reino Unido. El progreso no será constante: nada podría cambiar durante un tiempo, y luego todo se moverá muy rápido. Asegúrese de que alguien en la organización sea responsable de estar atento a las últimas noticias y señalar cosas importantes.
  • ¡Comunícate! Los consumidores son cada vez más conscientes de cómo las empresas tratan sus datos. Por tanto, la transparencia es fundamental para construir y mantener relaciones de confianza. Sea proactivo para mantener a los clientes actualizados sobre sus políticas y operaciones diarias. Debería considerar publicar sus políticas de aplicación de la ley e informes de transparencia para mostrar cómo su organización interactúa con las solicitudes de datos de las agencias gubernamentales.

Mark Kahn es Consejero General del Segmento de Plataforma de Datos de Clientes.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *