¿Es hora de llamar la atención sobre la privacidad de los datos de EE. UU.?

El jurado está deliberando sobre si la Orden Ejecutiva firmada por el presidente Biden el 7 de octubre puede resolver las preocupaciones legales destacadas en el caso Schrems II y restaurar la "confianza y estabilidad" en los flujos de datos transatlánticos. escribe Dick Roche, exministro irlandés de asuntos europeos que desempeñó un papel central en el referéndum irlandés que ratificó el Tratado de Lisboa que reconocía la protección de datos personales como un derecho fundamental.

Las leyes de protección de datos de la UE son ampliamente reconocidas como el estándar de oro para la regulación de datos y para la protección de los derechos de privacidad de los ciudadanos individuales.

Cuando Internet estaba en su infancia, la UE abrió nuevos caminos en 1995 al establecer reglas que rigen el movimiento y el procesamiento de datos personales en la Directiva Europea de Protección de Datos.

En virtud del Tratado de Lisboa de 2007, la protección de los datos personales se convirtió en un derecho fundamental. El Tratado de Funcionamiento de la Unión Europea y la Carta de los Derechos Fundamentales de la UE, que entró en vigor en 2009, protegen ese derecho.

En 2012, la Comisión de la UE propuso el Reglamento general de protección de datos (GDPR) que establece un conjunto integral de reformas destinadas a impulsar la economía digital de Europa y fortalecer la seguridad en línea de los ciudadanos.

En marzo de 2014, el Parlamento Europeo registró un apoyo abrumador al RGPD cuando 621 eurodiputados de todo el espectro político votaron a favor de las propuestas. Solo 10 eurodiputados votaron en contra y 22 se abstuvieron. 

GDPR se ha convertido en el modelo global para la ley de protección de datos.  

Anuncio

Los legisladores estadounidenses no han seguido el mismo camino que los europeos. En los EE. UU., los derechos de protección de datos en el sector de aplicación de la ley están restringidos: la tendencia es privilegiar la aplicación de la ley y los intereses de seguridad nacional.

Dos intentos de cerrar la brecha entre los enfoques de la UE y los EE. UU. y de crear un mecanismo para los flujos de datos fracasaron cuando el Tribunal de Justicia de la UE consideró que los arreglos de Safe Harbor y Privacy Shield, bastante fantasiosos, nombraban deficientemente.  

Surge la pregunta de si los nuevos acuerdos del marco de privacidad de datos UE-EE.^th Octubre tendrá éxito donde fallaron Safe Harbor y Privacy Shield. Hay muchas razones para dudar de que lo hagan.

Schrems II puso el listón muy alto

En julio de 2020 en el caso Schrems II, el TJUE dictaminó que la legislación estadounidense no cumplía los requisitos relativos al acceso y uso de datos personales establecidos en la legislación de la UE.

El Tribunal señaló una preocupación constante de que el uso y el acceso a los datos de la UE por parte de las agencias estadounidenses no estuvieran restringidos por el principio de proporcionalidad. Consideró que era "imposible concluir" que el acuerdo del Escudo de privacidad UE-EE. inadecuada y que no se podía garantizar su independencia.  

Las propuestas del presidente Biden y el respaldo de la Comisión de la UE

El 7^th Octubre El presidente Biden firmó una Orden Ejecutiva (EO) "Mejora de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos".

Además de actualizar una Orden Ejecutiva de la era de Obama sobre la forma en que opera la protección de datos dentro de los EE. UU., la orden establece un nuevo Marco de Privacidad de Datos UE-EE. UU.

El informe de la Casa Blanca sobre la EO caracteriza a Framework como una restauración de la "confianza y la estabilidad" en los flujos de datos transatlánticos que describe como "críticos para permitir la relación económica UE-EE. UU. de 7.1 billones de dólares", una afirmación bastante exagerada.

El informe describe que los nuevos arreglos refuerzan la "gama ya rigurosa de garantías de privacidad y libertades civiles para las actividades de inteligencia de señales de EE. UU."

Sostiene que los nuevos arreglos garantizarán que las actividades de inteligencia de EE. UU. se lleven a cabo únicamente en busca de objetivos definidos de seguridad nacional de EE. UU. y se limitarán a lo que sea "necesario y proporcionado", una genuflexión ante la sentencia Schrems II.  

El informe también establece "un mecanismo de múltiples niveles" que permitirá a los perjudicados por las actividades de inteligencia de EE. UU. "obtener (una) revisión independiente y vinculante y reparación de reclamos".

La Comisión de la UE ha respaldado la Orden del presidente Biden, describiéndola con entusiasmo como que brinda a los europeos cuyos datos personales se transfieren a los EE. UU. “garantías vinculantes que limitan el acceso a los datos por parte de las autoridades de inteligencia de los EE. UU. a lo necesario y proporcionado para proteger la seguridad nacional”. Sin análisis de respaldo, caracteriza las disposiciones de reparación de la Orden y la Corte como un mecanismo "independiente e imparcial" "para investigar y resolver quejas sobre el acceso a datos (de europeos) por parte de las autoridades de seguridad nacional de EE. UU."

Algunas preguntas serias

Hay mucho que cuestionar en las presentaciones de la Casa Blanca y la Comisión.

Muchos cuestionarían la idea de que las agencias de inteligencia estadounidenses están sujetas a una “rigurosa variedad de privacidad y libertades civiles”. 

Surge un problema importante con respecto al instrumento legal que utiliza EE. UU. para introducir los cambios. Las órdenes ejecutivas son instrumentos ejecutivos flexibles que pueden ser modificados en cualquier momento por un presidente de EE. UU. en ejercicio. Un cambio en la Casa Blanca podría hacer que los acuerdos que se han acordado se envíen a la basura, como sucedió cuando el presidente Trump se alejó del acuerdo negociado minuciosamente para restringir el programa nuclear de Irán a cambio del alivio de las sanciones.

También surgen preguntas sobre cómo las palabras “necesario" y "proporcionado” que aparecen en la Casa Blanca y las declaraciones de la Comisión están por definir. La interpretación de estas palabras clave puede diferir considerablemente a ambos lados del Atlántico. 

El Centro Europeo para los Derechos Digitales, la organización fundada por Max Schrems, señala mientras que la administración de EE. UU. y la Comisión de la UE han copiado las palabras "necesario"Y"proporcionado" de la sentencia Schrems II no son ad idem en cuanto a su significado legal. Para que ambas partes estén en la misma página, EE. UU. tendría que limitar fundamentalmente sus sistemas de vigilancia masiva para alinearse con la comprensión de la UE de vigilancia "proporcional" y que no va a suceder: la vigilancia masiva por parte de las agencias de inteligencia estadounidenses continuará bajo los nuevos arreglos.

Surgen preocupaciones particularmente serias sobre el mecanismo de reparación. El mecanismo creado por la EO del presidente Biden es complejo, limitado y está lejos de ser independiente.

Los arreglos de reparación requieren que las quejas se presenten primero ante los Oficiales de Protección de las Libertades Civiles designados por las agencias de inteligencia de EE. UU. para garantizar el cumplimiento de la agencia con la privacidad y los derechos fundamentales: un arreglo de cazador furtivo convertido en guardabosques.  

Las decisiones de estos oficiales se pueden apelar ante un Tribunal de Revisión de Protección de Datos (DPRC) recientemente creado. Este 'Tribunal' estará “compuesto por miembros elegidos fuera del gobierno de los Estados Unidos”.

El uso de la palabra “tribunal” para describir este órgano es cuestionable. El Centro Europeo de Derechos Digitales rechaza la idea de que el organismo esté dentro del significado normal del artículo 47 de la Carta de los Derechos Fundamentales de la UE.

Sus "jueces", que deben tener la "autorización de seguridad (de los EE. UU.) requerida", serán designados por el Fiscal General de los EE. UU. en consulta con el Secretario de Comercio de los EE. UU.

Lejos de estar “fuera del Gobierno de los Estados Unidos”, una vez designados, los miembros de la Corte pasan a formar parte de la maquinaria del Gobierno de los Estados Unidos.

Cuando un denunciante o “un elemento de la comunidad de inteligencia” presenta una apelación ante el Tribunal, un panel de tres jueces se reunirá para revisar la solicitud. Este panel selecciona nuevamente a un defensor especial con la "autorización de seguridad requerida" de los EE. UU. para representar "los intereses del denunciante en el asunto".

En cuanto al acceso, los denunciantes de la UE deben llevar su caso a una agencia pertinente en la UE. Esa agencia traslada la denuncia a EE.UU. Una vez que se revisa el caso, se informa al denunciante "a través del organismo apropiado en el estado calificador" sobre el resultado "sin confirmar ni negar que el denunciante estuvo sujeto a actividades de señales de los Estados Unidos". A los denunciantes solo se les informará que "la revisión no identificó ninguna infracción cubierta" o que se emitió "una determinación que requiere la reparación adecuada". Es difícil ver cómo estos arreglos satisfacen la prueba de independencia que fallaron las propuestas del Ombudsman en Privacy Shield. 

En general, los arreglos del Tribunal de Revisión de Protección de Datos tienen más que un tufillo al tan vilipendiado Tribunal FISA de EE. UU., que se considera poco más que un sello de goma para los servicios de inteligencia de EE. UU.

¿Y ahora qué?

Con la adopción de la Orden Ejecutiva de los EE. UU., la acción vuelve a la Comisión de la UE, que propondrá un proyecto de decisión de adecuación y lanzará los procedimientos de adopción.

El procedimiento de adopción requiere que la Comisión obtenga una opinión, que no es vinculante, de la Protección de datos europea. La Comisión también debe recibir la aprobación de un comité compuesto por representantes de los Estados miembros de la UE.

El Parlamento Europeo y el Consejo tienen derecho a solicitar a la Comisión Europea que modifique o retire la decisión de adecuación por considerar que su contenido excede las competencias de ejecución previstas en el Reglamento RGPD de 2016.

Como organismo que representa directamente a los ciudadanos de Europa y el organismo que respaldó de manera tan abrumadora los principios establecidos en el RGPD, el Parlamento Europeo tiene la responsabilidad de analizar detenidamente lo que está sobre la mesa y tener una visión clara de los medida en que las propuestas son compatibles con los principios establecidos en GDPR con las expectativas de los europeos de que se respeten sus derechos de privacidad.

Es muy poco probable que las diferencias fundamentales entre la UE y los EE. UU. sobre la protección de los derechos de privacidad de los ciudadanos individuales se detengan con la Orden Ejecutiva del presidente Biden: la controversia aún tiene algún camino por recorrer.

Comparte este artículo: