La UE y EE.UU. anunciaron un acuerdo sobre un nuevo marco para el flujo transatlántico de datos. (Puede encontrar la declaración de la UE aquí y la de EE.UU. aquí).
El acuerdo es una respuesta a la invalidación del escudo de privacidad por Schrems II en 2020. Este tema se ha tratado en profundidad en los últimos meses, centrándose principalmente en el uso de Google Analytics. (Puede encontrar nuestro resumen aquí y el anuncio de la CNIL & NOYB aquí y aquí).
El acuerdo sobre un nuevo marco para el tratamiento de datos en el extranjero no viene acompañado de un texto que pueda analizarse con fines jurídicos. El anuncio se entiende probablemente como un "acuerdo de principio" y sirve de base para una "decisión de adecuación" en la UE y una orden ejecutiva en EE.UU., que se redactarán en los próximos meses. Sin embargo, aún queda mucho por hacer para que entre en vigor.
Conclusiones: El anuncio es (de nuevo) político y carece de base jurídica. Pintalabios sobre un cerdo...
Es bonito, ¿verdad?
- El Escudo de la privacidad 2.0 carece de base jurídica
- ¿En qué punto nos encontramos?
- ¿Puede utilizar Google Analytics?
- Actualizaciones
El Escudo de la privacidad 2.0 carece de base jurídica
Esto es lo que Max Schrems tenía que decir:
Ya tuvimos un acuerdo puramente político en 2015 que no tenía base jurídica. Por lo que se oye, ahora podríamos jugar al mismo juego por tercera vez. El acuerdo era aparentemente un símbolo que von der Leyen quería, pero no tiene apoyo entre los expertos en Bruselas, ya que EE.UU. no se movió. Resulta especialmente atroz que EE.UU. haya utilizado supuestamente la guerra contra Ucrania para presionar a la UE en este asunto económico.
El texto final necesitará más tiempo, una vez que llegue lo analizaremos en profundidad, junto con nuestros expertos jurídicos estadounidenses. Si no se ajusta a la legislación de la UE, es probable que nosotros u otro grupo lo impugnemos. Al final, el Tribunal de Justicia decidirá por tercera vez. Esperamos que esto vuelva al Tribunal a los pocos meses de una decisión final.
Es lamentable que la UE y EE.UU. no hayan aprovechado esta situación para llegar a un acuerdo de "no espionaje", con garantías básicas entre democracias afines. Los clientes y las empresas se enfrentan a más años de inseguridad jurídica.
¿En qué punto nos encontramos?
El anuncio hace pensar que un escudo de privacidad 2.0 está cerca, pero aún estamos lejos de uno que realmente funcione. Sin embargo, hay algunas cosas que podemos esperar.
Tribunal independiente
En la actualidad, Estados Unidos apenas permite que un tribunal independiente revise si el tratamiento de datos personales estaba permitido. El nuevo Privacy Shield 2.0 cambiaría esta situación. Un nuevo tribunal independiente se encargará de los litigios relacionados con el tratamiento de datos personales.
Autocertificación
Los servicios de software con sede en EE.UU. tendrán que autocertificarse de nuevo para cumplir con el GDPR. Esto significa que no todos los servicios de software basados en EE.UU. podrán utilizarse inmediatamente para el tratamiento de datos personales. Si desea utilizar legalmente servicios basados en EE.UU., debe comprobar si están certificados.
¿Puede utilizar Google Analytics?
Mientras tanto, se mantiene la situación actual, según la cual el uso de servicios de software basados en EE.UU. infringe el GDPR. No hay ningún documento legal que diga lo contrario, y probablemente tendremos que esperar a uno al menos un par de momentos. Los riesgos de multas son bajos, pero las empresas que quieren estar en el "lado bueno" de la ley la violan al utilizar servicios como Mailchimp o Google Analytics.
Los servicios basados en EE.UU. no son las únicas herramientas de software disponibles. Hay montones de alternativas en la UE a los servicios estadounidenses que cumplen el GDPR. Por ejemplo, hemos creado una alternativa a Google Analytics respetuosa con la privacidad llamada Simple Analytics. Puede consultar alternativeto.net (recomendaciones de software crowdsourced) para encontrar más alternativas respetuosas con la privacidad en casi todas las categorías.
En conclusión, el anuncio del nuevo acuerdo transatlántico sobre flujo de datos es sólo un anuncio político (por ahora). Primero necesitamos un texto jurídico para tomar una "decisión de adecuación" al respecto. Pasarán meses (y esperemos que no años) antes de que el escudo de la privacidad 2.0 entre en vigor. Mientras tanto, el uso de servicios de software con sede en Estados Unidos infringe la ley.
Actualizaciones
El nuevo marco de transferencia de datos está en camino. El Presidente de EE.UU., Joe Biden, firmó una orden ejecutiva sobre vigilancia electrónica en octubre de 2022, y la Comisión Europea publicó un proyecto de decisión de adecuación para EE.UU. dos meses después.
La propuesta será sin duda aprobada, pero también es probable que sea impugnada ante el TJUE. En otras palabras, Schrems III ya está en el horizonte, y es difícil saber cómo se desarrollará.