Los eurodiputados expresan su preocupación por el proyecto de acuerdo de transferencia de datos UE-EE.UU.


Un nuevo y brillante acuerdo de transferencia de datos entre la Unión Europea y los Estados Unidos destinado a abordar la costosa incertidumbre legal sobre la exportación de datos personales aún no está en vigor, pero el Comité de Libertades Civiles del Parlamento Europeo está prediciendo el próximo marco de privacidad de datos UE-EE. UU. ( DPF). ) no sobrevivirá a un desafío legal, al igual que sus dos predecesores Safe Harbor (RIP: octubre de 2015); y Privacy Shield (RIP: julio de 2020) no lograron impresionar a los jueces de la UE.

En una resolución adoptada ayer por la Comisión LIBE, por 37 votos a favor, ninguno en contra y 21 abstenciones, los eurodiputados calificaron el DPF como una mejora pero no va lo suficientemente lejos. También predijeron que probablemente será invalidado por el Tribunal de Justicia de la UE (TJUE) en el futuro.

El desarrollo sigue a un proyecto de opinión de LIBE en febrero, que también rechazó la propuesta y pidió a la Comisión que impulse reformas significativas.

En la resolución, el Comité considera que el régimen propuesto no ofrece garantías suficientes para los ciudadanos de la UE, ya que el marco aún permite la recopilación masiva de datos personales en determinados casos; no hace que la recopilación masiva de datos dependa de una aprobación previa independiente; y no proporciona reglas claras para la retención de datos.

Los eurodiputados también temen que un mecanismo de reparación propuesto, el llamado "Tribunal de revisión de la privacidad", viole el derecho de los ciudadanos de la UE a acceder y rectificar sus datos, ya que las decisiones se mantendrían en secreto. También cuestionan su independencia, ya que los jueces podrían ser despedidos por el presidente de los EE. UU., quien también podría anular sus decisiones.

"En la resolución, los eurodiputados argumentan que el marco para las transferencias de datos debe estar preparado para el futuro y la evaluación de la adecuación debe basarse en la implementación práctica de las reglas", según un comunicado de prensa parlamentario, en el que el comité instó a a la Comisión a no conceder la adecuación sobre la base del régimen actual y, en cambio, a negociar un marco de transferencia de datos, que es probable que se retrase en los tribunales.

En un comunicado posterior a la votación, el relator de la Comisión LIBE, Juan Fernando López Aguilar, dijo:

El nuevo marco es sin duda una mejora en comparación con los mecanismos anteriores. Pero no estamos allí todavía. No estamos convencidos de que este nuevo marco proteja suficientemente los datos personales de nuestros ciudadanos y, por lo tanto, dudamos de que pase la prueba del TJUE. La Comisión debe seguir trabajando para abordar las preocupaciones planteadas por el Consejo Europeo de Protección de Datos [EDPB] y el Comité de Libertades Civiles, incluso si eso significa reanudar las negociaciones con EE.UU.

Ya en febrero, el EDPB adoptó su dictamen sobre el marco y también formuló el acuerdo como una mejora del Escudo de privacidad. Sin embargo, el influyente órgano de gobierno también ha planteado una serie de preocupaciones que, según dice, deben abordarse y aclararse para "garantizar que se mantenga la decisión de adecuación".

La votación en la Comisión LIBE forma parte del proceso de escrutinio general de la UE. Aunque es importante señalar que los parlamentarios no tienen voz activa sobre si se adopta o no el DPF, ni siquiera el EDPB. La última palabra sobre las decisiones de adecuación recae únicamente en la Comisión.

Al mismo tiempo, por supuesto, es desagradable cuando surgen dudas dentro de la UE sobre la solidez y sostenibilidad del marco de reemplazo planeado.

El Parlamento Europeo en su conjunto también podrá expresar su opinión, a través de una futura sesión plenaria que considerará la resolución de la Comisión LIBE. Por lo tanto, será interesante ver qué camino toman los parlamentarios.

El DPF es el último intento de alto nivel del bloque para resolver el conflicto directo entre los derechos de privacidad de la UE y los poderes de vigilancia de los EE. UU. al emitir otra llamada decisión de adecuación para facilitar el flujo de datos entre la UE y los EE. UU. El marco propuesto se basa en intentos anteriores (fallidos) al presentar un nuevo conjunto de disposiciones diseñadas para marcar grandes diferencias, como exigir "salvaguardas vinculantes" para restringir el acceso de la inteligencia de EE. UU. a datos restringidos, incluida la introducción de conceptos de necesidad y proporcionalidad; y una promesa de monitoreo mejorado de fantasmas.

Como se mencionó anteriormente, también se establecerá un nuevo Tribunal de Revisión de la Privacidad, que juntos formarán un mecanismo de reparación independiente capaz de resolver las quejas de los ciudadanos de la UE al nivel requerido por los jueces europeos. Pero lo que afirman los críticos no es un tribunal real en el sentido legal completo y, por lo tanto, no se mantendrá en el TJCE.

Una cosa está clara: esta vez llevará mucho más tiempo cerrar un trato después de que se haya agotado el stock de vendajes adhesivos simples.

La Comisión llegó a un acuerdo de principio sobre el DPF hace poco más de un año. Luego, el presidente de EE. UU., Joe Biden, tardó unos seis meses en firmar una orden ejecutiva necesaria para implementar el reemplazo. Mientras que tomó casi nueve meses después de que se anunció el acuerdo para que la UE llegara a un borrador de acuerdo (aproximadamente dos meses después de la EO). En ese momento, se inició un proceso de revisión y consideración del borrador por parte de otras instituciones de la UE y aún continúa.

(Por el contrario, el Escudo de privacidad UE-EE. UU. se anunció en febrero de 2016, se adoptó formalmente en julio y entró en funcionamiento a principios de agosto del mismo año. Luego, el TJUE tardó poco más de cuatro años en retirarlo. Por lo tanto, ciertamente hay algunas admisiones sobre aprende que el legislador aquí actúa precipitadamente y se arrepiente a su antojo.)

Ya en abril del año pasado, la Comisión sugirió que todo el proceso de reemplazo del Escudo de privacidad podría "completarse" para fines de 2022. Y si "completo" significaba aceptado, eso sin duda era demasiado optimista, ya que estamos en lo más profundo de la primavera de 2023 y el proceso continúa.

Algunos informes sugieren que el DPF no se implementará hasta el verano (Reuters cita a funcionarios anónimos que sugieren que podría estar listo en julio).

Cuando se le preguntó sobre la fecha probable de adopción, un portavoz de la comisión le dijo a TechCrunch que no podía dar un cronograma exacto porque hay múltiples partes interesadas involucradas en el proceso.

También explicó que está analizando "cuidadosamente" la opinión del EDPB y está trabajando para abordar sus comentarios y solicitudes de aclaraciones antes de pasar a la siguiente etapa del proceso de adopción, que implica obtener la aprobación de un comité de representantes de los Estados miembros de la UE que incluirá .

La Comisión claramente querrá evitar un tercer ataque, lo que probablemente explica por qué la adopción está tardando más de lo esperado. Y por qué tiene cuidado de no ser acusado de ignorar las preocupaciones de la EDPB y otros.

Índice del contenido

Los datos UE-EE. UU. de Meta fluyen en el marco

Si bien las complejidades de la comitología de la UE pueden parecer un tema extremadamente seco, hay una consecuencia muy tangible asociada a la adopción del DPF. Eso es cuando el gigante tecnológico Meta, propietario de Facebook e Instagram, enfrenta una orden de suspensión de datos que podría obligarlo a detener sus exportaciones de datos de usuarios de la UE. Y dado que Facebook no está federado, podría verse obligado a cerrar el servicio para que los usuarios de la UE cumplan con la orden.

Ya en otoño de 2020, el organismo de control de datos de Irlanda emitió una orden provisional. Después de eso, a Meta se le otorgó una suspensión y también solicitó una revisión judicial, lo que le permitió retrasar el proceso por un tiempo. Pero las cosas se salieron de control en este desafío legal particular en mayo de 2021. Luego se emitió un proyecto de decisión revisado en febrero de 2022.

El desafío original a los flujos de datos UE-EE. UU. de Meta está relacionado con el mismo problema central entre la vigilancia de EE. UU. y la privacidad de la UE, pero la queja en realidad se remonta al año de las revelaciones de Snowden. Así que ha habido alrededor de una década de peleas regulatorias sobre este tema y aún no hay una decisión final.

Pero el final está, teóricamente, finalmente a la vista.

Ayer, el EDPB confirmó que había tomado una decisión vinculante sobre el asunto, lo que significa que la principal autoridad de protección de datos de la UE de Meta, la Comisión de Protección de Datos (DPC) de Irlanda, debe emitir una decisión final dentro de un mes. Así que a mediados de mayo.

El verano pasado, el gigante de las redes sociales evitó por poco un escenario de corte anterior cuando las autoridades de protección de datos de la UE no estuvieron de acuerdo con el proyecto de decisión del DPC, lo que desencadenó un proceso de resolución de disputas integrado en el Reglamento General de Protección de Datos (RGPD), que finalmente llevó a que el EDPB tuviera intervenir y tomar una decisión vinculante.

Todavía no sabemos qué dice la decisión, pero dada la orden de suspensión provisional, parece poco probable que la junta llegue a una conclusión radicalmente diferente. Y A medida que este tortuoso proceso de aplicación de GDPR llega a su fin, la pregunta ahora es qué vendrá primero: ¿una orden para que Meta detenga sus flujos de datos UE-EE. UU., o la introducción del DPF UE-EE. UU.?

El último escenario, por supuesto, proporcionaría a Meta una nueva escotilla de escape que se puede usar para evitar una orden de suspensión.

Si el DPF llega antes de que finalmente se ordene el DPC, es el mismo escenario: la compañía usará el marco de alto nivel para actualizar su reclamo de cumplimiento total de la UE y volver a poner la lata en el camino (probablemente por muchos años más).

Pero incluso si primero llega una orden para que Meta suspenda su flujo de datos, la compañía seguramente reclutará a todos sus abogados locales para encontrar nuevas formas de retrasar el cuchillo. Un recurso legal contra cualquier orden oficial para detener la exportación de datos de usuarios de la UE es seguro. También puede tratar de suspender la ejecución en espera del resultado de su apelación. Aunque no es seguro que los tribunales lo permitan.

Pero hay otra posibilidad. La decisión final del DPC podría darle a Meta un período de tiempo para pausar el flujo de datos, digamos dos o tres meses, lo que podría darle el tiempo suficiente para pasar el DPF y permitirle ejercer su base legal al usar el nuevo marco y escapar. el cierre inminente una vez más.

El mes pasado, la comisionada de DPC, Helen Dixon, admitió a Reuters que el cronograma "está en punto".

Los observadores de la privacidad sin duda examinarán esto de cerca para ver si Meta finalmente se enfrenta a un ajuste de cuentas definitivo con las transferencias de datos. O si se conecta de alguna otra manera para enfrentar a los reguladores y legisladores entre sí.

Si quieres conocer otros artículos parecidos a Los eurodiputados expresan su preocupación por el proyecto de acuerdo de transferencia de datos UE-EE.UU. puedes visitar la categoría Noticias.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir