El gobierno del Reino Unido ha confirmado oficialmente que se aprovechará de un acuerdo de transferencia de datos transatlántico entre la Unión Europea y los EE. UU. mediante la incorporación de una extensión denominada “puente de datos entre el Reino Unido y los EE. UU.”.

En junio, el Reino Unido y Estados Unidos llegaron a un acuerdo de principio sobre este acuerdo. Hoy, el gobierno del Reino Unido confirmó que la Secretaria de Estado, Michelle Donelan, ha seguido adelante con el acuerdo, cuyo objetivo es engrasar el comercio digital al permitir que la información de los ciudadanos del Reino Unido se exporte a los EE. UU. bajo la garantía de niveles adecuados de protección para los ciudadanos. información, de acuerdo con el régimen de protección de datos del Reino Unido (también conocido como GDPR del Reino Unido), una vez que esté al otro lado del charco.

“Hoy (21 de septiembre de 2023) se han presentado en el Parlamento normas de adecuación para dar efecto a esta decisión”, escribió el Departamento de Ciencia, Innovación y Tecnología (DSIT). «Las empresas y organizaciones del Reino Unido podrán hacer uso de este puente de datos para transferir de forma segura datos personales a organizaciones certificadas en los EE. UU., una vez que las regulaciones entren en vigor a partir del 12 de octubre».

La necesidad de que el Reino Unido tenga su propio acuerdo de intercambio de datos con los propios Estados Unidos surge de la salida del país de la Unión Europea. Por lo tanto, no es poca ironía que Brexit, en el caso de los acuerdos de transferencia de datos, signifique literalmente que el Reino Unido se está apoyando (o “ampliando” en el lenguaje gubernamental) un marco establecido por el bloque (al cual los legisladores del Reino Unido no tuvieron ninguna participación durante las negociaciones). . QEPD, ironía de hecho.

“El Secretario de Estado ha determinado que la extensión del Reino Unido al Marco de Privacidad de Datos UE-EE.UU. no socava el nivel de protección de datos de los interesados ​​del Reino Unido cuando sus datos se transfieren a los EE.UU. Esta decisión se basó en su determinación de que el marco mantiene altos estándares de privacidad para los datos personales del Reino Unido”, escribió hoy el DSIT.

“En apoyo de esta decisión, el Fiscal General de los EE. UU., el 18 de septiembre, designó al Reino Unido como ‘estado calificado’ según la Orden Ejecutiva 14086. Esto permitirá que todas las personas del Reino Unido cuyos datos personales hayan sido transferidos a los EE. UU. bajo cualquier mecanismo de transferencia (es decir, incluyendo los establecidos en el Reino Unido RGPD [General Data Protection Regulation] Artículos 46 y 49) acceso al mecanismo de reparación recientemente establecido en caso de que crean que las autoridades estadounidenses han accedido ilegalmente a sus datos personales con fines de seguridad nacional”.

El puente de datos entre el Reino Unido y los EE. UU., también conocido como la “Extensión del Reino Unido al [EU-US] Marco de privacidad de datos” (DPF): permitirá a las empresas estadounidenses certificadas según el marco de la UE registrarse para poder recibir datos personales del Reino Unido a través del DPF.

Si bien muchos celebrarán la decisión de Donelan de engrasar el flujo de datos del Reino Unido a EE. UU. como algo sensato y racional, reparando otro de los innumerables daños del Brexit, la construcción del Reino Unido de su puente de datos con EE. UU. sobre el marco de la UE plantea dudas sobre la durabilidad. del acuerdo dado que el DPF se enfrentará a un desafío legal en la UE.

Los expertos en protección de datos sostienen que no protege los datos de los ciudadanos del bloque al nivel equivalente requerido. Y los dos acuerdos anteriores de transferencia de datos entre la UE y EE. UU. fueron anulados por el tribunal superior del bloque, en 2015 y 2020. Si un tercer acuerdo derribara el DPF, una pregunta sería ¿qué pasará con el acuerdo atornillado del Reino Unido?

Sin embargo, dado que el tribunal de justicia de la UE ya no tiene jurisdicción en el Reino Unido, es posible que el puente de extensión del Reino Unido sea la única parte que sobreviva. Sobre todo porque el gobierno del Reino Unido también está a punto de suavizar los estándares de privacidad nacionales. . .

El puente estadounidense no es el primer acuerdo de intercambio de datos que el Reino Unido firma después del Brexit; esa fue la decisión de adecuación que tomó en julio de 2022 con Corea del Sur.

La UE ha impuesto una multa récord de 1200 millones de euros (1300 millones de dólares) al propietario de Facebook, Meta, por las transferencias de datos. Después de una larga investigación, los funcionarios descubrieron que la práctica de la red social de transferir datos de ciudadanos de la UE a servidores con sede en EE. UU. violaba las reglas clave de privacidad digital del bloque. En un comunicado, la Comisión de Protección de Datos de Irlanda dijo que si bien Meta había intentado abordar posibles obstáculos legales, “estos arreglos no abordaron los riesgos para los derechos y libertades fundamentales de los interesados” en la Unión.

Este es el último capítulo de una saga que lleva más de una década examinando cómo las grandes empresas tecnológicas manejan los datos privados de los ciudadanos de la UE. En pocas palabras, se cree que la ley de privacidad europea es mucho más estricta que su contraparte estadounidense, especialmente con un enfoque en los derechos individuales. Pero cualquier gran empresa de tecnología con servidores en todo el mundo tiene la capacidad de mover datos de un servidor a otro sin mucho esfuerzo. Eso significa que los datos de los ciudadanos de la UE podrían enviarse a los EE. UU., donde no se aplican leyes de privacidad tan estrictas, lo que abre la puerta a una vigilancia innecesaria.

Es algo que la UE, a menudo empujada a la acción por el abogado austriaco y activista de la privacidad Max Schrems, ha estado trabajando para abordar. Schrems encontró que las disposiciones existentes de puerto seguro eran insuficientes, algo con lo que estuvo de acuerdo el Tribunal de Justicia de la Unión Europea. Entonces, el bloque trabajó con los EE. UU. en el Escudo de privacidad UE-EE. UU., que estaba destinado a reforzar los controles de datos cuando la información se transmitía entre los dos territorios. Naturalmente, el Tribunal de Justicia de la Unión Europea también lo declaró inválido, lo que generó más contorsiones, ya que Facebook y otros dijeron que sus negocios, por razones que solo ellos conocen, no funcionarían sin esta transferencia de datos.

Como parte de la decisión, la Comisión de Protección de Datos de Irlanda ordenó a Meta que suspenda cualquier transferencia futura de datos de ciudadanos de la UE a los EE. UU. en los próximos cinco meses. También tendrá que trabajar para que sus operaciones «cumplan» con el RGPD, incluido cualquier procesamiento de datos de ciudadanos de la UE en servidores de EE. UU., dentro de los próximos seis meses. Sin embargo, es probable que esto sea apelado y retenido como consecuencia de una negociación política más amplia entre la UE y los EE. UU. mientras buscan acordar un nuevo marco para permitir estos flujos de datos de manera segura.

Sir Nick Clegg, presidente de asuntos globales de Meta, escribió en su estilo habitual que la compañía apelará la multa y la decisión, diciendo que Facebook actuó de buena fe. Agregó que los flujos de datos transfronterizos son vitales para muchas empresas, no solo para la suya, y que está «decepcionado de haber sido señalado al utilizar el mismo mecanismo legal que miles de otras empresas que buscan brindar servicios en Europa».

Microsoft se ha convertido en la última empresa en declarar su preocupación por el buen funcionamiento de sus servicios a medida que continúa desarrollándose la batalla de datos entre la UE y los EE. UU., citando la preocupación por las interrupciones en su plataforma en la nube.

Las perspectivas para algunas empresas de tecnología han sido inciertas desde que la UE falló en contra de los flujos de datos a los EE. UU., lo que afectaría muchas operaciones basadas en la web.