El puente de datos entre el Reino Unido y los Estados Unidos y sus implicaciones para las organizaciones del Reino Unido

Por Tim Hickman, socio de White & Case

El puente de datos entre el Reino Unido y los Estados Unidos ya está en vigor. Como resultado, las organizaciones del Reino Unido pueden transferir datos personales a organizaciones estadounidenses que se hayan autocertificado según el Marco de Privacidad de Datos (DPF) UE-EE.UU. sin necesidad de implementar salvaguardias adicionales.

¿Qué es el puente de datos y qué busca abordar?

El Capítulo V de la implementación por parte del Reino Unido del Reglamento (UE) 2016/679 (RGPD del Reino Unido) impone una prohibición general sobre las transferencias transfronterizas de datos personales a destinatarios ubicados fuera del Reino Unido, a menos que se implementen mecanismos de transferencia adecuados o se aplique una excepción.

Hay varios mecanismos disponibles para las organizaciones del Reino Unido para superar estas restricciones, incluso cuando la Oficina del Comisionado de Información (ICO) ha determinado que una jurisdicción proporciona un nivel "adecuado" de protección para los datos personales transferidos desde el Reino Unido a esa jurisdicción.

Cuando la ICO ha decidido que una jurisdicción proporciona protecciones adecuadas, los datos personales pueden fluir libremente a esa jurisdicción sin que el transferente tenga que implementar salvaguardias adicionales (o tratar de depender de derogaciones) según el RGPD del Reino Unido.

En dos ocasiones anteriores, Estados Unidos ha sido considerado adecuado bajo el régimen GDPR anterior al Brexit (UE). Sin embargo, el Tribunal de Justicia de la UE (TJUE) ha dictado sentencias que efectivamente invalidaron esas decisiones de adecuación en dos ocasiones. Una preocupación central ha sido el grado de protección otorgado a los datos personales en los EE.UU., a los que pueden acceder las agencias públicas con fines policiales y de seguridad nacional.

Posteriormente, la UE y EE.UU. negociaron el DPF. El DPF permite que se transfieran datos personales desde el Espacio Económico Europeo (EEE) a organizaciones estadounidenses que se hayan autocertificado ante el DPF, proporcionando salvaguardias adicionales y mecanismos de compensación a las personas afectadas (particularmente cuando las agencias de inteligencia de los EE. UU. puedan acceder a sus datos). La Comisión Europea declaró que el DPF es adecuado para los fines del RGPD (UE).

El puente de datos funciona como una extensión del DPF, lo que permite que los datos personales se transfieran legalmente desde el Reino Unido a entidades autocertificadas en los EE.UU. Proporciona a las personas afectadas salvaguardias y mecanismos de reparación similares a los establecidos en el DPF, garantizando así (en principio) que sus datos personales sigan sujetos a un nivel "adecuado" de protección una vez transferidos a los EE.UU. Suiza también ha implementado recientemente un enfoque similar.

Para las organizaciones del Reino Unido, el puente de datos tiene dos beneficios principales. En primer lugar, elimina la necesidad de implementar salvaguardias adicionales, que pueden ser complejas, costosas y consumir mucho tiempo. En segundo lugar, armoniza los regímenes de transferencia de datos transatlánticos al permitir que las entidades del Reino Unido y el EEE (y, una vez que se formalice la adecuación, Suiza) utilicen efectivamente el mismo mecanismo para enviar datos personales a los EE.UU.

Sin embargo, vale la pena señalar que existen algunas consideraciones importantes para quienes deseen utilizar el puente de datos.

Las organizaciones del Reino Unido no pueden simplemente transferir datos personales a ningún destinatario estadounidense

Para que los datos personales fluyan libremente bajo el puente de datos, el destinatario estadounidense debe estar autocertificado tanto bajo el DPF como bajo el puente de datos.

Sin embargo, no todas las organizaciones estadounidenses pueden autocertificarse ante el DPF. Actualmente, sólo las organizaciones estadounidenses que están sujetas a la jurisdicción de la Comisión Federal de Comercio o el Departamento de Transporte son elegibles para participar.

Esto generalmente excluye a las organizaciones de seguros, bancarias y de telecomunicaciones. El destinatario estadounidense también debe elegir específicamente participar en el puente de datos.

Ciertas categorías de datos personales están sujetas a requisitos adicionales

Las organizaciones del Reino Unido deben revisar cuidadosamente los tipos de datos personales que se transferirán a los EE.UU. y considerar si están cubiertos por las restricciones aplicables en virtud del puente de datos.

Por ejemplo, los datos periodísticos (incluida cualquier información personal que se recopile para publicación, transmisión u otras formas de comunicación pública) no se pueden transferir bajo el puente de datos.

Además, ciertas categorías especiales de datos (como datos genéticos o datos biométricos utilizados para identificar de manera única a un individuo y datos sobre delitos penales) deben identificarse específicamente como datos "sensibles" para poder ser transferidos a través del puente de datos y dichos datos requieren información adicional al ser transferidos.

El puente de datos puede verse desafiado en los próximos años

Es muy probable que el DPF enfrente desafíos legales ante el TJUE, sobre la base de que podría decirse que el DPF no hace lo suficiente para proteger a los ciudadanos de la UE cuyos datos personales se transfieren a los EE. UU. Esto tal vez no sea sorprendente, dado que el TJUE invalidó decisiones anteriores sobre la adecuación por motivos similares.

Parece probable que tales impugnaciones tarden años en ser aprobadas en los tribunales europeos, y aún está por ver si se plantearán impugnaciones similares en el Reino Unido.

Sin embargo, la ICO ya ha emitido una opinión destacando áreas específicas que podrían dejar el puente de datos abierto a otras cuestiones.

Como tal, las organizaciones del Reino Unido deben mantenerse al tanto de los avances en esta área y considerar si confiar en el puente de datos o continuar utilizando otros mecanismos de transferencia de datos (por ejemplo, cláusulas contractuales estándar o el Acuerdo Internacional de Transferencia de Datos del Reino Unido) al transferir datos personales a Estados Unidos, para evitar el riesgo de que el puente de datos sea posteriormente invalidado por los tribunales.