La protección de datos y la privacidad son prioridades absolutas para los operadores de telecomunicaciones. Empezamos 2023 con dos nuevos hitos: los debates en torno a la propuesta de marco de privacidad de datos UE-EE.UU. y la Declaración de la OCDE sobre el acceso de los gobiernos a los datos personales en poder de entidades del sector privado.
Aunque abordan diferentes aspectos de la privacidad de los datos, están interconectados en sus objetivos de proteger los datos personales, promover la gobernanza responsable de los datos y fomentar la transferencia internacional de datos. Un boom de tecnologías de última generación anticipa una nueva ola de digitalización. Esto, requeriría principios comunes para garantizar los flujos transfronterizos de datos con las salvaguardias necesarias para una economía digital floreciente y fiable.
Transferencia de datos personales: flujos de datos entre la UE y EE.UU.
Por un lado, la futura Decisión de Adecuación sobre un nuevo Marco de Privacidad de Datos UE-EE.UU. es particularmente importante para las empresas y la competitividad de la UE y, en última instancia, para los ciudadanos de la UE. En nuestro mundo hiperinterconectado, las empresas europeas dependen, a diario, de la nube u otros servicios relacionados con las tecnologías de la información prestadas por las grandes empresas tecnológicas estadounidenses que requieren la transferencia internacional de datos personales. Para ello, las organizaciones necesitan seguridad jurídica.
Una Decisión de Adecuación es un acto unilateral por el que la Comisión Europea evalúa si el marco jurídico de un tercer país ofrece un nivel de protección apropiado similar al que proporcionan las normas de la UE. Si es así, las empresas europeas pueden exportar datos de la UE a ese país, considerado como «adecuado». Sin embargo, en EE.UU. no existe una ley federal global, sino una miríada de normas de seguridad y privacidad por sectores (por ejemplo: privacidad infantil en línea, sector sanitario, comunicaciones de marketing…) o por Estados (Ley de Privacidad del Consumidor de California o Ley de Protección de Datos del Consumidor de Virginia).
Del mismo modo, la protección de la privacidad en el contexto de la seguridad nacional se rige por normas diferentes. Dado que la Comisión Europea no puede evaluar la idoneidad de una ley integral estadounidense, aquellas empresas estadounidenses que auto certifiquen que cumplen los principios del nuevo Marco de Privacidad de Datos UE/EE.UU. podrán exportar datos de la UE a EE.UU., por lo que estas empresas serán «adecuadas».
¿Qué está en juego con el marco de protección de datos entre la UE y EE.UU.?
La propuesta de marco de privacidad de datos entre la UE y EE.UU. es el tercer intento, tras los de Puerto Seguro y Escudo de Privacidad, que fueron invalidados por el Tribunal de Justicia de la Unión Europea (TJUE) en 2015 y 2020, respectivamente.
Teniendo en cuenta las «mejoras sustanciales» que se han incorporado, hay grandes expectativas de que el futuro Marco no corra la misma suerte que sus predecesores. En este sentido, Didier Reynders (Comisario Europeo de Justicia) ha expresado su confianza en que un desafío legal contra el futuro Marco de Privacidad de Datos UE-EEUU por parte de activistas de la privacidad resistirá el escrutinio legal del TJCE.
Tras un acuerdo de principio para un marco renovado anunciado por la presidenta de la Comisión Europea, Von der Leyen, y el presidente de EE.UU., Biden, en marzo de 2022, el presidente de EE.UU. firmó una orden ejecutiva sobre la mejora de las salvaguardias para limitar los poderes de las agencias de inteligencia de EE.UU. para acceder a los datos personales de los ciudadanos de la UE (cuyos datos han sido transferidos de la UE a EE.UU.). Además, el Fiscal General de EE.UU. promulgó un Reglamento por el que se establece un nuevo Tribunal de Revisión de Protección de Datos independiente. Teniendo en cuenta estos dos importantes avances, que abordan las principales preocupaciones planteadas por el TJUE, la Comisión Europea adoptó su proyecto de Decisión de Adecuación en diciembre de 2022.
Últimos avances
El día 1 de marzo, el Parlamento Europeo debatió sobre el futuro marco de protección de datos UE-EE.UU. en presencia de representantes de la Comisión Europea y de Andrea Jelinek, Presidenta del Consejo Europeo de Protección de Datos (CEPD).
Jelinek presentó a los diputados del Parlamento Europeo los principales elementos del Dictamen del EDPB sobre el marco de protección de datos UE-EE.UU. adoptado el día anterior, el 28 de febrero. Jelinek destacó las mejoras significativas introducidas en el marco jurídico estadounidense y, al mismo tiempo, recomendó a la Comisión Europea que abordara las preocupaciones pendientes para garantizar que la Decisión de Adecuación perdure.
En esta línea, la EDPB pide algunas aclaraciones sobre aspectos comerciales (derechos de los interesados, transferencias ulteriores, elaboración de perfiles), así como sobre cuestiones relacionadas con el acceso de los Gobiernos a los datos. En cuanto a esto último, Jelinek acoge con satisfacción la introducción de los conceptos de necesidad y proporcionalidad en relación con las actividades de los servicios de inteligencia estadounidenses y el nuevo mecanismo de recurso con la creación de un nuevo Tribunal de Revisión de la Protección de Datos independiente.
La Comisión Europea tendrá muy en cuenta los comentarios del EDPB y del Parlamento Europeo, pero no está vinculada por estos dictámenes. Por el contrario, para la adopción final de la Decisión de Adecuación, la Comisión Europea necesita la aprobación formal de los Estados miembros.
Las empresas europeas necesitan seguridad jurídica para seguir haciendo negocios y garantizar los más altos niveles de protección de los datos personales conforme a las normas de la UE.
Acceso a datos personales: obtención de datos en poder del sector privado con fines de seguridad pública y nacional.
Paralelamente a la Decisión de Adecuación de la Comisión Europea, la reciente Declaración de la OCDE sobre el acceso de los gobiernos a los datos personales en poder de entidades del sector privado también es importante para nuestro negocio. Como operador de telecomunicaciones, procesamos grandes cantidades de datos personales de nuestros clientes.
La Declaración de la OCDE establece un marco sobre la forma en que los gobiernos deben acceder a los datos personales en poder de entidades del sector privado, incluidos los operadores de telecomunicaciones, al tiempo que reconoce los intereses legítimos de los gobiernos para acceder a los datos personales con fines de seguridad pública y nacional.
Principios de la Declaración de la OCDE
La Declaración esboza siete principios basados en la base jurídica, los objetivos legítimos, las autorizaciones, el tratamiento de datos, la transparencia, la supervisión y la reparación. El objetivo general es garantizar que el acceso del gobierno a los datos personales del sector privado se sustente en nuestros valores democráticos compartidos y en nuestro compromiso con el Estado de Derecho y los Derechos Fundamentales. Los principios establecen que:
- El acceso a los datos debe tener una base jurídica y estar sujeto a un marco que regule a las autoridades gubernamentales en el marco del Estado de Derecho.
- El acceso solo debe apoyar objetivos legítimos y llevarse a cabo de acuerdo con las normas legales de necesidad, proporcionalidad y razonabilidad.
- Se establecen requisitos de aprobación previa para garantizar que el acceso se realiza de acuerdo con las normas aplicables, al tiempo que se establecen controles internos para detectar, prevenir y remediar la pérdida de datos o el acceso no autorizado.
- También se requieren mecanismos de supervisión transparentes, eficaces e imparciales, y las personas deben tener acceso a mecanismos efectivos de reparación judicial y extrajudicial.
El valor de la Declaración de la OCDE
La Declaración de la OCDE es importante por varias razones. En primer lugar, proporciona directrices y principios claros sobre la forma en que los gobiernos deben acceder a los datos personales en poder de entidades del sector privado en el contexto de la aplicación de la ley y la seguridad nacional. Esto es importante porque ayuda a garantizar que cualquier acceso gubernamental a datos personales esté sujeto a estrictas salvaguardias y limitaciones, y en conformidad con los derechos fundamentales.
En segundo lugar, la Declaración de la OCDE contribuye a promover las normas internacionales y la cooperación en el ámbito de la protección de datos y la privacidad. Al establecer principios claros para el acceso transfronterizo a los datos personales, la declaración contribuye a garantizar que los países colaboren para proteger el derecho a la intimidad de las personas.
En tercer lugar, la Declaración de la OCDE contribuye a fomentar la confianza en la economía digital promoviendo mecanismos de reparación. Los datos personales son un activo valioso, y es más probable que las personas compartan sus datos con las empresas si confían en que sus datos se utilizarán de forma responsable y que se protegerá su derecho a la intimidad. Al establecer principios claros para el acceso de los gobiernos a los datos personales en poder de entidades del sector privado, la Declaración de la OCDE ayuda a promover esta confianza.
Retos de la Declaración de la OCDE
Sin embargo, la aplicación de la Declaración de la OCDE puede suponer un reto. Es especialmente importante es equilibrar la privacidad y la seguridad, garantizar la transparencia de las políticas gubernamentales, prevenir el uso indebido de los datos personales, superar las barreras legales, abordar los problemas transfronterizos o garantizar un mecanismo de reparación en la práctica.
Las autoridades gubernamentales pueden tener interpretaciones divergentes de estos principios debido a sus marcos jurídicos, prácticas judiciales u obstáculos prácticos. Para hacer frente a estos retos será necesaria una cooperación activa entre los gobiernos, el sector privado y la sociedad civil para garantizar que los datos personales se utilicen conforme con los Derechos y libertades Fundamentales.
Como operador de telecomunicaciones, nos tomamos muy en serio nuestras responsabilidades en virtud de la Declaración de la OCDE. En acogemos con satisfacción el reconocimiento del principio básico de que cualquier solicitud de datos personales por parte de las autoridades gubernamentales se realice de conformidad con la ley y esté sujeta a una supervisión y revisión adecuadas. Telefónica publica informes anuales de transparencia dirigidos a nuestros clientes y al público, en los que se detalla el número y el tipo de solicitudes de datos personales que recibimos de las autoridades gubernamentales.
En conclusión, la futura Decisión de la Comisión Europea sobre la adecuación y la Declaración de la OCDE sobre el acceso de los gobiernos a los datos personales en poder de entidades del sector privado en el contexto de la aplicación de la ley y la seguridad nacional son avances fundamentales para los operadores de telecomunicaciones. Como operador de telecomunicaciones, nos tomamos muy en serio nuestras responsabilidades para garantizar el cumplimiento de todas las leyes y reglamentos aplicables. Creemos que estos marcos proporcionan importantes protecciones para la privacidad de nuestros clientes , y seguiremos abogando por unas normas sólidas de protección de datos tanto a nivel nacional como internacional.
