1 puntos por GN⁺ 4 시간 전 | 1 comentarios | Compartir por WhatsApp
  • Las transferencias de datos personales entre la UE y EE. UU. se han mantenido bajo la premisa de una autoridad de supervisión independiente en EE. UU., pero la decisión de la Corte Suprema estadounidense en Trump v. Slaughter puso en duda la independencia de la FTC
  • El derecho de los tratados de la UE exige que la supervisión de la protección de datos personales esté a cargo de una autoridad independiente, y el EU-US Data Privacy Framework de 2023 también tomó a la FTC como fundamento clave
  • Dado que Safe Harbour y Privacy Shield ya fueron invalidados en Schrems I·II, noyb considera que el nuevo marco de 2023 repite la misma vulnerabilidad
  • No significa que todas las transferencias de datos se detengan de inmediato; hasta que la European Commission lo retire o el CJEU lo invalide, la decisión actual sigue siendo formalmente válida
  • Las empresas que usan SCCs o BCRs también podrían tener que revisar las evaluaciones de impacto basadas en la independencia de los organismos estadounidenses de reparación y supervisión, y noyb exige retirar el acuerdo de datos entre la UE y EE. UU.

El debilitamiento de la independencia de la FTC sacude el marco de transferencias entre la UE y EE. UU.

  • La Corte Suprema de EE. UU. determinó en Trump v. Slaughter que la FTC podría dejar de ser independiente
  • Desde 2000, la UE ha dependido de una FTC independiente como base de ejecución de los acuerdos de transferencia de datos personales entre la UE y EE. UU.
  • Según el derecho de los tratados de la UE, la supervisión de la protección de datos personales debe estar a cargo de una autoridad independiente
  • En el EU-US Data Privacy Framework de 2023, la European Commission citó a la FTC como fundamento 259 veces
  • noyb y Max Schrems exigen que la European Commission retire de forma ordenada la decisión de adecuación sobre EE. UU., argumentando que el país ya no cuenta con una autoridad de supervisión independiente

Invalidaciones repetidas y debilidades del nuevo acuerdo de 2023

  • Desde 1995, la UE ha prohibido en general la exportación de datos personales a terceros países para evitar que se eludan las reglas europeas de privacidad
    • Hay excepciones para transferencias necesarias, como reservas de hotel u operaciones complejas
    • Muchas empresas de la UE han externalizado el tratamiento de datos personales a proveedores de nube estadounidenses
  • Desde 2000, la European Commission ha reconocido repetidamente a EE. UU. como un país “adecuado” en materia de protección de datos personales, permitiendo el libre flujo de datos entre la UE y EE. UU.
    • El CJEU invalidó Safe Harbour en Schrems I
    • El CJEU invalidó Privacy Shield en Schrems II
    • Las razones principales fueron las leyes de vigilancia de EE. UU. y la falta de vías de recurso judicial dentro de EE. UU.
  • El CJEU sostuvo que también en casos de vigilancia gubernamental se necesita un mecanismo independiente de recurso legal
    • La administración Biden creó el Data Protection Review Court
    • Pese a su nombre, este organismo es una entidad ejecutiva dentro del Departamento de Justicia de EE. UU.
    • Su independencia depende de la Executive Order de Biden, que Trump puede cambiar en cualquier momento y que no vincula al presidente
  • La decisión en Slaughter se trata como un caso que dio un giro de 180 grados respecto de la jurisprudencia existente y consideró inconstitucional la independencia de la FTC
    • Esto sigue la unitary executive theory, según la cual el presidente de EE. UU. debe controlar a todos los organismos ejecutivos estadounidenses
    • Es un esquema que considera inconstitucionales las leyes estadounidenses que hacen independientes a varias agencias

Efecto inmediato y puntos que las empresas deben volver a revisar

  • El impacto no es ilimitado
    • La decisión de la European Commission sigue siendo formalmente válida hasta que la Commission la retire o el CJEU la invalide
    • Por lo tanto, no hay un efecto legal inmediato
    • El GDPR solo regula transferencias de datos personales; los datos no personales pueden fluir libremente
    • El Article 49 GDPR permite transferencias necesarias a terceros países, pero no permite el offshoring estructural fuera de la UE cuando no es estrictamente necesario
  • Las SCCs y las BCRs también podrían verse afectadas
    • Algunas empresas usan formalmente SCCs o BCRs en lugar del EU-US Framework
    • Aun en esos casos normalmente se requiere una evaluación de impacto, y esa evaluación depende de la independencia de organismos ejecutivos estadounidenses como el PCLOB o el Data Protection Review Court
    • Los controladores que no dependen de una formal Commission Decision deben actualizar su evaluación de inmediato
  • noyb envió una carta oficial a la European Commission para exigir que retire de forma ordenada el acuerdo de datos entre la UE y EE. UU.
    • Varios Estados miembros de la UE ya se han movido hacia un enfoque de “digital sovereignty” y anunciaron una separación de los proveedores de servicios estadounidenses
    • Algunos proveedores de servicios estadounidenses también están impulsando un tratamiento de datos separado en la UE
    • noyb planea presentar una demanda en las próximas semanas para que el CJEU pueda invalidar el acuerdo actual
    • Este tipo de demandas suele tardar entre 2 y 3 años hasta una decisión final

1 comentarios

 
GN⁺ 4 시간 전
Opiniones en Lobste.rs
  • Esto es algo bueno. La UE y el resto del mundo que seguirá su ejemplo no deberían depender así de un Estado canalla que insiste en que su propia autoridad está por encima de todo y ya no trata a otros países o gobiernos como iguales.

    • Estoy 100% de acuerdo, pero BigTech de EE. UU. va a mandar un ejército de lobistas para asegurarse de que nada cambie.
    • La fragmentación de internet nunca es algo bueno; es una señal de que las relaciones políticas están bajo presión. No importa qué lado sea el menos malo; el problema es que las partes no están dispuestas a cooperar.
  • Me indigna esta decisión de la Corte Suprema de EE. UU., pero este resumen está un poco exagerado. Las llamadas agencias “independientes” nunca fueron especialmente independientes desde el principio.
    Quizás el autor se dejó engañar por una expresión de uso común y malinterpretó desde el inicio su naturaleza. No se me ocurre ninguna objeción práctica sobre la FTC estadounidense después de Slaughter que no se hubiera aplicado exactamente igual antes de Slaughter.
    ¿La diferencia, si acaso, será de apariencia? ¿Y bastará ese cambio de apariencia para que la UE actúe? Si es así, bien, pero no creo que esta decisión haya cambiado de manera sustancial la naturaleza de la “independencia” de los reguladores estadounidenses. Porque esa independencia nunca existió en primer lugar.
    Mi indignación no tiene que ver con el impacto sobre la falsa independencia de las agencias, sino con un tema legal más sutil, y también se sale un poco del tema de este artículo y de Lobsters en general.

    • noyb no afirma que la FTC y la Data Protection Review Court sean independientes. Más bien llama al EU-US Data Privacy Framework una “copia en gran medida” de los acuerdos anteriores que ellos lograron invalidar.
      El punto de este artículo es que la Comisión Europea usó la ficción de que estas instituciones son lo suficientemente independientes para justificar el envío de datos personales a EE. UU.
    • Aunque no se nota mucho con solo leer el texto original, parece que la organización que hace esta afirmación ya estuvo directamente involucrada dos veces en invalidar regímenes tipo Safe Harbor.