El puerto seguro y el Escudo de privacidad fueron invalidados respectivamente en 2015 (TJUE, 6 de octubre de 2015, asunto C-362/14) y en 2020 (TJUE, 16 de julio de 2020, asunto C-311/18). Siguienteun acuerdo laborioso en principioEL Marco de privacidad de datos (DPF) finalmente se publicó el 10 de julio de 2023. La organización Ninguno de su negocio (NOYB) publicó inmediatamente un presione soltar denunciando un texto que, según ella, incluye gran parte del invalidado Escudo de Privacidad.

Si El Consejo Europeo de Protección de Datos (EDPB) Aunque acoge con satisfacción las mejoras sustanciales, señala también que una serie de principios siguen siendo esencialmente los mismos que los del Escudo de la privacidad. Como tal, persisten ciertas preocupaciones, en particular las relacionadas con determinadas exenciones al derecho de acceso a los datos, la ausencia de definiciones clave, la falta de claridad en cuanto a la aplicación de los principios del DPF a los subcontratistas, la amplia exención al derecho de acceso para los usuarios públicos y la ausencia de normas específicas sobre la toma de decisiones automatizada y la elaboración de perfiles. El CEPD también expresa su preocupación por la ausencia de un requisito de autorización previa de una autoridad independiente para la recopilación masiva de datos, así como por la ausencia de una revisión independiente sistemática ex post por parte de un tribunal o de un organismo independiente equivalente.

Diferentes culturas jurídicas

La razón se debe principalmente a las diferentes culturas jurídicas en materia de datos personales. La Unión Europea sitúa la protección de los datos de sus ciudadanos en el centro de sus preocupaciones, mientras que Estados Unidos no ofrece ninguna garantía como tal a nivel federal. Por ejemplo, el decreto presidencial Orden ejecutiva 14086firmado el 7 de octubre de 2022 por el presidente Biden, establece un principio de proporcionalidad para la recopilación de datos por parte de los servicios de inteligencia y el establecimiento de un nuevo mecanismo de apelación para los interesados ​​de la UE (léase Transferencia de datos UE-EE.UU.: ¡todavía mucho ruido y pocas nueces! ).

Pero, por un lado, no podemos excluir que este decreto sea revocado o modificado tras las próximas elecciones presidenciales estadounidenses previstas para noviembre de 2024, es decir, dentro de menos de un año. Por otro lado, este decreto hace referencia al principio de proporcionalidad y necesidad y elabora una lista interpretada teniendo en cuenta el derecho y las tradiciones jurídicas estadounidenses, noción que difiere significativamente de la de la Unión Europea.

Excepciones de la Ley de la Nube y la Ley Patriota

Por último, y tal y como indica la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (Comisión Liberal), el decreto no se aplica en un determinado número de casos: cuando la Cloud Act o la Patriot Act autorizan a las autoridades estadounidenses a acceder a los datos, para la compra de datos comerciales o incluso en presencia de acuerdos voluntarios de intercambio de datos. datos...

En particular, es necesario tener en cuenta la FISA 702, que permite al Fiscal General y al Director de Inteligencia Nacional autorizar conjuntamente el ataque a personas no estadounidenses (que razonablemente se puede esperar que estén ubicadas fuera de los Estados Unidos). El TJUE, en su sentencia Schrems II, consideró que la vigilancia masiva prevista por esta ley no era proporcionada en el sentido del artículo 52 de la Carta de los Derechos Fundamentales, que establece que cualquier limitación del ejercicio de los derechos y libertades debe ser proporcionada.

Se prevén dos niveles de apelación: una denuncia ante un Oficial de Protección de las Libertades Civiles (CLPO) responsable de garantizar el respeto de la privacidad y los derechos fundamentales por parte de las agencias de inteligencia estadounidenses y la posibilidad de apelar la decisión del CLPO ante el Tribunal de Revisión de Protección de Datos.

Critican al tribunal de revisión de protección de datos

Maximilian Schrems, fundador de la asociación NOYB y figura emblemática de la cuestión de las transferencias de datos entre la Unión Europea y Estados Unidos, cree, sin embargo, que el tribunal de revisión de la protección de datos no es una jurisdicción. Se trataría de un órgano bajo el poder ejecutivo del gobierno americano, cuya decisión sería imposible apelar. En cuanto a la Comisión Libe, observa que al no ofrecer un recurso ante un tribunal federal, el tribunal de control de la protección de datos no cumpliría los estándares de independencia e imparcialidad previstos por la Carta de los Derechos Fundamentales de la Unión.

Esto significa que el DPF, que tenía la ambición de marcar un “compromiso sin precedentes "Para que Estados Unidos implemente reformas que fortalezcan la protección de la privacidad y las libertades civiles" ya está bajo presión.

¡Continuará pronto!