Adecuación a las Normas de Protección de Datos

Este elemento es una profundización de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs]

Las determinaciones de adecuación de la Unión Europea

Los datos son un “material mágico” que “se está convirtiendo en el combustible para la innovación”, dice la ex vicepresidenta de la Comisión Europea, Neelie Kroes.Si, Pero: Pero sacar este “material mágico” de la UE es un negocio complicado. Según la Directiva de Protección de Datos de la UE (DPD) o la Directiva 95/46 / CE), una empresa puede mover datos fuera de la UE solo si algún mecanismo legal de la UE lo autoriza. Un mecanismo es una determinación de la UE de que el país al que viajan los datos ofrece un nivel de privacidad “adecuado” proteccionespara los ciudadanos de la UE, ya sea “en virtud de su legislación nacional” o mediante “un compromiso internacional [] que ha contraído”. Esta “determinación de adecuación” permite a las empresas transferir datos al país en cuestión sin que sea necesaria ninguna otra salvaguardia. “. Dado que esas” salvaguardias adicionales “pueden ser bastante engorrosas, una determinación de adecuación hace que sea relativamente fácil para las empresas de un país transferir datos fuera de la UE.

La lista de países que han recibido determinaciones de adecuación se lee como un juego de “una de estas cosas no es como la otra”: Andorra, Argentina, Canadá, las Islas Feroe, Guernsey, Israel, Isla de Man, Jersey, Nueva Zelanda, Suiza, los Estados Unidos (que no ha recibido una determinación de adecuación “general”, sino que más bien ha celebrado acuerdos que rigen las transferencias de datos; las transferencias a través de esos acuerdos han sido consideradas adecuadas) y Uruguay. Australia, Canadá y los Estados Unidos también han celebrado acuerdos bilaterales con la UE que regula la transferencia de datos del Registro de nombres de pasajeros aéreos (PNR) para fines de cumplimiento de la ley.

Pero la lista de determinación de adecuación es más notable para las naciones que no incluye que para las que incluye. Los Estados Unidos son un refugio de datos obvio, pero ¿dónde están las otras naciones cuyas empresas deben transferir datos fuera de la UE para realizar sus negocios? En 2016, por ejemplo, Forbes clasificó al Banco Industrial y Comercial de China (ICBC) como la compañía más grande del mundo. Con su red de 331 instituciones afiliadas en cuarenta países (incluidos algunos en Europa), el ICBC se basa en los flujos de datos transfronterizos para realizar análisis de datos y para proporcionar y mejorar los servicios. Huawei de China es un fabricante de equipos de telecomunicaciones grande y global; También hace negocios importantes en la UE. Las tecnologías de HCL de la India, mientras tanto,Brinda servicios de TI a 18 países de Europa. Estas y muchas otras empresas de estos y otros países industriales dependen de las transferencias de datos transfronterizas como parte clave de sus negocios.Si, Pero: Pero de alguna manera, lo hacen sin una determinación de adecuación.

Como lo demuestra la historia de Safe Harbor y Privacy Shield, la UE ha pasado las últimas dos décadas aplicando el principio de adecuación a los EE. UU. Con una rapidez aparente.Si, Pero: Pero a pesar de que pocos otros países han recibido una atención similar, no hay indicios de que la UE esté deteniendo las transferencias de datos a países sin determinaciones de adecuación. (Tal vez sea de interés más investigación sobre el concepto). Esto plantea una pregunta clave: ¿por qué? No es que China, por ejemplo, tenga protecciones de privacidad sólidas. ¿Cómo siguen las empresas de las naciones que no están en la lista haciendo negocios con la UE?

De Safe Harbor a Privacy Shield: los Estados Unidos y el principio de adecuación

Las disputas de privacidad entre los Estados Unidos y la UE se remontan a finales de los años 90, cuando los reguladores tuvieron dificultades para negociar una manera de que los Estados Unidos cumplieran con los requisitos de la entonces nueva Directiva de protección de datos. Después de meses de discusiones tensas (en las que, en un momento dado, un funcionario de la administración Clinton amenazó con actuar en la OMC contra la UE), los reguladores finalmente llegaron a un acuerdo con el Acuerdo de puerto seguro.Entre las Líneas En virtud de ello, las empresas estadounidenses que certificaron ante el Departamento de Comercio que habían cumplido con los requisitos de privacidad del acuerdo podrían transferir datos de Europa sin saltar a través de aros adicionales.

En octubre de 2015, el Tribunal Europeo de Justicia (TJCE) envió ondas de choque a través de la industria tecnológica cuando, en el caso de Schrems, anuló el Acuerdo. El ECJ, que discute principalmente con las leyes de vigilancia de EE. UU. Que permitieron que el gobierno “[acceso] generalizado al contenido de las comunicaciones electrónicas” (Schrems, párr. 94), tachó a Safe Harbor por no garantizar la protección adecuada de la privacidad. Eso llevó a los funcionarios de EE. UU. y la UE a luchar para negociar un nuevo acuerdo, el Escudo de la privacidad, que permitiría a las empresas transferir datos libremente. Privacy Shield, como su antecesor, opera en un sistema de autocertificación, requiriendo que las empresas se registren y certifiquen de forma anual el cumplimiento de sus requisitos con el Departamento de Comercio.

Durante las últimas dos décadas, entonces, la UE ha emitido determinaciones de adecuación para los EE. UU. No una, sino dos veces, superando obstáculos importantes.en la negociación para llegar a un acuerdo sobre un mecanismo de adecuación. (Tal vez sea de interés más investigación sobre el concepto). Y de hecho, debido a que una determinación de adecuación permite que las empresas de un país envíen datos fuera de la UE sin el uso de un mecanismo alternativo, uno pensaría que la CE querría ayudar a los estados miembros y las empresas a renunciar a la burocracia para mover ese “material mágico” y agregar más países a la lista blanca (a través de la aprobación de más decisiones de adecuación). Sorprendentemente, no lo ha hecho. Curiosamente, los Estados Unidos se han encontrado a sí mismos como una potencia mundial (o global) importante en una lista que incluye a las Islas Feroe y sus 49.188 personas, pero extraña a gente como China, India y Brasil. ¿Por qué Estados Unidos está recibiendo tanta atención cuando aparentemente otras potencias globales no lo están?

En las otras naciones industriales

Los reguladores europeos pueden centrarse en las protecciones de privacidad de los Estados Unidos, excluyendo a otras naciones simplemente porque las empresas estadounidenses son tan dominantes en el mercado. De las diez empresas de tecnología más grandes del mundo, siete son empresas estadounidenses.

Una Conclusión

Por lo tanto, puede tener sentido que la UE concentre sus recursos en establecer un marco de privacidad para las compañías estadounidenses, dada su evidente necesidad de enviar datos fuera de la UE.

Pero esa explicación no es del todo satisfactoria, porque, como vimos, las empresas estadounidenses no son las únicas que probablemente necesiten confiar en las transferencias de datos fuera de la UE para realizar negocios con la UE. Si bien Huawei o ZTE no son Apple o Google, son empresas importantes que realizan negocios a escala global. Y son empresas que deben usar la transferencia de datos personales para funcionar normalmente; por ejemplo, sería imposible para el ICBC realizar un análisis de datos a escala global si se requiriera la retención de los datos para cada nación que sirve localmente.

Una posible respuesta a este enigma es que estas empresas están realizando negocios con la UE utilizando salvaguardas especiales en lugar de una determinación de adecuación. (Tal vez sea de interés más investigación sobre el concepto). El Artículo 26 (2) brinda a los Estados miembros de la UE cierto margen de maniobra para permitir la transferencia de datos a las naciones sin una determinación de adecuación, y, de conformidad con el Artículo 26 (4), la Comisión tiene la facultad de crear un conjunto de contratos modelo que ofrezcan protecciones suficientes para las empresas que buscan para transferir datos fuera de la UE.Si, Pero: Pero aunque estos contratos modelo son la opción más popular para tales compañías, la realidad es que son muy difíciles de hacer en la práctica.

Por un lado, las cláusulas modelo son bastante difíciles de hacer cumplir, ya que podría ser difícil para una autoridad de protección de datos (DPA) de la UE saber si se está cumpliendo una cláusula. Un practicante observó recientemente que, según su conocimiento, las autoridades no habían afirmado ni aplicado ninguna cláusula contractual modelo entre 2001 y 2011. Las cláusulas modelo también imponen cargas a las empresas, la más grave de las cuales es que se requiere un contrato separado para cada exportación de datos..

Una Conclusión

Por lo tanto, las empresas que exportan muchos datos necesitarían negociar“Cientos de contratos”.

Otros Elementos

Además, las compañías no pueden negociar los términos de los contratos (aunque algunos sí lo hacen, esto por definición lo convierte en un contrato no modelo y, por lo tanto, lo elimina del proceso aprobado), y puede enfrentar responsabilidades adicionales y restricciones. en la subcontratación. (Tal vez sea de interés más investigación sobre el concepto). Las cláusulas modelo de contratos han sido criticadas por “no proporcionar una solución práctica para el cumplimiento”, sino por ofrecer una manera de cumplir solo con la “necesidad de usar algo”. Dada la dificultad en la ejecución, entonces, parece dudoso que todas las empresas utilicen Los modelos de contratos como método exclusivo de cumplimiento.

Las cláusulas modelo de contrato también pueden no estar disponibles por mucho más tiempo. Recientemente, el DPA irlandés remitió la cuestión de su legalidad al Tribunal Superior de Irlanda luego de un desafío del aparente superelegatorio de privacidad Max Schrems. Si Schrems tiene tanta suerte con las cláusulas modelo como lo hizo con Safe Harbor, las cláusulas modelo también pueden estar en peligro. La alternativa a las cláusulas modelo, las reglas corporativas vinculantes, también plantea pesadas externalidades administrativas y ha sido criticada por ofrecer una solución práctica de cumplimiento solo a las entidades corporativas más grandes. Y, de hecho, ninguna de las corporaciones previamente discutidas está en la lista de BCR.

La intransigencia administrativa simple también puede explicar el bajo número de países que han recibido determinaciones de adecuación. (Tal vez sea de interés más investigación sobre el concepto). Por un lado, la confusión sobre el proceso mismo de buscar una determinación de adecuación podría llevar a menos países a intentarlo. La UE afirma que solo iniciará un estudio sobre la solicitud de un tercero.Si, Pero: Pero muchos países creen que corresponde al tercer país acercarse a la UE para iniciar un estudio. Y, de hecho, existe evidencia de que, independientemente del proceso para iniciar una determinación de adecuación, pocos países se han embarcado en él. Notas de Graham Greenleafque el número de países que reciben evaluaciones negativas es “desconocido” pero “no [] muy grande”. Mientras tanto, él informa que India y Australia han sido evaluadas dos veces, sin recomendaciones para el Comité (aunque, como se señaló anteriormente, Australia ha llegado a un acuerdo sobre la transferencia de datos de pasajeros). Greenleaf concluye que la UE se ha demorado en aplicar el principio de adecuación.

Esa tardanza puede deberse a las dificultades inherentes a la realización del estudio de adecuación. (Tal vez sea de interés más investigación sobre el concepto). Por ejemplo, Christopher Kuner ha atribuido la tardanza en la implementación a obstáculos de procedimiento, en lugar de sustantivos. El primer paso para una determinación de adecuación, explica, es un estudio exhaustivo sobre el sistema legal del país en cuestión. (Tal vez sea de interés más investigación sobre el concepto). Debido a que la CE carece de la experiencia necesaria para realizar los estudios, debe recurrir a los contratistas, lo que ralentiza aún más el proceso.

Otros Elementos

Además, para los países con sistemas jurídicos oscuros, es difícil encontrar a alguien con la experiencia pertinente. Los factores políticos también pueden entrar en la ecuación; Informes de Kuner que muchas autoridades de protección de datos tenían dudas sobre el sistema de Argentina, pero la CE, sin embargo, aprobó la decisión de adecuación por razones políticas.

Por supuesto, el enfoque en las empresas estadounidenses aquí podría ser simplemente otro capítulo en la historia más amplia que es la creciente brecha entre Bruselas y Silicon Valley.Entre las Líneas En los últimos años, los reguladores de la UE han tomado medidas enérgicas contra las empresas de SV en todo, desde prácticas laborales hasta la regulación del habla; El enfoque en las empresas estadounidenses, y la exclusión de otros países, podría ser simplemente otra manifestación de una amplia lucha por el poder entre los reguladores de la UE y las empresas estadounidenses que buscan nuevos mercados. [rtbs name=”mercados”] Pero cualquiera que sea la explicación, el status quo se está volviendo cada vez más insostenible. No está claro cuántas empresas actualmente no cumplen con los mandatos del DPD.Si, Pero: Pero en 2018, cuando un nuevo conjunto de reglas de privacidadentra en vigencia, las empresas enfrentarán una fuerte multa financiera por el incumplimiento de las normas de privacidad de la UE. Queda por verse si, cuando la multa tenga algunos dientes, finalmente podremos comenzar a ver que la UE comienza a expandir su implementación del DPD a países más allá de los Estados Unidos.

Autor: Williams

La Unión Europea y Japón: Adecuación Recíproca de las Normas de Protección de Datos

La Unión Europea y Japón han llegado a un acuerdo para permitir el intercambio y la transferencia de datos personales entre las dos regiones sin garantías adicionales como parte de un enorme acuerdo de libre comercio que reduce o elimina los aranceles en casi todos los productos. La decisión de adecuación recíproca significa que ambas partes reconocerán sus leyes de protección de datos como equivalentes y no se garantiza ninguna otra protección para las transferencias transfronterizas.

En Europa, una decisión de adecuación es un procedimiento adoptado por la Comisión Europea para establecer que la legislación nacional o los compromisos internacionales de un tercer país proporcionan un nivel de protección de datos comparable a la Unión Europea. Como resultado, todos los operadores del país (Japón, en este caso) podrán transferir los datos personales de los ciudadanos de la UE al país sin ninguna otra protección.

Se espera que la Comisión Europea adopte la decisión de adecuación en el otoño después de que se completen varios asuntos de procedimiento. Japón también deberá completar los procedimientos internos para finalizar su decisión de reconocer el Reglamento General de Protección de Datos de Europa (“GDPR”). Es la primera vez que la UE y un tercer país acuerdan un reconocimiento recíproco de la adecuación, aunque la UE tiene determinaciones unilaterales de adecuación con varios otros países.

GDPR impide que las empresas almacenen información personal de los europeos en servidores extranjeros, a menos que los países garanticen un alto nivel de privacidad u otras protecciones. Actualmente, los EE. UU. cumplen con ese estándar a través del Escudo de la privacidad, un acuerdo para proporcionar el nivel necesario de protección a los datos personales de los ciudadanos de la UE por parte de las empresas que se han autocertificado y lo renuevan anualmente.

El Escudo de la privacidad ha estado bajo fuego últimamente en Europa, ya que el Parlamento Europeo ha pedido su suspensión en septiembre. Es posible que los eurodiputados no tengan el poder de revocar la determinación de adecuación en torno al Escudo de la Privacidad, pero pueden presionar a la Comisión Europea para que revierta su decisión anual de que el acuerdo ofrece una protección adecuada para la información personal de los ciudadanos de la UE.

La decisión de adecuación entre la UE y Japón se produjo a pesar de una Encuesta corporativa de Reuters realizada en junio que decía que las empresas japonesas habían realizado solo un progreso modesto en el cumplimiento de GDPR y que habían tardado en cumplir con las nuevas reglas de privacidad. El sitio web de la CE también menciona a Corea del Sur como otro país en el que ha participado en conversaciones sobre el reconocimiento de la adecuación.

Ha habido cierta especulación de que California podría calificar independientemente para ser adecuado cuando la Ley de Privacidad del Consumidor de California entre en vigencia. La ley podría ser considerada como una legislación de protección de datos integral por parte de la UE.

Puntualización

Sin embargo, California tendría que identificar o crear una agencia gubernamental (o, en ocasiones, de la Administración Pública, si tiene competencia) que sirva como autoridad de protección de datos para ayudar a los residentes de la UE a hacer valer sus derechos. GDPR permite que un “territorio” adquiera una adecuación, aunque ese término hasta ahora se ha limitado a los territorios de los miembros de la UE. La economía de California actualmente se ubica como la quinta más grande del mundo.

Autor: Williams

Posibles Respuestas

Libre Movimiento de Datos Personales

Primero, revisemos una lista de lugares donde los datos personales pueden moverse libremente sin preocuparse por las restricciones de exportación de datos de la UE. Al 31 de diciembre de 2016, hay 31 estados miembros de la UE y EEE. Las restricciones de exportación de datos (exigidas por el artículo 25 de la Directiva) simplemente no se aplican cuando los datos personales se mueven entre estos 31 estados miembros. Cuando agregamos las 12 decisiones actuales de adecuación a esta lista (incluido el acuerdo de Escudo de privacidad entre la UE y los EE. UU.), el número total de estados y territorios en el club de libre movimiento asciende a 43. Esto ya representa un porcentaje considerable de las economías desarrolladas del mundo.. Mientras más de 150 estados soberanos permanecen fuera del club, solo seis de los ausentes (Australia, Chile, Japón, Corea del Sur, México y Turquía) están en la OCDE de 35 miembros.

Como señala Teshuvá, una determinación de adecuación solo resulta después de una solicitud de un territorio de un tercero.

Una Conclusión

Por lo tanto, cada uno de estos 12 territorios debe haber creído que estaba en sus intereses estratégicos para hacer tal solicitud, y presumiblemente calificaron sus posibilidades de éxito como relativamente buenas.

La mitad de las decisiones de adecuación actuales (seis) se aplican a los territorios de Europa. Cuatro de ellos se refieren a territorios dependientes de las islas de los estados miembros de la UE (Islas Feroe, Isla de Man, Guernsey y Jersey). Esto no debería ser una sorpresa. Cada uno de estos cuatro territorios insulares goza de fuertes vínculos comerciales y legales con los estados cercanos, y puede beneficiarse fácilmente de la asistencia técnica para revisar y revisar las leyes. Igualmente importante, cada uno tiene una pequeña comunidad política. Sus legislaturas pueden maniobrar rápidamente para adoptar o revisar la ley pública según sea necesario para abordar cualquier problema que de otra manera pudiera impedir el comercio. Las dos decisiones europeas restantes se aplican a los estados europeos con un importante sector de servicios financieros minoristas internacionales, y que se ubican geográficamente en medio de los estados miembros de la UE (Andorra y Suiza).

De las seis decisiones de adecuación no europeas, cuatro constituyen hallazgos de adecuación legal general (Argentina, 2003; Israel, 2011; Uruguay; 2012; y Nueva Zelanda, 2013). Al igual que en el caso de las seis decisiones aplicables a los territorios europeos, cada una de estas jurisdicciones demostró que sus leyes nacionales están lo suficientemente cerca de los principios de protección de datos de la UE para brindar una protección adecuada a los interesados. Cada uno de estos estados, presumiblemente, decidió que obtener tal determinación estaba en sus intereses estratégicos. De los tres casos más recientes, por ejemplo, se reporta que Uruguay ha hecho el movimiento en un esfuerzo por atraer negocios de Europa (y posiblemente para desviar negocios de la Argentina vecina e igualmente “adecuada”) que incluye un gran componente de procesamiento de datos personales, como centros de llamadas, servicios financieros y telemedicina.

Los compromisos inusuales para América del Norte

Las dos decisiones de adecuación restantes, aplicables a América del Norte, son más complicadas. Tampoco se basa en un hallazgo de adecuación legal general.

La decisión aplicable a Canadá (2001) es un hallazgo limitado que se aplica solo a las exportaciones de datos personales a una clase de destinatarios de datos que están claramente regulados por la ley de protección de datos de su estado de origen.Entre las Líneas En particular, el gobierno canadiense y las organizaciones canadienses sin fines de lucro no están incluidas en el alcance de esta decisión. (Tal vez sea de interés más investigación sobre el concepto). Estas entidades no están reguladas por la legislación general de protección de datos de Canadá. Uno puede imaginar fácilmente las presiones conflictivas que enfrentó Canadá al negociar su decisión de adecuación hace 15 años. Una conclusión de la UE sobre la adecuación general habría requerido que Canadá ampliara el alcance de su ley nacional de protección de datos para incluir a agencias gubernamentales y organizaciones sin fines de lucro. Se supone que esto no era políticamente alcanzable,

Finalmente, llegamos a los Estados Unidos. A diferencia de cualquiera de los otros 11 territorios con determinaciones de adecuación actuales, los EE. UU. No tienen ningún sistema generalizado de legislación de protección de datos. También parece muy improbable que los Estados Unidos adopten una legislación de este tipo en el futuro previsible. Un movimiento de este tipo casi con certeza interrumpiría una amplia variedad de prácticas comerciales nacionales en los EE. UU. Que van desde actividades dirigidas por el consumidor como publicidad directa por correo, publicidad en línea, servicios financieros, monitoreo de la actividad del consumidor y calificación crediticia, hasta actividades más intrusivas como las pruebas de drogas en el lugar de trabajo.Entre las Líneas En el futuro previsible, no puedo imaginar una serie de circunstancias que naturalmente lleven al Congreso de los Estados Unidos a aceptar un nuevo régimen de protección de datos lo suficientemente amplio como para cumplir con las normas de la UE.

Al buscar una decisión de adecuación de la UE, los EE. UU. Adoptaron un enfoque que no tiene paralelo. Este enfoque ofrece a las empresas nacionales de los Estados Unidos la opción (no la obligación) de ser reguladas de conformidad con los principios de protección de datos de la UE. Este fue el enfoque adoptado con el acuerdo de Safe Harbor (ahora invalidado) en 2000. Sigue siendo el enfoque adoptado en 2016 para el nuevo acuerdo de Escudo de privacidad de EE. UU. Ambos conjuntos de negociaciones requirieron una inversión significativa de tiempo y esfuerzo por parte de los gobiernos de los EE. UU. y la UE.

Motivaciones para que los Estados Unidos soliciten una determinación limitada

Me parece que la verdadera pregunta no es: “¿Por qué hay tan pocas determinaciones de adecuación?”. Eso es fácil. La obtención de un hallazgo de adecuación legal general normalmente requiere que el territorio del solicitante demuestre que su legislación nacional se adhiere extremadamente a los principios de protección de datos de la UE. Fuera de Europa, las únicas jurisdicciones que se han tomado el tiempo y el esfuerzo para hacerlo (aparte de los EE. UU.) Son aquellas que han adoptado ampliamente estos mismos principios en su legislación nacional, y que creen (correcta o incorrectamente) que una decisión de adecuación Tendrá un valor estratégico.

La mejor pregunta es: ¿por qué EE. UU., una jurisdicción que no está preparada para adoptar una legislación de privacidad al estilo de la UE, se molestó en buscar una determinación de adecuación, dados los enormes costos (o costes, como se emplea mayoritariamente en España) de transacción que implica la negociación de un régimen regulatorio hecho a medida? En este caso, ¿por qué la Comisión Europea recibió y dedicó importantes recursos para tratar con una solicitud tan inusual?

Creo que el deseo de los EE. UU. De solicitar un tratamiento especial está directamente relacionado con la escala de negocios llevada a cabo por las firmas de EE. UU. en función de, o mejorada por, las transferencias de datos personales fuera de la zona europea de protección de datos (es decir, el Espacio Económico Europeo más los seis territorios europeos que se benefician de los resultados de adecuación).

Teshuva parece descartar este argumento de que el tamaño del sector empresarial del estado de origen es un factor predictivo de las solicitudes del estado de origen para las determinaciones de adecuación. (Tal vez sea de interés más investigación sobre el concepto). Ella señala que mientras que 7 de las 10 compañías de tecnología más grandes del mundo tienen su sede en los EE. UU., Muchas otras compañías de tecnología importantes tienen su sede en otras grandes jurisdicciones como China y Corea del Sur. Me parece poco convincente. El enfoque para evaluar el tamaño del negocio del estado de origen (y, por lo tanto, la presión estratégica sobre un gobierno del estado de origen para buscar una determinación de adecuación) debe comenzar con un enfoque en la prestación de servicios en lugar de productos, específicamente, servicios que probablemente impliquen la exportación de datos personales devueltos al proveedor. Uno de los ejemplos más significativos es el suministro de servicios en la nube (SaaS, Paas o IaaS) a Europa mediante infraestructura o control de gestión de infraestructura.

Al adoptar la lista Forbes de las compañías de tecnología más grandes del mundo como un indicador de acción significativa en el espacio de datos personales, Teshuva equipara implícitamente el peso financiero de grandes compañías internacionales de servicios en la nube como Microsoft y Google, con la de compañías predominantemente basadas en productos como Samsung. y Huawei. Estas últimas empresas a menudo forman parte de una cadena de suministro ascendente o siguen predominantemente estrategias de socios de canal con menos conexiones directas a los datos europeos. Esto es como comparar manzanas y naranjas, o en este caso, comparar Apple con Foxconn.

Un mejor indicador para evaluar el imperativo estratégico para la libre circulación de datos personales es examinar el mercado del software como servicio (SaaS). Un proveedor de SaaS recibe de forma rutinaria los datos del cliente en su sistema y se le pide que analice e informe sobre estos mismos datos. Los clientes de SaaS depositan una enorme confianza en su proveedor de SaaS. Una imagen interesante emerge aquí. Las firmas estadounidenses comprenden 37 de las 40 compañías SaaS más influyentes (según lo informado en Montclare SaaS 250, obtenido el 9 de enero de 2017). De las tres empresas no estadounidenses que figuran entre las 40 principales, dos tienen su sede en la UE y una en Australia. (De la lista de las 10 principales tecnologías de Forbes citada por Teshuva, solo tres, todos estadounidenses, aparecen en el mismo top 40: Google en el 3er lugar, Oracle en el 15 y Microsoft en el 27).

Las ofertas de SaaS representan algunas de las propuestas de mayor valor agregado en la tecnología de la información actual. También requieren la transferencia al por mayor de datos en manos del proveedor de servicios. EE. UU. Es líder mundial (o global) en el desarrollo y despliegue de estos servicios. No es sorprendente que el gobierno de los EE. UU. Esté motivado para preservar y promover las perspectivas globales de estos y otros negocios similares, especialmente con la Unión Europea (que colectivamente constituye el mayor mercado de destino para los servicios de TIC, y los servicios potencialmente habilitados para las TIC, exportados desde el país). Estados Unidos). Es igualmente sorprendente que la UE quiera permitir que sus empresas residentes se beneficien de estas mismas ofertas de servicios.

Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):

Presión creciente para una solución de EE.UU.-UE

Cuando se adoptó el acuerdo original de puerto seguro entre EE. UU. Y la UE en 2000, SaaS no estuvo a la orden del día.Entre las Líneas En el año 2000 no hubo apuro inmediato por parte de las empresas estadounidenses para inscribirse. Fue más de un paseo lento, deliberado.

Con el tiempo, los clientes en la zona europea de protección de datos comenzaron a apreciar más claramente sus propias responsabilidades de cumplimiento. Estos mismos clientes europeos, a su vez, comenzaron a ejercer una mayor presión sobre sus proveedores de procesamiento de datos no europeos, a menudo con sede en América del Norte, para una solución de cumplimiento fácil de usar.

En el transcurso de 15 años, un número creciente de juntas directivas de los EE. UU. Se convencieron lentamente del valor comercial de adoptar este sistema de regulación voluntaria. Estaban cada vez más cansados ​​de los costos (o costes, como se emplea mayoritariamente en España) de transacción adicionales creados al establecer garantías alternativas, como la ejecución de cláusulas de contratos de exportación de forma estándar con cada uno de sus clientes. Los nuevos participantes en el mercado en el creciente campo del SaaS internacional fueron generalmente más rápidos en adoptar esta solución. (Tal vez sea de interés más investigación sobre el concepto). Para los proveedores de servicios de nube ágil, cualquier cosa que se agregue a la complejidad de la conclusión de contratos de servicio (como una serie de preguntas de los oficiales de cumplimiento de protección de datos del cliente y los departamentos legales) es mortal para el éxito del modelo de negocio.

Cuando el acuerdo de Safe Harbor se invalidó en 2015, más de 3,000 firmas de EE. UU. se habían inscrito. La demanda de la industria de EE. UU. (y Europa) de una solución de reemplazo en 2016 fue sin duda mucho mayor que en 2000. No es de extrañar que el Departamento de Comercio de EE. UU. (Y la Comisión Europea) hayan dedicado tanto tiempo al desarrollo del nuevo y ampliado Escudo de privacidad. sistema.

Los clientes europeos de empresas de servicios de EE. UU. desean un método continuo y sencillo para garantizar el cumplimiento del principio de exportación. (Tal vez sea de interés más investigación sobre el concepto). Solo queda por ver si los EE. UU. Y la UE han logrado un equilibrio que satisfaga el ahora mayor control del Tribunal de Justicia Europeo.

Amigos ausentes

Teshuvá también pregunta: “¿Cómo siguen las empresas de las naciones que no están en la lista [de adecuación] haciendo negocios con la UE?”. La respuesta simple es: “Porque pueden”.

Tenga en cuenta que, si bien el artículo 25 (4) de la Directiva de protección de datos otorga a la Comisión Europea la autoridad para prohibir las transferencias a territorios que carecen de una protección adecuada, la Comisión no ha utilizado esta autoridad para “poner en una lista negra” a ningún territorio.Entre las Líneas En teoría, al menos, los datos personales se pueden exportar (con las medidas de seguridad adecuadas) a cualquier lugar del mundo.

Además, la propia empresa exportadora de datos es la principal responsable del cumplimiento. Debe asegurarse de que está enviando datos personales a lugares que garanticen una protección adecuada o que emplee garantías adecuadas en relación con la transferencia.

Además, la cartera de productos y servicios de un proveedor de tecnología determinado puede no depender significativamente de la recepción de datos personales. Estas empresas enfrentarán menos demandas de los clientes europeos para soluciones de adecuación.

Cuando las exportaciones de datos personales forman una parte fundamental de la actividad comercial, existen (como Teshuva reconoce) alternativas, derecho privado, medidas de adecuación que pueden sustituir a la adecuación de la ley estatal. Para tomar un ejemplo común, en la prestación de servicios de centros de llamadas desde la India al Reino Unido, el cliente comercial del Reino Unido (que exporta datos personales a la India) puede invertir el tiempo necesario para garantizar las salvaguardias adecuadas mediante el uso de cláusulas contractuales estándar. Cuando las instituciones financieras del Reino Unido están fuera de los centros de atención al cliente, a menudo invierten significativamente en funciones de supervisión y auditoría de protección de datos como parte de su proceso de gestión de proveedores.

Las reglas corporativas vinculantes (BCR) se han convertido en una solución preferida para las empresas multinacionales que desean transferir sus propios datos de negocios dentro del grupo.

Otros Elementos

Además, las firmas de procesamiento de datos están adoptando BCR como un medio para facilitar las transferencias de datos de sus clientes. (Salesforce, un proveedor líder de SaaS, es uno de los primeros en adoptar BCR de procesadores de datos y también elige ser regulado a través de Privacy Shield.) Aunque los BCR son caros y requieren mucho tiempo para establecerse, proporcionan una herramienta de cumplimiento reconocida por el regulador que puede Ser altamente individualizado a las necesidades de un grupo corporativo.

Los proveedores multinacionales que desean aumentar su mercado de servicios de procesamiento de datos personales también pueden perseguir una estrategia de localización de datos. La localización es simplemente el proceso de entrega de servicios en la nube desde servidores ubicados y administrados desde el territorio del cliente. Los clientes de servicios en la nube son cada vez más conscientes de que la implementación en una nube “extranjera” expone su negocio a un riesgo jurisdiccional potencial de los soberanos “extranjeros”. Si bien la localización de datos aumenta los costos (o costes, como se emplea mayoritariamente en España) de suministro, muchos proveedores de servicios en la nube ya están haciendo estas inversiones de localización y pueden estar persiguiendo una estrategia de localización a largo plazo (véase más detalles en esta plataforma general) en los principales mercados.

Existen muchas otras circunstancias en las que los datos personales pueden partir de Europa, especialmente cuando el propio titular de los datos da su consentimiento o cuando la exportación de datos es necesaria para cumplir un contrato con el interesado. Teshuva plantea el caso de un gran banco internacional con sede en Asia (donde no se aplica una determinación de adecuación) y pregunta cómo el banco puede realizar negocios en Europa. Aunque no sé cuál es la estrategia de cumplimiento específica de ese banco, podría (si lo desea) aceptar los términos de negocios mediante los cuales sus clientes consienten el procesamiento de datos personales fuera de Europa. También puede darse el caso de que los clientes de ese banco, que desean principalmente facilitar los tratos comerciales en el territorio de la sede central del banco en Asia, aprecien que el banco necesitará transferir datos personales para lograr los objetivos comerciales del cliente. Para esa materia, el grupo bancario podría hacer uso de las cláusulas estándar de exportación aplicadas en virtud de contratos intragrupo o podría limitar el procesamiento de los datos personales de sus clientes europeos a las compañías de su grupo europeo que operan desde instalaciones europeas de procesamiento de datos. El banco puede elegir entre muchas estrategias de cumplimiento.

Línea de fondo

Los estados que perciben un valor estratégico significativo para permitir la libre circulación de datos personales de Europa a sus propias empresas nacionales, y cuyos sistemas legales se asemejan mucho a los estándares europeos, pueden continuar solicitando decisiones de adecuación.

Como líder mundial (o global) en la entrega de servicios en la nube internacional (especialmente la entrega de SaaS), no es de extrañar que el gobierno de los EE. UU. quiera hacer todo lo posible para facilitar el libre y fácil movimiento de datos personales desde la zona de protección de datos europea: su mayor exportación. (Tal vez sea de interés más investigación sobre el concepto). mercado de servicios TIC. Los Estados Unidos no pueden solicitar un hallazgo de adecuación legal general ya que su sistema legal es demasiado diferente a los estándares de la UE.

Indicaciones

En cambio, ha negociado un régimen regulatorio de suscripción altamente inusual que sirve de base para un hallazgo de adecuación limitado.

Mientras tanto, existe una creciente presión, tanto en Europa como en otros lugares, para la localización de datos. Los clientes exigen cada vez más que la jurisdicción soberana sobre sus datos permanezca únicamente dentro de su territorio de origen. Si esta tendencia continúa, producirá una inversión continua en el país en infraestructura de entrega de servicios de TIC dondequiera que exista una demanda importante de los clientes.

A medida que la infraestructura y la gestión de los centros de datos se vuelven omnipresentes en todo el mundo, el tema del movimiento transnacional de datos puede eventualmente (finalmente) disminuir en importancia.

Autor: Williams

▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.