nuevo privacy shield

Bienvenido Mr Biden o el «nuevo Privacy Shield»

 

El pasado viernes 27 Joe Biden y Ursula von der Leyen anunciaron a bombo y platillo su intención de cazar un oso.

Vendieron así la piel de un nuevo acuerdo plantígrado entre la administración USA y la comisión Europea sobre un nuevo mecanismo de transferencia entre la UE y los EEUU, antes de haberlo «cazado».

No es lo mismo «anuncio de acuerdo» que «acuerdo»

Notas breves a tener en cuenta:

  1. No existe un acuerdo concreto, sólo un acuerdo general sobre unas bases que se han publicado, pero los detalles concretos se siguen negociando. Para entender lo que podría acabar pasando: esto es como cuando Florentino anunció el fichaje de De Gea.

Es decir: Media Europa se está (nos estamos) quejando ya, de un acuerdo que ni siquiera existe.

  1. Tenemos nombre: no será “Nuevo Privacy Shield» o «Privacy Shield 2”, ni “Umbrella no se cuántos”. Será el “Trans-Atlantic Data Privacy Framework” TADPF en inglés o “Marco Transatlántico de Protección de Datos” (MTPD).
  2. ¿Reglas nemotécnicas fáciles para recordar esas siglas? «Tengo Algo De Prisa Fírmame» y «Mando Tanques Por Datos«
  3. La clave de bóveda será una Agencia de Protección de datos federal, realmente independiente, con capacidad para tutelar de forma eficaz y vinculante los derechos de los interesados (estadounidenses y europeos –o bueno, ya saben, debería ser “interesados que se encuentren en Europa”, para ser exactos).
  4. Esta Agencia y el resto de oseznos compromisos se publicarán en mayo, se harán efectivos en USA a través de una Executive Order del Presidente, que luego será informada por el EDPB y (¿quién puede dudarlo?) merecerá la entusiasta aprobación de la Comisión Europea en forma de decisión de adecuación.

Seamos realistas, si la Comisión Europea declaró adecuado el sistema de vigilancia británico, hoy en día lo mismo ahora hasta por los mismísimos Harkonnen.

  1. Que tampoco es que de puertas adentro los estados miembros sean ejemplo de absolutamente nada, como igualmente han declarado por ejemplo el TJUE y el Tribunal Europeo de Derechos Humanos en sus respectivas sentencias “Quadrature du net” y “Big Brother Watch” publicadas en 2020 y 2021.

 

Vladimira quién habla: el zeitgeist manda

Han sido dos años de duras negociaciones en las que nada satisfacía a la delegación europea. Pero en estas ha llegado Vladimir para engrasar la negociación: una guerra y una crisis energética han traído de vuelta la negociación al terreno de la realpolitik.

Es el gas, amigo.

 

Valoración:

Un apresurado anuncio digno de película de Berlanga que no augura nada bueno.

Desde el punto de vista práctico, la mayoría de las empresas siguen sin cobertura sólida para sus transferencias internacionales: ni el anuncio de la piel, ni el oso cazado cerrarán el gap de ilicitud para quien no haya hecho los deberes todavía.

Eso sí, el incremento de garantías internas norteamericanas robustecerán las Transfer Impact Assessment que (cof, cof) todo el mundo ha documentado de forma (ejem, ejem) rigurosa junto con sus SCCs.

Y es que este es el tema: a quien le saliera la TIA, probablemente no necesite este MTPD para mucho.

En sentido contrario: si algo hemos aprendido durante estos dos años es que si tienes datos que realmente debes proteger del Tío Sam, no debes ponerlos a su alcance (estén los servidores o no en territorio UE). Los primeros afectados por este tema son las administraciones públicas, precisamente las que menos han hecho al respecto.

Por último: esta euforia inicial no debe ocultar que una vez que el genio de las TIAs y la obligación de analizar las normativas extranjeras han salido de la lámpara maravillosa del EDPB, el MTPD sólo va a (simplificar o) solucionar la problemática estadounidense, dejando el problema completamente despanzurrado con Sudamérica, India y resto del mundo. De ahí que se trate de implicar a la OCDE en el sprint negociador.

Muy buena semana a todos.

 

Jorge García Herrero

Abogado y Delegado de Protección de Datos.