¿Qué está pasando con el Acuerdo de privacidad de datos entre el Reino Unido y EE. UU.? SGSI.en línea

¿Qué está pasando con el Acuerdo de privacidad de datos entre el Reino Unido y EE. UU.?

Por Danny Bradbury • 17 de febrero de 2023

En 1858, cuando los ingenieros tendieron el primer cable de comunicaciones entre el Reino Unido y los EE. UU., el gran desafío fue comprimir las señales telegráficas de los países a través de un solo cable. Desde entonces, los sectores público y privado han tendido miles de kilómetros de cable de fibra óptica bajo el Atlántico que transfiere terabits de datos por segundo. Hoy en día, los obstáculos al intercambio transatlántico de datos no son tecnológicos: son legales.

La UE estableció dos veces reglas de privacidad que rigen el intercambio de datos sobre sus ciudadanos con Estados Unidos, que también rige al Reino Unido como miembro de la UE. Después de que ambos fueran declarados ilegales, el bloque tomó medidas para crear un tercero. Tres años después de abandonar Europa, el Reino Unido ha estado negociando su propio acuerdo de adecuación con Estados Unidos. ¿Como va eso?

¿Cómo llegamos aquí?

La UE y los EE. UU. establecieron su acuerdo de adecuación de datos del Escudo de Privacidad en 2016 después de una impugnación legal exitosa de su acuerdo de Puerto Seguro original. Privacy Shield permitió a las empresas estadounidenses autocertificarse ante el Departamento de Comercio de EE. UU. para recibir datos de empresas europeas.

Tras impugnar Safe Harbor, el abogado austriaco Max Schrems volvió a impugnar el Escudo de privacidad ante los tribunales, y el Tribunal de Justicia de la Unión Europea (TJUE) lo invalidó en julio de 2020. Desde entonces, las empresas del Reino Unido que desean intercambiar datos con los EE. UU. han tenido que confiar en sobre cláusulas contractuales tipo (CCT). Estos acuerdos entre empresas permiten el intercambio de datos, pero su implementación requiere más trabajo. El Reino Unido tiene reemplazados SCC con su Acuerdo Internacional de Transferencia de Datos (ITDA), aunque todavía permite a las personas utilizar SCC de la UE mediante la aplicación de un apéndice especial del Reino Unido.

Los SCC y las ITDA pueden respaldar el intercambio bilateral de datos ad hoc entre organizaciones, pero un acuerdo general intergubernamental estándar facilitaría las cosas para las empresas. Entonces, ha comenzado la carrera para establecer una alternativa al Escudo de Privacidad.

Tramando un acuerdo entre el Reino Unido y los Estados Unidos

El Reino Unido ha estado trabajando en su propio acuerdo de adecuación de datos con Estados Unidos en paralelo con la UE. Emitió un declaración conjunta en este plan con Estados Unidos en agosto pasado, agrupando flujos de datos transfronterizos junto con numerosas iniciativas tecnológicas que van desde la diversidad de las telecomunicaciones hasta la computación cuántica.

El Departamento de Digital, Cultura, Medios y Deportes (DCMS) del Reino Unido pasa por cuatro etapas en sus evaluaciones de la adecuación de los datos con otros países: control de acceso, evaluación, recomendación y procedimiento. El control de acceso es cuando el Ministerio decide si comienza o no una evaluación de la adecuación de una nación. Durante una evaluación, recopila e interpreta datos sobre el país en cuestión basándose en una plantilla estándar antes de hacer una recomendación al secretario de Estado. Luego, el secretario consulta con la Oficina del Comisionado de Información (ICO) sobre si se debe determinar la idoneidad. Una vez superada esa etapa, el Ministerio elabora legislación en el Parlamento.

El DCMS no ofrece una fecha específica para la finalización de ese proceso para el acuerdo de adecuación entre el Reino Unido y los Estados Unidos, pero ha avanzado mucho. En octubre pasado, las negociaciones de adecuación de la UE y el Reino Unido con los EE.UU. dieron un paso adelante cuando la Casa Blanca emitió una Orden Ejecutiva sobre la mejora de las salvaguardias para la inteligencia de señales de los Estados Unidos. Prometió establecer un Tribunal de Revisión de Protección de Datos que brindaría a los individuos del Reino Unido y la UE una forma de impugnar cualquier uso de sus datos por parte de las autoridades estadounidenses.

Esto complació al DCMS, que emitió una declaración elogiando la medida estadounidense y prometiendo preparar regulaciones de adecuación para el Parlamento a principios de este año. En enero, la Secretaria de Estado del DCMS del Reino Unido, Michelle Donelan, y funcionarios estatales de EE. UU. dieron el pistoletazo de salida a la reunión. reunión inaugural del Diálogo Integral sobre Tecnología y Datos entre Estados Unidos y el Reino Unido. Los dos países acordaron finalizar e implementar un puente de datos para los flujos de datos entre Estados Unidos y el Reino Unido “en 2023”.

¿Qué Pasa Después?

El acuerdo de adecuación de Estados Unidos no es la única iniciativa del Reino Unido. Los flujos de datos internacionales son parte de su Estrategia Nacional de Datos. El gobierno también está buscando acuerdos de adecuación con Australia, la República de Corea, Singapur, el Centro Financiero Internacional de Dubai y Colombia. Los acuerdos con India, Brasil, Kenia e Indonesia están en su lista de tareas pendientes.

Político reportaron que el Marco Transatlántico de Privacidad de Datos UE-EE.UU. acordado en octubre tardaría a la UE alrededor de seis meses en implementarse. Eso significa que lo esperamos alrededor del próximo mes. El Reino Unido podría estar alineando sus patos legales antes de abandonar la legislación estadounidense sobre adecuación en el Parlamento. Aún así, es de esperar que no pase mucho más tiempo para que pueda alinearse con el anuncio de la UE.

Hasta que vean esos detalles, los abogados buscan orientación en la Orden Ejecutiva. Noyb.eu, el grupo de privacidad sin fines de lucro que fundó Schrems, ya ha preocupaciones expresadas sobre la falta de protección de la privacidad de los ciudadanos de la UE en ese documento. La organización la ha criticado por ser más débil que GDPR y dejar espacio para que las agencias de inteligencia estadounidenses continúen con la vigilancia masiva. Esta crítica sugiere que podrían surgir problemas legales relacionados con el acuerdo incluso antes de que se apruebe.

El gobierno del Reino Unido, que ya está planificar su salida del RGPD con normas de protección de datos más débiles podría no estar tan preocupado por estos temas, pero sus oponentes podrían estarlo. Mientras que los datos tardan apenas milisegundos en atravesar el océano, las maquinaciones legales y políticas tardan un poco más.

danny bradbury

Danny Bradbury ha sido periodista impreso especializado en tecnología desde 1989 y escritor independiente desde 1994. Ha escrito para publicaciones nacionales en ambos lados del Atlántico y ha ganado premios por su trabajo de periodismo de investigación en ciberseguridad.

Lea más de Danny Bradbury

La seguridad cibernética 15 de enero de 2026

De la seguridad perimetral a la identidad como bandera de seguridad

De la seguridad perimetral a la identidad como seguridad

Hoy en día, es imposible ver un evento de seguridad sin ver la frase "confianza cero". Es una palabra de moda, sí, pero...

danny bradbury

La seguridad cibernética 18 December 2025

Cómo navegar por el laberinto de cumplimiento de IA en EE. UU.

Cómo navegar por el laberinto del cumplimiento normativo de la IA en EE. UU.

En materia de regulación, el término «Estados Unidos» es un oxímoron. Las leyes estatales están lejos de estar unificadas, y cada jurisdicción tradicionalmente...

danny bradbury

La seguridad cibernética 20 November 2025

Lo que las brechas de seguridad de Salesforce nos enseñan sobre la responsabilidad compartida

2025 no ha sido un buen año para los clientes de Salesforce. Un grupo criminal sin escrúpulos lanzó una serie de ataques contra sus clientes, afectando finalmente a...

danny bradbury