A finales de septiembre, el gobierno del Reino Unido anunció un nuevo acuerdo de adecuación con Estados Unidos diseñado para permitir flujos de datos transfronterizos más fluidos. En teoría, garantizará que los datos personales de los ciudadanos del Reino Unido almacenados por empresas estadounidenses sigan conservando el mismo nivel de protección del RGPD que si residieran en el Reino Unido o los países de la UE. Quizás lo más importante para las empresas es que este llamado “puente de datos entre el Reino Unido y Estados Unidos” debería ayudar a las empresas a reducir su carga regulatoria y de cumplimiento.
¿Qué es el puente de datos?
El puente de datos entre el Reino Unido y los Estados Unidos es, en efecto, una extensión del nuevo Marco de privacidad de datos UE-EE. UU. (DPF), que a su vez es el sucesor del Escudo de Privacidad UE-EE.UU. que los tribunales de la UE anularon tras el fallo Schrems II en julio de 2020. Su objetivo es proporcionar seguridad jurídica a las organizaciones que deseen transferir datos personales cubiertos por el GDPR y el RGPD del Reino Unido a los EE. UU. de manera que cumpla plenamente con las leyes de protección de datos de la UE y el Reino Unido.
Reemplazará métodos más difíciles de manejar para transferir datos del Reino Unido a los EE. UU., como a través de la versión británica de las cláusulas contractuales estándar, el Acuerdo Internacional de Transferencia de Datos u otras “protecciones apropiadas” descritas en el RGPD del Reino Unido.
¿Cómo funciona?
El nuevo puente de datos entre el Reino Unido y los EE. UU. funcionará de forma casi idéntica al DPF UE-EE. UU. De hecho, las organizaciones estadounidenses ya deben participar en el DPF para poder utilizar el puente de datos. Estará disponible a partir del 12 de octubre de 2023, y cientos de empresas estadounidenses ya han manifestado su intención de participar.
Las organizaciones estadounidenses certificadas según el DPF pueden simplemente ampliar su certificación para cubrir las transferencias de datos desde el Reino Unido seleccionando la opción correspondiente a través de su cuenta DPF en línea.
Algunas excepciones
El regulador de privacidad del Reino Unido, la Oficina del Comisionado de Información (ICO) ha emitido una opinión en el puente de datos, que advierte que ciertas categorías de datos no se tratan como confidenciales según el DPF. Por lo tanto, se debe resaltar lo siguiente a las organizaciones estadounidenses que participan en el puente que deben ser tratadas como sensibles:
- Datos de delitos penales
- Datos genéticos
- Datos biométricos utilizados para identificar de forma única a una persona.
- Datos sobre orientación sexual
¿Qué Pasa Después?
Según Osborne Clark, las empresas que deseen transferir datos personales del Reino Unido a los EE. UU. deben:
- Comprenda hasta qué punto los acuerdos existentes con empresas estadounidenses podrían beneficiarse del nuevo puente de datos. Eso requerirá verificar si esas empresas estadounidenses participan o tienen la intención de participar en el acuerdo y garantizar que los datos que transfieren estén cubiertos.
- Verificar y actualizar avisos de privacidad, registros de procesamiento y contratos.
- Continuar usando el Internacional Acuerdo de transferencia de datos o reglas corporativas vinculantes donde el Reino Unido y EE. UU. El puente de datos no es posible.
Peter Church, asesor de TMT en Linklaters, sostiene que el puente de datos dará a las empresas del Reino Unido un incentivo adicional para negociar con proveedores de servicios estadounidenses que se hayan registrado.
“Permite a las empresas del Reino Unido cumplir automáticamente con las normas sobre transferencias internacionales de datos sin necesidad de pasos adicionales, como llevar a cabo una evaluación de riesgos. También implica un esfuerzo adicional mínimo por parte de las empresas del Reino Unido, ya que la mayor parte de la carga de cumplimiento recae en la entidad estadounidense”, dice a ISMS.online.
“Dicho esto, hay un par de peculiaridades a las que las empresas del Reino Unido deben prestar atención, como la necesidad de identificar específicamente la información genética, biométrica, de orientación sexual y criminal como sensible y verificar si la entidad estadounidense ha asumido compromisos específicos de recursos humanos antes de transferir Datos de recursos humanos”.
¿Qué significa para las empresas?
Otros expertos también acogen favorablemente el nuevo acuerdo de transferencia de datos. Ieuan Jolly, socio y presidente de la práctica de soluciones de datos y TMT de Linklaters en EE. UU., sostiene que ayudará a “desbloquear oportunidades económicas” y construir vínculos transatlánticos más fuertes al ayudar a alinear los estándares de protección de datos. Esas son buenas noticias para la economía del Reino Unido. dice que vale la pena más de £150 mil millones al año y emplea a 1.7 millones.
“El acuerdo proporciona un nivel de seguridad jurídica que las empresas estaban anhelando. Con directrices y salvaguardias claras para la transferencia transfronteriza de datos personales, permitirá a las empresas planificar y operar con más confianza. Esta nueva certeza es particularmente vital para las industrias que dependen de estrategias basadas en datos, como la tecnología, el comercio electrónico y los servicios financieros”, argumenta.
“Las implicaciones de este acuerdo para las empresas son multifacéticas. En primer lugar, simplifica los esfuerzos de cumplimiento al ofrecer un marco estandarizado para las transferencias de datos, lo que reduce la carga regulatoria para las corporaciones multinacionales. En segundo lugar, fomenta la inversión y la expansión continuas entre el Reino Unido y los EE. UU., ya que las empresas ahora pueden navegar privacidad de datos problemas de manera más fluida”.
Desafíos legales por delante
Aún no está claro si Schrems y su equipo legal impugnarán con éxito el DPF original. Pero el hecho de que el puente de datos sea simplemente una extensión del DPF sugeriría que sólo será válido mientras este último lo sea.
“Si el TJUE invalidara (nuevamente) el Marco de Privacidad de Datos UE-EE.UU., las empresas estadounidenses podrían simplemente abandonar el plan y el gobierno del Reino Unido podría tener que poner fin a la extensión del Reino Unido para preservar el estado de adecuación del Reino Unido en lo que respecta a la UE”, argumenta Church.
Por eso es posible que algunos todavía quieran cubrir sus apuestas, según Osborne Clark: “Algunas empresas que transfieren datos personales desde el Reino Unido todavía pueden buscar un enfoque de cinturón y tirantes, confiando tanto en el puente de datos entre el Reino Unido y los Estados Unidos, como en una alternativa. mecanismo de transferencia (como el apéndice del Acuerdo Internacional de Transferencia de Datos), particularmente dada la incertidumbre sobre si el Marco de Privacidad de Datos UE-EE.UU. (y su extensión en el Reino Unido) resistirá el desafío”. argumenta.
