Decisiones de adecuación: ¿Buen paraguas?

Estamos muy pendientes del devenir de las transferencias a Estados Unidos con la botadura del nuevo transatlántico de la privacidad que viene a sustituir el Privacy Shield (no olvidar a India, Rusia o China, porque por número son los siguientes en proveedores hegemónicos y pase lo que pase no se libran de TIA (si sale positiva) y medidas adicionales, pero hemos dejado fuera de vista a las Decisiones de Adecuación que nos dan una garantía automática sin tener que pensar.

El interés de la Comisión Europea es hacer un poco más fácil la vida en este mundo en el que se depende de proveedores en países de diversión garantizada, pero a veces firma con demasiada alegría y fe cosas que luego acaban explotándonos en la cara a todos. El papel lo soporta todo y se limita mucho a una revisión formal y en diferido del ordenamiento y garantías de ese tercer país, Sobre todo, lo que determina el RGPD en el 45 (grosso modo):

  • Si hay respeto a derechos humanos y fundamentales;
  • Normativa de protección de datos, aplicación de la misma, el temita de seguridad nacional y accesos de las autoridades públicas;
  • Si existe autoridad de protección de datos independiente y es de verdad; o
  • Si se ha firmado tratados internacionales de relevancia en el tema.

Vamos con las Decisiones de Adecuación

Yendo al meollo que nos reúne a todos aquí, vamos a ver si las Decisiones de Adecuación son tanques de cartón piedra que no aguantarían en una nueva guerra que Schrems declarara cuando se proclame vencedor en la futura batalla del Abismo del DPO con el título de “Schrems III”.

Sigamos el orden de la Comisión Europea al firmarlas. De las más vetusta a las más moderna con comentario y valoración (👍 🤜 👎) de los siguientes puntos:

  • Afecte a todos los niveles de normativa del país: nacional o federal, regional o autonómico y local. Parece una obviedad, pero puede dar lugar a cosas extrañas como en el caso de Canadá que veremos;
  • Afecte al sector público y al sector privado;
  • Que esté adaptada al RGPD;
  • Que tenga una autoridad de protección de datos: que tiene que tenerla para que haya Decisión de Adecuación;
  • Si las garantías por incumplimiento de la misma son suficientes; y
  • Que tengan agujeros u omisiones preocupantes.

Suiza – Del 2000 sin el temido efecto que no pasó

Empezamos por ese país que puede servir de pregunta trampa en cualquier examen de certificación de protección de datos: forma parte de la EFTA (Asociación Europea de Libre Comercio) junto con Noruega, Islandia y Liechtenstein, pero no del Espacio Económico Europeo en el que despliega su efecto el RGPD. Esa referencia que aparece en todos los Reglamento y Directivas: “Texto pertinente a efectos del EEE”. Decisión 2000/518/CE.

☂️¿Afecta a todos los niveles de la normativa?: Aunque los cantones tienen competencia y normativa propia de protección de datos distinta a la federal, no parece que exista una primacía de la cantonal frente a la federal en caso de conflicto + que todo queda apuntalado por la firma del Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (el conocido Convenio 108): información, acceso, rectificación, supresión y recurso ante autoridad competente/tribunales. Considerandos 5 al 9 👍

☂️¿Afecta al sector público y privado?: la ley federal suiza es de aplicación a entidades públicas y privadas, pero los cantones tienen competencias en su territorio sobre impuestos, hospitales públicos, educación y policía. Un poco como nuestro mareo autonómico, pero con el límite de que todo tiene que ir engranado y se asumen a nivel federal y cantonal. Considerandos 5 y 8. 👍

☂️¿Tiene una autoridad de protección de datos?: Sí, una a nivel federal (Préposé» federal), pero teniendo los cantones potestad en materia de protección de datos en los puntos comentados. No se mencionan autoridades cantonales específicas, pero sería raro que no exista algo al estilo de nuestra vasca, catalana o andaluza sobre lo público. Considerando 10. 🤜

☂️¿Hay garantías si no cumple?: se recuerda la posibilidad, que también está en el RGPD, de que las autoridades de protección de datos de la UE puedan suspender las transferencias hacía Suiza (lo del Garante italiano con el caso del fallecimiento de aquella niña en Tik Tok) ante decisión de las mismas sobre que el receptor es un maloso que incumple, o antes riesgos inminentes o razonables de lío. Si es alguna autoridad suiza la que no cumple, se dará traslado para hacerlo, so pena de que se podrá modificar la decisión o mandarla a la papelera de la historia. En rigor está bien, pero la Comisión no ha mandado a la papelera ni una en su historia (ya veremos que la de Andorra es un doblete de normas derogadas por los dos lados). Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera. La Comisión se obligaba a revisar a tres años vista desde su promulgación para ver si ha cumplido o no, pero hasta ahí. Artículo 4. 👎

Canadá – Del 2002 con sirope de arce

Uno de los que consideramos más seguros en transferencias por ser el modosito hermano de Estados Unidos sin ese amor loco por la seguridad nacional, pero que tiene una coletilla puñetera sobre la aplicación de la Decisión de adecuación en lo que nos interesa (Decisión 2002/2/CE)“respecto de las entidades sujetas al ámbito de aplicación de la ley canadiense de protección de datos”.

☂️ ¿Afecta a todos los niveles de la normativa? No, porque la normativa a valorar en la Decisión es la ley federal (PIPEDA) que solo afecta a las entidades canadienses del sector privado a nivel federal, aunque hay mareo a nivel regional/provincial y no es tan fácil como esto. 👎

☂️¿Afecta al sector público y privado?: No, siguiendo lo anterior tenemos fuera de valoración a la ley que regula el ámbito público, y, además las 8 normas provinciales en materia de protección de datos de Alberta, Columbia Británica, Quebec, Ontario, New Brunswick, Nueva Escocia y Labrador. El mareo viene en el punto en el que se dice que antes conflicto entre PIPEDA y estas normas regionales, ganan la segundas con el teórico límite de que en la cesión de datos interprovincial o internacional sigue aplicando la PIPEDA.   Considerandos 5, 6 y 7 + información de su autoridad de protección de datos. 🤜 tirando a 👎.

☂️¿Tiene una autoridad de protección de datos?: Unas cuantas. En la Decisión no se mencionan, pero la propia Canadá te da un formulario para rellenar en el que te dirigen ellos a la que toque de entre las 9 que hay (la federal y los 8 provinciales de las regiones ya comentadas). La federal: Comisario federal de protección de datos. Considerando 9. 🤜 tirando a 👎.

☂️¿Hay garantías por si no cumple?: las mismas que para el caso de Suiza o de cualquier otro país, porque esa parte es la misma para todos. Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera., el mareo comentado y que la Comisión se obligaba a revisar a tres años vista desde su promulgación para ver si ha cumplido o no, pero hasta ahí. Artículo 4. 👎.

Argentina – Del 2003 con Mate

Uno de los hermanos hispanohablantes allende los mares que está en proceso de modificar su ley de protección de datos vigente (en la que se basa la Decisión y ratificar el Convenio 108. ¿Ya que el RGPD no ha supuesto modificar o emitir una nueva, lo hará que la norma del tercer país cambie? Plost Twist: No tiene pinta, como veremos con Andorra :(. Decisión 2003/490/CE.

☂️¿Afecta a todos los niveles de la normativa?: Juegan a Ley y Reglamento como nuestra antigua LOPD y su RLOPD. 👍

☂️¿Afecta al sector público y privado?: Considerando 10.👍

☂️¿Tiene una autoridad de protección de datos?: Sip, La Dirección Nacional de Protección de Datos Personales. Considerando 14. 👍

☂️¿Hay garantías por si no cumple?: las mismas que para el caso de Suiza o de cualquier otro país, porque esa parte es la misma para todos. Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera. Tampoco da mucha garantía el párrafo de cuerpo a tierra de la Comisión Europea al decir que se basa en la información dada por las autoridades argentinas en el considerando 15. Este punto no está tan claro y desarrollado en muchas Decisiones: “La presente Decisión se basa en las citadas informaciones y garantías y está subordinada a ellas, y, en particular, a las explicaciones y garantías proporcionadas por las autoridades argentinas sobre la manera en que debe interpretarse la legislación argentina en lo que se refiere a qué situaciones se hallan dentro del ámbito de aplicación de la legislación argentina de protección de datos.” 👎

La Comisión se obligaba a revisar a tres años vista desde su promulgación para ver si ha cumplido o no, pero hasta ahí. 👎

Guernsey, Isla de Man y Jersey – Del 2003, 2004, 2008, respectivamente.

Lo mejor es tratarlas juntas porque son (no) colonias del Reino Unido, o sea, lo mismo con distintos nombres. Decisión 2003/821/CE, Decisión 2004/411/CE, y Decisión 2008/393/CE

☂️¿Afecta a todos los niveles de la normativa?: Parece, que no se aclara. Habría que ver qué niveles tienes en estas diminutas islas bajo cuasicontrol británico. Para prueba de si van de la manita del Rey el considerando 6 dice: “con efecto a partir de agosto de 1987, la ratificación por parte del Reino Unido del Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (Convenio no 108) se amplió a Guernsey, Isla de Man y Jersey”.  🤜

☂️¿Afecta al sector público y privado?: Parece 🤜. Cada uno tiene una ley de protección de datos al uso.

☂️¿Tiene una autoridad de protección de datos?:Sip, El Comisario de protección de Datos. Considerando 9. 👍

☂️¿Hay garantías por si no cumple?: las mismas que para el caso de Suiza o de cualquier otro país, porque esa parte es la misma para todos. Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera. La Comisión se obligaba a vista desde su promulgación para ver si ha cumplido o no, pero hasta ahí. 👎

Islas Feroe – Del 2010 con LEGO

Otro de esos territorios dependientes de un país sin que lo parezca, aunque a diferencia del Reino Unido las Feroe si se reconocen como parte del Reino de Dinamarca. La versión española las denomina comunidad autónoma, pero puede que se haya venido arriba con el concepto español (o no). Decisión 2010/146/UE.

☂️¿Afecta a todos los niveles de la normativa?: Se limita a la ley de las Islas Feroe, aunque ya podían haberles empujado un poco en Dinamarca para que firmaran cuando se adhirió a la UE. El reparto competencia entre Dinamarca y el gobierno local de las islas es un poco la dinámica Michael/Jim como codirectores en The Office: los asuntos especiales son competencia del Gobierno de las Islas Feroe (Michael) y la legislación y los asuntos comunes son competencia del Reino de Dinamarca (Jim). Considerando 5. 🤜

☂️¿Afecta al sector público y privado?: Sí, pero con los límites de no ser de aplicación a los cargos importantes de las Islas: el Alto Comisionado de las Islas Feroe (Rigsombudsmanden), el Tribunal de las Islas Feroe (Sorenskriveren), el Comisionado de las Islas Feroe (Politimesteren på Færøerne), los servicios penitenciarios y de libertad condicional de las Islas Feroe (Kriminalforsorgens afdeling), el Mando Militar de las Islas Feroe (Færøernes Kommando) y el Inspector Médico Jefe de las Islas Feroe (Landslægen). Considerando 6 🤜

☂️¿Tiene una autoridad de protección de datos?: Sip, el Comisario de Protección de Datos. Considerando 6. 👍

☂️¿Hay garantías por si no cumple?: las mismas que para el caso de Suiza o de cualquier otro país, porque esa parte es la misma para todos. Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera. La Comisión se obligaba a vista desde su promulgación para ver si ha cumplido o no, pero hasta ahí. Artículo 4. 👎

Andorra – Del 2010 con YouTubers esquiando en pistas libres de impuestos

En el país de los YouTubers, streamers y seguidores del Tío Gilito en general, también hay protección de datos. En 2021, Andorra estrenó su nueva ley de protección de datos más adaptada al RGPD, pero, al igual que en el caso de Argentina, no supuso que se dictara nueva Decisión de Adecuación.

☂️¿Afecta a todos los niveles de la normativa?: parece, pero no se aclara. 🤜

☂️¿Afecta al sector público y privado?: parece, pero no se aclara. 🤜

☂️¿Tiene una autoridad de protección de datos?: Sip, la Agencia de Protección de Datos de Andorra. Considerando 10. 👍

☂️¿Hay garantías por si no cumple?: las mismas que para el caso de Suiza o de cualquier otro país, porque esa parte es la misma para todos. Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera (la nueva ley vigente parece que está mucho más cerca del RGPD). Hace una versión light de la advertencia argentina de que esta decisión se condiciona a lo que han dicho las autoridades en sus explicaciones y garantías: “La presente Decisión tiene en cuenta esas explicaciones y garantías, y está por tanto condicionada a ellas.” 👎

Israel – Del 2011 con Krav Magá

Ese país con empresas demasiado intensas con el tema del reconocimiento facial y sus posibilidades peregrinas, tal y como puede constatar Mercadona con su maravillosa sanción de 2,5 millones por el proyecto piloto del reconocimiento facial de los amantes de lo ajeno. ¿Qué podía salir mal con un sistema que acababa tratando la imagen de cualquiera que fuera a una de las cadenas de supermercados con más afluencia de España para cotejar y detectar a los “interesantes”? Decisión 2011/61/UE.

☂️¿Afecta a todos los niveles de la normativa?: parece, pero no se aclara. No da mucha confianza que se diga que el ordenamiento jurídico de Israel carece de Constitución escrita, pero su Tribunal Supremo hizo un apaño (como nuestro TC con el artículo 18.4 de la CE que se sigue sin entender) para decir que hay unas “leyes fundamentales” que tiene rango constitucional. Tanto monta, monta tanto. 🤜

☂️¿Afecta al sector público y privado?: parece, pero no se aclara. 🤜

☂️¿Tiene una autoridad de protección de datos?: Sip, la Agencia Israelí responsable del Derecho, la Información y la Tecnología (ILITA). Considerando 10 👍.

☂️¿Hay garantías por si no cumple?: las mismas que para el caso de Suiza o de cualquier otro país, porque esa parte es la misma para todos. Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera. 👎 . Se reitera el punto (no incluido en todas) de que “La presente Decisión tiene en cuenta esas explicaciones y garantías, y está por tanto condicionada a ellas.”

Se añade de cosecha propia una referencia al movidón territorial con tintes de derecho internacional de difícil encaje de que se aplicará, se entenderá a la aplicación de la Directiva: “sin perjuicio de la situación de los Altos del Golán, la Franja de Gaza y Cisjordania, incluido Jerusalén Este”. ¿Si el servidor se ubica allí, entonces ya no es kosher o qué pasa? 👎

Uruguay – Del 2012 de un país que debe ser guay (Homer dixit)

Nada especial con Uruguay, ese otro país hispano hablante allende los mares que cierra el selecto grupo de 2 que tienen Decisión de Adecuación. Decisión 2012/484/UE

☂️¿Afecta a todos los niveles de la normativa?: parece, pero no se aclara. 🤜

☂️¿Afecta al sector público y privado?: parece, pero no se aclara. 🤜

☂️¿Tiene una autoridad de protección de datos?: Sip, la Unidad Reguladora y de Control de Datos Personales (URCDP). Considerando 10 👍.

☂️¿Hay garantías por si no cumple?: las mismas que para el caso de Suiza o de cualquier otro país, porque esa parte es la misma para todos. Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera. La Comisión se obligaba a vista desde su promulgación para ver si ha cumplido o no, pero hasta ahí. Artículo 5. 👎

Nueva Zelanda – Del 2012 con Kiwis Decisión 2013/65/UE.

El país del triple kiwi: la fruta, el pájaro y el gentilicio coloquial.

☂️¿Afecta a todos los niveles de la normativa?: Sí, pero con las movidas del common law al ser un miembro de Commonwealth y tener de jefe de estado a Carlos III (¿el menos feo con ese nombre regio?)

☂️¿Afecta al sector público y privado?: Sí, pero con la escapada no aclarada y un poco jeta tal cual está expresada de “con algunas excepciones de interés público específicas que cabe esperar en una sociedad democrática”. Considerando 7 👍 tirando a 🤜

☂️¿Tiene una autoridad de protección de datos?: Sip, el Privacy Commissioner. Anexo 👍.

☂️¿Hay garantías por si no cumple?: las mismas que para el caso de Suiza o de cualquier otro país, porque esa parte es la misma para todos. Artículos 3 y 4. 🤜

☂️¿Agujeros u omisiones?: que no está adaptada al RGPD y ni se la espera. La Comisión se obligaba a vista desde su promulgación para ver si ha cumplido o no, pero hasta ahí. Artículo 5. 👎

Japón – Desde el 2019 con resaca de sake por el RGPD

Entramos en el selecto grupo de las tres decisiones que están bajo el paraguas del RGPD. ¿Serán mejores que la anteriores, igual o peores? Decisión 2019/419/UE.

☂️¿Afecta a todos los niveles de la normativa?: Parece que sí, pero lo mollar es lo que viene en los siguientes puntos. 👎

☂️¿Afecta al sector público y privado?: No, lo público no es objeto del ámbito de aplicación. Considerando 10. 👎.

Y, además, no afectaría a los siguientes responsables y finalidades. Artículo 1.2 👎

  • “Los organismos de radiodifusión, los editores de periódicos, las agencias de comunicación u otras organizaciones de prensa (incluidos los particulares que ejercen actividades de prensa), en la medida en que traten datos personales para la prensa;
  • Los escritores profesionales, en la medida en que manejen datos personales;
  • Las universidades y otras organizaciones o grupos relacionados con los estudios académicos, o cualquier persona adscrita a una organización de este tipo, en la medida en que traten datos personales con fines académicos;
  • Las instituciones religiosas en la medida en que traten datos personales con fines religiosos (incluidas todas las actividades afines), y
  • Los organismos políticos en la medida en que traten datos personales con fines políticos (incluidas todas las actividades afines).”

☂️¿Está adaptado al RGPD?:, pero la normativa japonesa no demasiado 👎. Tiene una distinción muy Groucho Marx al desglosar en dos conceptos el dato personal. Considerandos 18 y 19:

  • Información personal: “toda información relativa a una persona viva que permite su identificación”. A este tipo solo le afectan algunas disposiciones de la norma japonesa de protección de datos.
  • Dato personal: “la información personal que constituye una base de datos de información personal”.

Y, más chungo, que la Decisión va apuntalada sobre el cumplimiento de dos anexos que meten con calzador para cubrir el agujero que separa ambas normativas. Y al estilo del Privacy Shield de que las empresas las cumplan muy bien (ya sabemos cómo acabó). Por ejemplo:

  • Datos de categoría especial;
  • Accesos de las autoridades japonesas a lo NSA;
  • Matización de conservación;
  • Restricción de cesiones; O
  • ¿Cuándo se puede llamar anónima a la información?

☂️¿Tiene una autoridad de protección de datos?: Sip, La Comisión de Protección de la Información Personal. Considerando 11. 👍. Espero que no sea solo de la parte que ellos llaman “información personal”.

☂️¿Hay garantías por si no cumple?: las mismas de siempre. En este caso la Comisión se compromete a revisarla en dos años, y desde ahí cada cuatro años. Artículo 3. 🤜

☂️¿Agujeros u omisiones?: Que por todo lo dicho la Comisión Europea lo fía a rezar a la virgen de las transferencias para que no pase nada. Como siempre. 👎

Reino Unido -. Del 2021 con divorcio contencioso

Vamos con la del Reino Unido que ya dio que hablar por antes de dictarla se dio una prórroga provisional sujetada a que Boris no tocara la versión UK del GDPR. Decisión de 28 de junio de 2021.

☂️¿Afecta a todos los niveles de la normativa?: Sí, pero tiene algunos agujeros, como, por ejemplo, que no afecta a inmigración al aplicar una excepción concreta porque ….. patata, pero sobre la cual hay movida porque el Tribunal de Apelación de Inglaterra y Gales (paree un único órgano) ha determinado que no tiene las garantías suficientes que la versión UK del RGPD exigiría para este tipo de tratamiento. Considerando 6. 👎

☂️¿Afecta al sector público y privado?: Sí, pero no es nada novedoso porque la norma marco es casi la misma. Lo problemático no es tanto lo que diga en una Decisión de Adecuación que la Comisión Europea está interesada en sacar, sino lo que hagan después los británicos con sus idas de olla de tumbar el GDPR UK objeto de valoración y sustituirlo por una castaña. 👎

☂️¿Está adaptado al RGPD?: Sí, a la versión paralela del RGPD que hizo para el divorcio. El problema es que, aunque la Comisión Europea da por supuesto que la protección de datos es un derecho fundamental en UK porque la Carta Europea de Derechos Humanos fue ratificada e incorporada en la Ley de Derechos Humanos Británica (sus tribunales le han dado valor constitucional y se entiende la protección de datos a este nivel por colgar del derecho al respeto de la vida privada y familiar de la Carta), Gloria González Fuster nos recuerda a todos los interesados que da un poco igual a efectos.  👎

☂️¿Tiene una autoridad de protección de datos?: La conocida Information Commissioner’s Office (ICO). 👍

☂️¿Hay garantías por si no cumple?: un poco las mismas, pero con el buen tino de incluir una fecha de caducidad a junio de 2025 si no se renueva (cuatro años impepinables). 👍

☂️¿Agujeros u omisiones?: En el considerando 4 la Comisión Europea recuerda la regla, basada en lo dispuesto por el TJUE de que no es estrictamente necesario que el tercer país tenga un nivel idéntico al de la UE, sino que sea eficaz y responda a lo que tiene que responder. El problema es que la Comisión Europea utiliza con demasiada alegría esta regla y luego nos chafa a todos cuando el TJUE le tira abajo el castillo de arena: “Como ha aclarado el Tribunal de Justicia de la Unión Europea, esto no exige que se encuentre un nivel de protección idéntico. En particular, los medios a los que recurre el tercer país en cuestión para proteger los datos personales pueden diferir de los empleados en la Unión Europea, siempre que resulten, en la práctica, eficaces para garantizar un nivel de protección adecuado. Por lo tanto, el criterio de adecuación no exige una réplica puntual de las normas de la Unión. La prueba consiste más bien en determinar si, a través del contenido de los derechos de protección de datos y de su aplicación, supervisión y cumplimiento efectivos, el sistema extranjero en su conjunto ofrece el nivel de protección requerido”.

También, la posibilidad de que las entidades sometidas a solicitudes por seguridad nacional puedan pedir una especie de certificado con una validez no superior a 5 años con datos de categoría especial.  Se dice que la existencia de este certificado no evita que el ICO investigue, que se puede acudir a los tribunales y que no sirve como justificación de nada, pero tiene peligro el planteamiento. Considerando 129, 130 y 131. 👎 https://ico.org.uk/about-the-ico/our-information/national-security-certificates/

Se hace un análisis pormenorizado del acuerdo entre Estados Unidos y el Reino Unido en materia de trasferencia de datos por seguridad nacional que está muy bien, pero de poco sirve si luego bajo la mesa hacen lo que quieren. 👎

Corea del Sur – Del 2021 con eSports

Del país en el que los jugadores profesionales de videojuegos son como nuestros futbolistas, tenemos la decisión más actualizada de todas. Nótese que las de hasta el RGPD tenía como 4-6 páginas y estas tres últimas han ido en crescendo: 58, 93 y 122. Decisión de 17 de diciembre de 2021

☂️¿Afecta a todos los niveles de la normativa?: Tienen por Corea del Sur una ley general y dos especiales: La Ley de Protección de la Información Personal (PIPA); – la Ley de Uso y Protección de la Información Crediticia y la Ley de Protección de la Privacidad de las Comunicaciones. Considerando 10. 👍

☂️¿Afecta al sector público y privado?: Como en Japón, se excluyen de la normativa de protección de datos lo público en cuatro puntos. Considerando 27 a 30 👎:

  • Exención parcial para el tratamiento por parte de la administración. Casi siempre coreanos, pero se deja la puntilla de que ocasionalmente puede haber algún no coreano por ahí tratado;
  • Por seguridad nacional con referencia a tratamiento mínimo, proporcional y etc; y
  • Tratamiento temporal de datos personales cuando sea urgentemente necesario por razones de seguridad pública, incluida la salud pública. Se ponen como ejemplos cosas que han pasado, pero se dice que nunca se ha utilizado: rastrear agentes infecciosos, o para rescatar y ayudar a las víctimas de catástrofes naturales.

☂️¿Está adaptado al RGPD?: Sí, pero con sus cosas 👎

☂️¿Tiene una autoridad de protección de datos?: la Comisión de Protección de Datos de la Información Personal (PIPC). 👍

☂️¿Hay garantías por si no cumple?: Las de siempre. 🤜

☂️¿Agujeros u omisiones?: Un poco lo mismo que en Japón. La Decisión está apuntada al cumplimiento de dos anexos en términos parecidos a los japoneses. 👎

Del 2023 tenemos al transatlántica de Estados Unidos (DPF) – Regusto a escudo oxidado

Siguiendo la tradición de las posteriores al RGPD, es un ladrillo de más de 100 páginas, pero ¿será buena o mejor que las post-RGPD?, ¿será mejor que el difunto Privacy Shield?, ¿Schrems se lo habrá leído ya, o ha tenido acceso anticipado como los influencers?. Vamos a verlo. En su momento, tuvimos la Propuesta de Decisión de 13 de diciembre, y ahora nos llega la propia decisión de adecuación aprobada por la Comisión Europea el 10 de julio. De una a otro no hay tanto cambio, aunque tampoco se esperaba que hubiera mucho.

☂️¿Afecta al sector público y privado y qué hay de nuevo?: Técnicamente, a los dos por lo que ya sabemos todos. Repite el modelo de ser un marco de certificación anual y publicidad de la adhesión al estilo del Privacy Shield, o sea, que solo alcanza a las que se certifiquen, aunque más bien de auto certificación controlada por el Departamento de Comercio.  Se mirarán cosas como el tener política de privacidad con enlace válido a formulario de reclamación o entidad alternativa de resolución de litigios, que se tiene una política de privacidad publicada y más cositas que nos cuenta en el anexo III (Sí, la mitad de la decisión son anexos como en la demás). Considerandos 9, 48 a 52 🤜

Si han corrido tanto con la decisión, entonces la web de este nuevo “DPF” ya estaría en funcionamiento, ¿no?. Pues la verdad es que nope, es una copia muy copia de la del privacy shield que pone “Privacy Shield”, tiene un banner de “página en construcción” y te redirige a la del privacy. Triplete: 👎 👎 👎

Como feliz ocurrencia, en el apartado 6.e del anexo I se da la posibilidad de que los proveedores que ya estuvieran certificados en el Privacy Shield, puede acogerse automáticamente al nuevo si actualizan la política de privacidad en un plazo máximo de 3 meses desde la entrada en vigor del mismo, o sea, el 10 de octubre. Un buen quiebro que explica un poco el porqué han mantenido el Privacy Shield vivo cuando ya no tenía el valor por el que se constituyó. 👎

Excepciones: parece que los datos para fines de publicación, difusión u otras formas de comunicación pública (matiza en el ámbito periodístico) y la información contenida en material previamente publicado. Considerando 10. 👍 porque ya está perdido como lágrimas en la lluvia del multiverso.

Lo que no se escapa: los datos de investigación seudonimizados o cifrados, aun cuando el importador norteamericano no conozca la clave. Entiendo que esto aplicaría a cualquier información cifrada. Considerando 11. 🤜

Recordatorio de la obligación de los importadores de tener un contrato de ET, seguir las instrucciones del responsable europeo y de firmar contrato por sus subproveedores. Lo malo es que no obliguen (especialmente a los grandes) a que el contrato se firme con vuelta, a que puedas proponer cambios, a poder darles instrucciones como responsable y no lo que ya se mete en el contrato tipo a que te den en pdf, la documentación de prueba que te racanean con enlaces en sus webs, a que no te puedan decir que no responden cuestionario basados en tu competencia del 28.1 de hacerles preguntas,  o a que te informen del cambio de subproveedores sin que tengas que suscribirte a una dichosa newsletter. Considerando 12. 🤜 tirando a 👎

¿Derecho a no ser objeto de decisión automatizadas?. Parece. “En cualquier caso, en los ámbitos en los que es más probable que las empresas recurran al tratamiento automatizado de datos personales para tomar decisiones que afectan al individuo (por ejemplo, préstamos ofertas de hipotecas, empleo, vivienda y seguros), la legislación estadounidense ofrece protecciones específicas protección contra las decisiones adversas. Estas leyes suelen establecer que los individuos tienen derecho a ser informados de las razones específicas que subyacen a la decisión (por ejemplo, la denegación de un crédito), a impugnar la información incompleta o inexacta (así como información incompleta o inexacta (así como a basarse en factores ilícitos), y a solicitar reparación. En el ámbito del crédito al consumo, la Fair Credit Reporting Act (FCRA) y la Equal Credit Opportunity Act (ECOA) contienen (ECOA) contienen salvaguardias que ofrecen a los consumidores algún tipo de derecho a una explicación y a impugnar la decisión. a impugnar la decisión……”. 👍 Considerando 35.

Garantías en las transferencias sucesivas (onward transfers): un poco de papel al igual que las obligaciones como ET de antes. Se añade que el Departamento de Comercio (DoC) tendrán potestad inspectora del contrato suscrito, pero es una garantía más de salón, me temo. Considerandos 37 a 43 🤜 tirando a 👎

¿Cómo deja a las SCCs o BCRs que ya existieran?: uno de los puntos más interesantes es el que se pilla bien en el apartado 7 de las preguntas frecuentes que han salido a la par que la decisión, pero luego un poco más velado y a rebuscar en el propio texto: el hecho de que en las transferencias a Estados Unidos seguirán valiendo las SCCs o BCRs si gusta de ir por ahi, y que esta decisión sirve para apuntalar la parte peliguada de los accesos por parte de las autoridades nacionales, la valoración de la normativa de seguridad nacional y que salga positivo el análisis (si se respeta todo lo establecido en la decisión). Esta parte no parece mal, así que vamos a ser positivo.  👍

Nota a pie de página 15, considerando 55 y punto 10.b.i del Anexo 1, respectivamente

“La presente Decisión no afecta a los requisitos del Reglamento (UE) 2016/679 que se aplican a las entidades (responsables y encargados del tratamiento) de la Unión que transfieren los datos, por ejemplo, sobre limitación de la finalidad, minimización de datos, transparencia y seguridad de los datos (véase también el artículo 44 del Reglamento (UE) 2016/679)”.

“En otros casos de supresión, como la retirada voluntaria de la participación o la falta de recertificación, la organización debe suprimir o devolver los datos, o puede conservarlos, siempre que afirme anualmente al Departamento de Comercio su compromiso de seguir aplicando los principios o proporcione una protección adecuada de los datos personales por otro medio autorizado (por ejemplo, utilizando un contrato que refleje plenamente los requisitos de las cláusulas contractuales tipo pertinentes aprobadas por la Comisión).”

“Cuando la información personal se transfiere entre dos responsables del tratamiento dentro de un grupo controlado de sociedades o entidades, no siempre es necesario un contrato en virtud del Principio de responsabilidad de las transferencias ulteriores. Los responsables del tratamiento dentro de un grupo controlado de corporaciones o entidades pueden basar dichas transferencias en otros instrumentos, como las Normas Corporativas Vinculantes de la UE u otros instrumentos intragrupo (por ejemplo, programas de cumplimiento y control), garantizando la continuidad de la protección de la información personal en virtud de los Principios. En caso de tales transferencias, la organización participante seguirá siendo responsable del cumplimiento de los Principios.”

Posibilidad de recurso: uno de los puntos negros a cubrir. Se obligará a los importadores a dar información clara y un mecanismo al interesado para reclamar. Lo raro empieza por el hecho de que se permitirá optar a estos por un mecanismo de resolución independiente y solo se obliga a cooperar con las DPAs europeas si el tratamiento versa sobre datos de RRHH.

Luego se completa con la posibilidad de que puedes reclamar directamente ante tu DPA, el Departamento de Comercio, la Comisión de Comercio como medida de última ratio acudir al panel del Marco de Privacidad de Datos UE-EE.UU (la cooperación en el escudo iba regular), o somera mención a los tribunales por vía de consumo como quien no quiere la cosa.

Todo esto parece descafeinado y no tan contundente y fácil como debería ser. Considerandos 65 a 87 y 175 a 200. 🤜 porque luego se incide en mecanismos recursos que deberían estar comentadas en la misma sección de la Decisión y hace todavía más raro pillarlo.

Recurso judicial: de manera separada, por sorpresa y casi dejándolo caer la Comisión llama la atención de dos leyes que sí permitirían un recurso ante los tribunales estadounidenses por ciudadanos del mundo, antes desmanes de sus autoridades en lo que nos interesa aquí The Freedom of Information Act (FOIA) y The Electronic Communications Privacy Act (ECPA). Considerandos 107 a 111. 👍 porque es muy bonito, pero aplauso bajito por si es un espejismo.

Acceso seguridad nacional: la Orden Presidencial de Biden (nº14086: on Enhancing Safeguards for United States Signals Intelligence setting limitations and safeguards for all U.S. signals intelligence activities) sustituye la antigua PPD-28 + cosas que suenan a aquel documento que hizo US tras Schrems II explicando que no lo hacían a lo loco: se base en ley u orden presidencial, evaluación razonable, garantías, necesidad, limitación de las “señales” y los datos mínimos. Considerando 119 a 160 👍 tirando a 🤜.

Tribunal de Revisión de Protección de Datos (DPRC): órgano salvaje apareció para recursos bajo parapeto de la Orden de Biden y la Fiscalía General como mecanismo para que el interesado pueda reclamar/denunciar ante burradas en materia de accesos indebidos por las autoridades. Parece que, con competencia real vinculante, pero ya veremos. Considerando 175 a 200. 👍

☂️¿Tiene una autoridad de protección de datos?: tenemos al Departamento de Comercio que controlará el cumplimiento de este nuevo “DPF” y a la Comisión Federal de Comercio (FTC).  👍.

☂️¿Hay garantías por si no cumple?: Las de siempre, con el añadido de 1º revisión al año + luego cuando se decida, pero al menos cada 4 años. 🤜 Nota 410 del considerando 211.

Con esto, acabamos con la divertida revisión y nada más que añadir para que no se excesivamente largo. Sean felices y tengan cuidado con las transferencias allá fuera. La de Estados Unidos en un momentáneo remanso de pazo (Schrems ya ha confirmado que lo tiene todo listo), pero las transferencias sucesivas fuera de Estados Unidos o a otros terceros países no seguros, esas siguen siendo guerra a tumba abierta.

Y como broche final, ya veremos si lo dicho aquí coincide con lo que se determine en la revisión de las decisiones de adecuación que se ha anunciado hace nada. Era casi el último sello del infierno que quedaba por abrirse.

Deja una respuesta