Seguridad

Las empresas de comercio electrónico de EE. UU. no saben nada sobre las normas de privacidad europeas

El Departamento de Comercio de EE. UU. está tratando de negociar un acuerdo para ayudar a miles de empresas estadounidenses a cumplir con las políticas diseñadas para proteger la privacidad de los ciudadanos europeos. El departamento y la Comisión Europea, una rama de la Unión Europea (UE), han iniciado discusiones para abordar las preocupaciones de privacidad planteadas por la UE, según una declaración conjunta del 10 de agosto.

El motivo de las negociaciones es que el plan del Departamento de Comercio para proteger la privacidad de los europeos, el Escudo de Privacidad, se ha derrumbado. El Tribunal de Justicia de la Unión Europea dictaminó el 16 de julio de 2020 que el programa Privacy Shield de EE. UU. era «nulo y sin efecto» porque no brindaba a los ciudadanos europeos las protecciones necesarias debido a un desafío legal del defensor de la privacidad austriaco Maximillian Schrems.

Hasta que se resuelva el problema, las empresas estadounidenses lucharán sobre cómo garantizar la privacidad de los datos personales que recopilan y procesan electrónicamente de fuentes europeas. Más de 5000 empresas participan en Privacy Shield, la mayoría de ellas pequeñas y medianas empresas.

El impacto comercial de la decisión de la UE es significativo.

«Los flujos de datos transfronterizos entre EE. UU. y Europa son los más grandes del mundo y la base de la mayor relación comercial del mundo, con un valor aproximado de 1,3 billones de dólares anuales», según un comunicado conjunto emitido por la Cámara de Comercio de EE. UU. y varios correos electrónicos. asociaciones de comercio. Los grupos dijeron que la terminación de Privacy Shield «perturbó estos flujos de datos transatlánticos» y creó «incertidumbre legal» para los participantes de Privacy Shield.

El secretario de Comercio, Wilbur Ross, dijo: «Los flujos de datos son fundamentales no solo para las empresas de tecnología, sino también para las empresas de todos los tamaños en todas las industrias».

¿Por qué las empresas estadounidenses están en problemas?

A primera vista, Privacy Shield parece ser un marco legal sustancial. De hecho, la relación entre los Estados Unidos y los países del Espacio Económico Europeo (EEE) en materia de privacidad ha sido tenue durante años. El fallo del Tribunal de Justicia de la UE marca la segunda desintegración del marco de privacidad entre EE. UU. y la UE en cinco años. Un acuerdo anterior llamado Ley de puerto seguro fracasó en 2015.

En general, los países del EEE que son parte del Reglamento General de Protección de Datos (GDPR) de la UE insisten en que los países fuera de la UE brinden un nivel de protección para los datos personales similar al nivel de protección brindado dentro de la UE.

Varios tipos de cumplimiento que permiten que los datos de la UE se transfieran fuera de la UE en virtud del acuerdo GDPR, según un análisis proporcionado a E-Commerce Times desde la UE Programa Nacional del Better Business Bureau oficina. Privacy Shield permite a las empresas de EE. UU. cumplir con uno de estos, en función de lo que se denomina una «determinación de adecuación», una decisión de los reguladores de la UE de que las leyes de privacidad en países fuera de la UE son lo suficientemente sólidas como para cumplir con los estándares de la UE.

Al registrarse e implementar las prácticas de privacidad requeridas bajo esta única herramienta, las empresas estadounidenses pueden procesar los datos de los consumidores de la UE en los Estados Unidos. Además, el Escudo de privacidad difiere de otro mecanismo llamado Cláusulas contractuales estándar (o SCC), que proporciona requisitos adicionales de transparencia y responsabilidad. El análisis señala que Privacy Shield también es un mecanismo de cumplimiento más amplio que un contrato entre dos empresas.

El Tribunal de Justicia de la Unión Europea destaca obstáculos entre Europa y Estados Unidos. Los europeos afirman que la ley de los EE. UU. no proporciona a los ciudadanos europeos el mismo nivel de protección del debido proceso que a los ciudadanos de los EE. UU. con respecto a los datos personales que pueden obtener las agencias de seguridad nacional y de aplicación de la ley de los EE. UU.

El resultado es que las empresas estadounidenses se ven atrapadas en un tiroteo entre entidades gubernamentales. Myron Brilliant, vicepresidente ejecutivo de la Cámara de Comercio de EE. UU., dijo que la decisión de Europa de invalidar el Escudo de privacidad «no está relacionada con el uso comercial de los datos, sino con las preocupaciones sobre el posible acceso del gobierno».

Encontrar soluciones trae desafíos

Mientras las entidades gubernamentales intentan idear soluciones, las empresas estadounidenses tendrán que hacer todo lo posible para cumplir con los estándares del RGPD. no es tan simple

Una opción para las empresas estadounidenses es utilizar medidas de «localización» de datos.Se trata de «regulaciones que obligan a las empresas a almacenar y procesar datos en servidores ubicados físicamente dentro de las fronteras nacionales», según Grupo Albright Stonebridge.

Una segunda opción para las empresas estadounidenses es confiar en el acuerdo SCC. Pero la decisión de la UE hace que sea más difícil desarrollar un SCC apropiado. En lugar de utilizar algún modelo legal general, dichos acuerdos ahora deben volverse más específicos en función de los requisitos de cada país y la naturaleza y el uso de los datos recopilados.

La socia de la UE, Lisa Soto, dijo que la decisión de la UE imponía una «carga adicional significativa» a las empresas estadounidenses sobre ambas opciones. Hendon Andrews Coulter.

«La única apuesta segura es localizar completamente los datos en el EEE. Para la mayoría de las empresas, esto no es económicamente viable, por lo que si confían en la certificación del Escudo de privacidad para legitimar las transferencias, ahora están luchando para proteger los datos. La transmisión desarrolla soluciones alternativas», dijo Soto. Tiempos de comercio electrónico.

«Si las empresas confían en SCC, ahora deberán realizar una evaluación del riesgo de transferencia y es posible que tengan medidas de seguridad adicionales. Decir que fue un desastre sería quedarse corto», agregó.

Algunos expertos legales creen que un mejor cifrado ayudará a las empresas estadounidenses, y las preocupaciones sobre el acceso a los datos por parte de las agencias de seguridad nacional están algo limitadas por la ley estadounidense. La sentencia del Tribunal de Justicia de la Unión Europea ha sido examinada rigurosamente por expertos legales, con un análisis e interpretación matizados de la sentencia. Pero esto subraya la noción de que redactar un SCC puede representar una carga legal y de cumplimiento significativa para una empresa.

El argumento del Tribunal de Justicia de la UE de que el uso de SCC «pone en duda» pone a las empresas estadounidenses en mayor riesgo, según un análisis del Programa Nacional BBB. De hecho, algunos reguladores europeos, conocidos como autoridades de protección de datos (DPA), han expresado su preocupación sobre la viabilidad del SCC.

«La incertidumbre será la norma para las transferencias de datos entre la UE y EE. UU. hasta que los reguladores europeos aclaren las normas introducidas por el Tribunal de Justicia de la UE. Dado que el Brexit se aplicará por completo a finales de este año», dijo Cobun Zweifel-Keegan, diputado director de la Iniciativa de privacidad para los programas de país de BBB, por lo que también existe una incertidumbre adicional sobre las transferencias de datos del Reino Unido a los EE. UU.

«El statu quo después de la decisión de Schrems es que todos los mecanismos de transferencia reconocidos por la ley de la UE ahora requieren pasos legales, operativos y técnicos adicionales para tener la oportunidad de cumplir con los requisitos bajo el nuevo estándar», dijo a E-Commerce Times. «A la espera de una mayor claridad, las empresas seguirán trabajando para demostrar su cumplimiento, incluida la implementación de los tipos de prácticas requeridas por el Escudo de privacidad», agregó.

negociaciones en curso

Mientras continúan las negociaciones entre los EE. UU. y Europa, el Departamento de Comercio de los EE. UU. continuará ejecutando el Escudo de privacidad, con la esperanza de que las discusiones conduzcan a cambios viables en el programa. Soto de Hunton Andrews Kurth dijo que cualquier empresa en el esquema podría retirarse, pero no era aconsejable.

«Los Principios del Escudo de Privacidad continúan sirviendo como un marco sólido para la protección de los datos personales. Además, Suiza continúa adhiriéndose al Marco de Escudo. Por lo tanto, tiene sentido que las empresas permanezcan certificadas por Shield.

«Ciertamente se espera que las discusiones diplomáticas sean exitosas y que las empresas certificadas por Shield eventualmente puedan usar Shield nuevamente como un mecanismo para transferir legalmente datos personales del EEE a los Estados Unidos», señaló Soto.

LEER  Secuestro de cuenta de objetivos de Instagram

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba