¿A qué obedece la falta de coherencia entre las leyes de privacidad de datos de los EE. UU. y de la UE?

Por: Gregory Voss, Profesor Asociado, TBS Education (Toulouse, Francia)

Artículo publicado originalmente en el blog del University of Illinois Journal of Law, Technology & Policy (JLTP). La entrada original del blog se puede encontrar aquí.

Mi artículo “Obstacles to Transatlantic Harmonization of Data Privacy Law in Context” (Obstáculos a la armonización transatlántica de la legislación sobre privacidad de datos en contexto) aparecerá en el próximo número de otoño de 2019 de la revista de la Universidad de Illinois Journal of Law, Technology & Policy (JLTP). Existe una versión preliminar del artículo aquí. Este artículo, además de ser una introducción a las cuestiones de privacidad y protección de datos, ayudará a los lectores a comprender la divergencia paradójica entre las leyes de privacidad de datos de los EE. UU. y la UE a partir de un conjunto de principios comunes (FIPP, por sus siglas en inglés — Fair Information Practices Principles) que definieron la primera legislación.

Se trata de un estudio que ha cobrado importancia por distintos motivos. En primer lugar, porque el nuevo Reglamento General de Protección de Datos (RGDP) de la Unión Europea se rige por el principio de extraterritorialidad. Es decir, incluso las empresas que están establecidas fuera de las fronteras europeas pueden verse obligadas a respetar el RGDP en el marco del tratamiento de datos personales de los residentes de la UE, si dicho tratamiento está relacionado con la oferta de bienes o servicios —ya sea a cambio de una contraprestación económica o a cambio de datos personales— a dichos residentes de la UE, o si se lleva a cabo un seguimiento del comportamiento de dichos residentes de la UE dentro de la Unión Europea, por ejemplo, en relación con el marketing comportamental. En este contexto, las empresas están enzarzadas en cuestiones de cumplimiento además de enfrentarse al dilema de si deben tratar la información de los clientes de los EE. UU. con menos protección que la de sus homólogos de la UE, al ser las leyes de privacidad de datos de los EE. UU. desiguales, o si deben aplicar la norma más estricta en todo el mundo. Dado que la globalización tiende a exigir la implementación de normas jurídicas armonizadas, cabe esperar que los debates en curso en los EE.UU. sobre la nueva legislación federal de privacidad se decanten por el principio de igualdad.

Sin embargo, este artículo ayudará a las empresas a comprender por qué es improbable que los debates resulten en normas jurídicas armonizadas, y también señalará esta divergencia como la razón por la que los europeos no consideran adecuadas las normas de privacidad de los Estados Unidos, lo que lleva a exigir que determinadas empresas se adhieran al Escudo de Privacidad UE – EE. UU (Privacy Shield), un marco para el intercambio de datos personales con fines comerciales entre la Unión Europea y los Estados Unidos negociado entre las dos partes interesadas, para recibir transferencias transfronterizas de datos personales de los residentes de la UE (por ejemplo, en relación con la prestación de servicios en la nube u otros servicios de procesamiento).

En segundo lugar, en cuanto a los debates al otro lado del Atlántico, este artículo se centra en los motivos que resultan de la mencionada divergencia, un extremo que, hasta cierto punto, podría ser abordado por el legislador en un nuevo texto legislativo. Si bien es difícil que veamos la plena armonización, podría decirse que tampoco es ese un paso necesario para que la Unión Europea encuentre un sistema jurídico que ofrezca una protección adecuada de los datos, permitiendo así las transferencias transfronterizas de datos sin el marco del Escudo de Privacidad. No obstante, la vigilancia masiva ejercida por los EE. UU. podría impedir dicho nivel de adecuación. Además, mientras que en este artículo los comentarios sobre los grupos de presión adquieren un tinte negativo, las empresas podrían optar por apoyar las leyes armonizadas, facilitando así el cumplimiento a través de la actividad política corporativa en apoyo de la legislación como el GDPR.

Tras dar una explicación sobre el interés en leyes armonizadas de privacidad de datos en una economía globalizada, en la que la fragmentación de la legislación norteamericana la convierte en «atípica», el artículo ahonda en los orígenes de la ley de privacidad de datos en la década de 1970 y los consiguientes FIPPs desarrollados entre los Estados Unidos y Europa. A continuación, se exponen con detalle tres importantes frenos para la armonización transatlántica de la legislación sobre protección de datos, que vienen a ser la política de laissez-faire laissez passer y el neoliberalismo en los Estados Unidos, el poder de los grupos de presión de los gigantes de la industria tecnológica estadounidense en un sistema legislativo estadounidense que les es propicio y las diferentes disposiciones constitucionales a cada lado del Atlántico. Es posible que el primero de estos obstáculos sea objeto de debate entre los futuros candidatos a las elecciones presidenciales estadounidenses de 2020. El segundo, que implica a las empresas tecnológicas cuyos ingresos y prometedor futuro dependen de la publicidad, podría ser objeto de oposición por parte de grupos de la sociedad civil y empresas responsables de la privacidad, si es que los legisladores realmente tienen la voluntad de reformar la ley de privacidad de datos de los Estados Unidos. El último de estos obstáculos y posiblemente el más difícil de contrarrestar está relacionado con las diferentes culturas jurídicas. A pesar del optimismo de otros autores, y dados los obstáculos descritos, creo que nos contentaríamos con lo que algunos académicos han denominado el “GDPR-lite”. Sea como sea, no estaría de más la creación de una agencia de protección de datos (APD) que sea verdaderamente independiente, a diferencia de la actual APD americana de facto —la Comisión Federal de Comercio—, sobre la cual, incluso sus partidarios, comentan que necesita una reforma.

La preimpresión de este artículo ha sido citada por la periodista de política tecnológica de la UE Jennifer Baker en un artículo de la revista CPO Magazine [1]. Baker (@BrusselsGeek) twitteó que era un “Gran periódico. ¡Lo leo con interés y lo recomiendo a todos los que cubren esta área!»[2] Mi esperanza es que tú también lo leas, y que te sirva de alimento para la reflexión y quizás para la acción.

Mi más sincero agradecimiento a los editores, miembros y personal del JLTP por hacer posible esta entrada en el blog y por su ayuda durante el proceso de edición de mi artículo.

[1] Jennifer Baker, Groundhog Day for Privacy Shield Review, CPO Magazine (Sept. 24, 2019), https://www.cpomagazine.com/data-protection/groundhog-day-for-privacy-shield-review/.

[2] Jennifer Baker (@BrusselsGeek), Twitter (1:35 AM Sept. 25, 2019), https://twitter.com/BrusselsGeek/status/1176777340803846145.

Artículo completo disponible on line: W. Gregory Voss, « Obstacles to Transatlantic Harmonization of Data Privacy Law in Context”, 2019 University of Illinois Journal of Law, Technology & Policy 405-463 (Issue 2, Fall 2019): http://illinoisjltp.com/journal/wp-content/uploads/2019/11/Voss.pdf 

Etiqueta: business|Datos|Estados Unidos|legislación|Unión Europea