Cloud Act y RGPD

Cloud Act y RGPD
octubre 7, 2020| Protección de datos

✔ En el presente artículo analizaremos la US Clarifying Lawful Overseas Use of Data Act (US CLOUD Act) sobre el marco jurídico europeo de protección de datos personales.

Transferencias internacionales entre la CLOUD ACT y RGPD

La evaluación jurídica inicial adjunta se centra en este contexto específico de las solicitudes presentadas por las autoridades policiales de los Estados Unidos en virtud de la CLOUD ACT y RGPD, para fines de investigación penal. Se basa en el actual marco jurídico de protección de datos de la Unión Europea y, por lo tanto, está sujeta a su interpretación exacta. No excluye ninguna conclusión que pueda extraerse en otros contextos ni ninguna mejora jurídica futura cuando sea necesario. El Reglamento general de protección de datos 2016/679 contiene, en particular, una importante disposición que tiene por objeto regular «las transferencias o divulgaciones no autorizadas por el Derecho de la Unión» y constituye un elemento importante del actual conjunto de normas que enmarcan las divulgaciones y transferencias de datos personales de la UE a terceros países (artículo 48).  También queremos recordarles que el RGPD también contiene una serie de excepciones para las transferencias en situaciones específicas que deben ser objeto de una interpretación estricta (Artículo 49). El EDPB considera que en la actualidad, a menos que se reconozca una orden judicial de los Estados Unidos de América o se haga ejecutable sobre la base de un acuerdo internacional, no se puede determinar la legalidad de esas transferencias de datos personales, sin perjuicio de las circunstancias excepcionales en que el tratamiento sea necesario para proteger los intereses vitales del interesado.

El tratado de asistencia jurídica mutua y CLOUD ACT Y RGPD

El Tratado de Asistencia Jurídica Mutua ya en vigor entre la UE y los Estados Unidos, como instrumento jurídico destinado principalmente a facilitar la cooperación judicial, sólo contiene disposiciones muy limitadas pertinentes desde el punto de vista de la protección de datos. Por lo tanto, el EDPB y el EDPS desean subrayar la urgente necesidad de tramitar las solicitudes en la práctica. A fin de proporcionar un nivel de protección de datos mucho mejor, esos MLAT actualizados deberían contener salvaguardias de protección de datos pertinentes y firmes como, por ejemplo, garantías basadas en los principios de proporcionalidad y minimización de datos. Además, debe preservarse el «principio de doble incriminación», que ofrece una salvaguardia contra la discrepancia entre la forma en que se define un delito en el derecho extranjero y la forma en que se define legalmente el mismo delito en el derecho de la Unión Europea.

La EDPB observa que la Comisión Europea ha entablado recientemente negociaciones con los Estados Unidos de América sobre un acuerdo internacional que se ocupa precisamente de las solicitudes de acceso transfronterizo a las pruebas electrónicas. El mandato de negociación pertinente, junto con directrices de negociación más específicas, fue aprobado por el Consejo el 27 de mayo de 2019. Se recuerda que, por supuesto, ese acuerdo internacional también debe contener suficientes salvaguardias adecuadas de protección de datos y cumplir la legislación de la Unión Europea.  A la luz de lo anterior, el EDPB subraya la importancia de un acuerdo global entre la Unión Europea y los Estados Unidos sobre el acceso a las pruebas electrónicas, que contenga sólidas salvaguardias procesales y de derechos fundamentales sustantivos, para garantizar el nivel necesario de protección de los titulares de datos de la Unión Europea y la seguridad jurídica de las empresas que operan en ambas jurisdicciones.

✔️ Si aún dudas, ¡estás en el sitio correcto! El «Grupo Adaptalia» te resuelve cualquier interrogante en el cumplimiento normativo legal, tecnológico y de organización de su compañía. Somos especialistas en 【PROTECCIÓN DE DATOS | LSSI | COMPLIANCE PENAL | LPBC-F】
✔️ Nuestra «Consultoría en Protección de Datos» es la solución perfecta para que nada te inquiete. Nuestras herramientas y servicios se adaptan completamente a tus necesidades.

Condiciones del tratamiento de información en US con la Cloud act y RGPD

También se destaca la necesidad de un enfoque a nivel de la UE. En este contexto específico, dado que los operadores que se encuentran bajo la jurisdicción de los Estados Unidos procesan y almacenan cantidades masivas de datos de comunicaciones electrónicas y que las solicitudes de acceso directo enviadas por las autoridades de los Estados Unidos probablemente afecten a cualquier Estado miembro, es esencial adoptar un enfoque a nivel de la Unión Europea para evitar las posibles consecuencias negativas de un mosaico fragmentado de acuerdos ejecutivos bilaterales no armonizados entre los Estados Unidos y los Estados miembros de la Unión Europea que se celebrarían en virtud de la CLOUD ACT y RGPD de los Estados Unidos.

Por último, un enfoque a nivel de la UE debería, por una parte, ser coherente: las condiciones en las que las autoridades policiales de los Estados Unidos podrían obtener datos personales almacenados en la UE no deberían ser más indulgentes/flexibles que las condiciones en las que las autoridades policiales de la UE obtienen datos en la UE. Por otra parte, ese enfoque debe ser recíproco: las condiciones para que las autoridades estadounidenses accedan a los datos personales almacenados en la UE deben tener en cuenta las condiciones que deben cumplir las autoridades policiales de la UE para solicitar datos en los Estados Unidos, de modo que las personas de ambos lados del Atlántico disfruten de salvaguardias y protecciones similares. Es necesario realizar un análisis más detallado con respecto a otras situaciones específicas y otras cuestiones planteadas en esta evaluación jurídica.

Más información y fuente

Para más información puede consultar el siguiente enlace en formato .PDF: cartas de la Comisión LIBE al SEPD y al EDPB relativas a la evaluación jurídica de el impacto de la Ley de Nube de EE. UU. en el marco legal europeo para la protección de datos personales▸Estimado lector, ¡¡gracias por su tiempo!!

Suscribete a nuestra Newsletter