La Oficina del Comisionado de Información del Reino Unido (ICO) ha lanzado una consulta pública sobre su borrador de acuerdo internacional de transferencia de datos (IDTA) y la guía que lo acompaña, que tiene como objetivo ayudar a las organizaciones a proteger los datos personales de las personas cuando los envían al extranjero.
El borrador de ITAD, publicado el 11 de agosto de 2021 junto con el anuncio de la consulta, está destinado a reemplazar las cláusulas contractuales estándar (CEC) como método para salvaguardar los datos cuando se transfieren internacionalmente.
“Reconocemos la importancia de los flujos de datos internacionales para la economía digital del Reino Unido y estamos comprometidos a mantener altos estándares de protección de datos para la información personal de las personas cuando se transfieren fuera del Reino Unido”, dijo la ICO.
“Nuestro IDTA y los documentos asociados también forman parte de un paquete más amplio del Reino Unido para ayudar a las transferencias internacionales, incluido el apoyo independiente al enfoque del gobierno para las evaluaciones de adecuación de terceros países. Nuestro objetivo es brindar una mayor certeza regulatoria y ayudar a las organizaciones a cumplir con la ley “.
La OIC dijo que la consulta se dividirá en tres secciones: propuestas y planes para actualizar la guía sobre transferencias internacionales; transferir evaluaciones de riesgo; y la IDTA.
“También estamos solicitando opiniones sobre cualquier derecho de privacidad relevante, consideraciones e implicaciones legales, económicas o políticas”, dijo. “Sus respuestas nos ayudarán a comprender el impacto práctico de nuestros enfoques propuestos en sus organizaciones”.
La OIC agregó que buscará aportaciones de una variedad de partes interesadas, incluidos profesionales de la protección de datos, profesionales del derecho, corporaciones multinacionales y grupos de la sociedad civil.
“Los aportes en esta etapa temprana pueden marcar una diferencia significativa, ya que usaremos las respuestas que recibamos para informar nuestro trabajo en el desarrollo de los documentos finales”, dijo. “Para responder a esta consulta, descargue y complete el documento de consulta y el documento de preguntas antes de las 5:00 p. M. Del jueves 7 de octubre de 2021”.
La ICO anunció originalmente su plan para crear un reemplazo para los SCC en mayo de 2021 luego de la salida del Reino Unido de la Unión Europea (UE), que a su vez publicó SCC actualizados el 4 de junio.
Las SCC revisadas de la UE incluyen protecciones más sólidas para garantizar que los datos personales transferidos al extranjero no se divulguen a gobiernos y servicios de inteligencia extranjeros, incorporando específicamente los requisitos del Reglamento general de protección de datos.
La revisión de las SCC fue impulsada por el fallo de Schrems II en julio de 2020, cuando el Tribunal de Justicia de la Unión Europea (TJCE) anuló el acuerdo de intercambio de datos entre la UE y los EE. UU. Privacy Shield sobre la base de que las leyes de vigilancia de EE. UU. Significaban que EE. UU. No ofrecía privacidad. protecciones equivalentes a las de la legislación de la UE.
Específicamente, el tribunal determinó que las leyes estadounidenses no eran proporcionadas y iban más allá de lo estrictamente necesario.
El fallo, conocido coloquialmente como Schrems II en honor al abogado austríaco que llevó el caso al TJCE, también arrojó dudas sobre la legalidad del uso de SCC como base para las transferencias internacionales de datos, encontrando que aunque estos eran legalmente válidos, las empresas aún tenían una responsabilidad. para garantizar que aquellos con quienes compartieron los datos gozaron de protecciones de privacidad equivalentes a las contenidas en la legislación de la UE.
Como resultado del fallo, ahora es un requisito según la ley de protección de datos del Reino Unido realizar una evaluación de riesgos antes de transferir datos a nivel internacional.
“La IDTA no puede proporcionar salvaguardas para todos los riesgos en todos los condados”, dijo la ICO en su guía de TRA. “Por lo tanto, antes de poder confiar en un IDTA, también debe realizar una evaluación de riesgo de transferencia [TRA] que considera todas las circunstancias de la transferencia restringida y verifica si la IDTA proporciona las garantías adecuadas para su transferencia restringida “.
En su borrador de IDTA, la ICO dijo que la TRA verifica que las leyes y prácticas locales no anulen las protecciones de la IDTA. “Esto asegura que las protecciones relevantes para los interesados de los datos transferidos sean lo suficientemente similares a las protecciones del Reino Unido”, dijo. “La orientación de la ICO sobre las TRA puede evolucionar con el tiempo en relación con los cambios en la legislación, la jurisprudencia y la revisión práctica del funcionamiento de la orientación”.
Tanto los documentos preliminares de IDTA como de TRA contienen plantillas y orientación que las organizaciones pueden utilizar para completar estos procesos y proteger los datos personales de las personas, pero estos podrían cambiar como resultado de los comentarios durante la consulta.
Las preguntas sobre estos documentos, así como la interpretación de la ICO de varios aspectos de la ley de protección de datos, se incluyen en la página web del anuncio para que las partes interesadas respondan. “Publicaremos todas las respuestas que recibamos a menos que solicite lo contrario”, dijo la ICO.
En septiembre de 2020, una encuesta realizada por expertos legales en Fieldfisher encontró que más de la mitad de las empresas no tenían la intención de dejar o reducir su dependencia de los procesadores de datos del Espacio Económico (EEE) con sede en EE. UU. O fuera de Europa, a pesar del fallo Schrems II.
Por ejemplo, mientras que alrededor del 75% de las empresas que respondieron indicaron que la mitad o más de sus procesadores de datos tenían su sede en los EE. UU. O territorios fuera del EEE, solo el 12% dijo que reduciría su dependencia de procesadores basados en EE. UU. O fuera del EEE, y solo el 5% dijo que tenía la intención de detener por completo la exportación de datos.
En respuesta a las preguntas sobre si se realizaría una evaluación de riesgo para cada transferencia, solo el 15% dijo que sí, y el 40% indicó que lo haría solo para “transferencias más grandes o más sensibles”.
Cuando se les preguntó qué harían si la evaluación de impacto determinara que existía un riesgo en la transferencia, solo el 4% de los encuestados dijo que la prohibiría por completo.
La dirección de viaje de la ICO también se ha cuestionado en los últimos meses. En abril de 2021, un grupo de parlamentarios de varios partidos advirtió que el gobierno estaba buscando un nuevo comisionado de información para respaldar su propia agenda política, en lugar de un regulador que hiciera cumplir las leyes de protección de datos redactadas por el Parlamento.
Los diputados dijeron que “no se hace mención de la experiencia en la regulación de la protección de datos” en la descripción del puesto publicada el 28 de febrero de 2021, que en su lugar anunciaba un nuevo comisionado con “perspicacia comercial y empresarial”, así como la experiencia de “utilizar datos para impulsar la innovación y el crecimiento ”.
Los parlamentarios escribieron en una carta abierta al secretario digital Oliver Dowden: “Se ha dado la impresión de que DCMS busca un comisionado de información que trabajará para eliminar las protecciones dentro de las leyes actuales, para reducir los riesgos de las acciones de cumplimiento y en lugar de garantizar los derechos de individuos, buscarán ‘equilibrar’ los derechos con preocupaciones como la ‘certeza regulatoria’ y el crecimiento económico “.