SORTIE DE L’UE ET RGPD BRITANNIQUE
Adéquation et Divergence
Transferencias internacionales de datos personales: operaciones jurídicas complejas
El acceso a los datos personales es un reto en términos de poder tecnológico y político, donde entran en juego instrumentos jurídicos muy sofisticados.
Esquemáticamente, este acceso puede resultar en primer lugar de una transferencia voluntaria. Bajo esta perspectiva, en Europa, el RGPD establece un marco de protección con efectos fuera de las fronteras europeas, mediante las decisiones de adecuación de la Comisión europea, instrumentos ad hoc y protocolos de verificación aplicados para garantizar que las transferencias de datos a terceros países cumplen las normas. En sus relaciones con los Estados Unidos, las empresas sometidas al RGPD se encuentran en una situación de relativa inseguridad jurídica tras la sentencia Schrems II del Tribunal de Justicia de la UE del 16 julio de 2020.
Por otra parte, el acceso a los datos puede ser impuesto o exigido por una tercera autoridad. El ejemplo más claro es el de Clarifying Lawful Overseas Use of Data Act (llamado CLOUD Act) que ha contribuido a difuminar las fronteras que separan las prácticas conformes a las normas de las que pueden llevar a sanciones para todos los actores con doble lealtad jurídica, es decir que están sometidos a la vez al derecho local y al de los Estados Unidos. El CLOUD Act, así como sus equivalentes en muchos países, plantea el tema de los requerimientos de transferencia de datos personales hechos a organismos extranjeros y de los medios de los que estos disponen para oponerse a ello.
Por lo tanto, ya sea de forma voluntaria o forzada, las transferencias internacionales de datos personales ocupan un lugar central en la problemática concreta que afrontan nuestros compañeros.