Lo que el nuevo marco de privacidad de datos UE-EE. UU. significa para las transferencias de datos transfronterizas

Julio de 2023

Workday aplaude la aprobación del nuevo Marco de Privacidad de Datos UE-EE. UU. (MPD), que ofrece a las empresas una mayor confianza a la hora de transferir datos personales de Europa a Estados Unidos de forma legal.  En Workday abogamos fervientemente por la existencia de acuerdos intergubernamentales que faciliten la circulación de datos a través de las fronteras. Además, agradecemos el esfuerzo que llevan años haciendo los Estados Unidos y la Comisión Europea para garantizar un flujo continuo y seguro de los datos de un lado a otro del Atlántico. Ahora que el Gobierno de EE. UU. ha materializado los compromisos que asumió con el MPD y que la Comisión Europea ha concretado su decisión de adecuación, las autoridades responsables a ambos lados del Atlántico han acordado nuevas garantías para atender las preocupaciones del Tribunal de Justicia de la Unión Europea (TJUE) en su sentencia del caso "Schrems II" de julio de 2020.  

Con el fin de ayudar a nuestros clientes a entender las consecuencias que esto los supondrá, me gustaría dar respuesta a una serie de preguntas habituales sobre el nuevo MPD que se acaba de aprobar.

¿Qué ha sucedido desde que se emitió la orden ejecutiva?

Para ponerse al día, los principales problemas que se plantearon en la sentencia del TJUE del caso Schrems II estaban ligados a las actividades de acceso del Gobierno de EE. UU. A lo largo del último año, el Gobierno de EE. UU. ha hecho cambios significativos en la forma en la que la United States Intelligence Community puede acceder a los datos personales de Europa y ha implantado estructuras para otorgar a las personas de fuera de EE. UU. derechos de recurso si consideran que se ha accedido a sus datos de forma inapropiada. El Departamento de Justicia y la Oficina del Director de Inteligencia Nacional implantaron los compromisos declarados en la orden ejecutiva del presidente Biden sobre las transferencias de datos transatlánticas. En concreto, las agencias de inteligencia de EE. UU. adoptaron las nuevas políticas y procedimientos, el fiscal general designó formalmente el Espacio Económico Europeo como "Estado que cumple los requisitos" para acceder al mecanismo de recurso del MPD, y se ha establecido un nuevo Tribunal de Revisión de Protección de Datos (Data Protection Review Court). Siga leyendo si desea saber más sobre el punto de vista de Workday sobre esta orden ejecutiva. 

¿En qué afecta el MPD a los clientes de Workday?

La decisión de adecuación ofrece a nuestros clientes una mayor certidumbre de que los datos personales se pueden transferir legalmente de Europa a Estados Unidos. Desde 2020, en Workday hemos ayudado con éxito a nuestros clientes mediante otros mecanismos de transferencia de datos como, por ejemplo, las cláusulas contractuales tipo y las normas corporativas vinculantes para encargados del tratamiento de datos. Durante todo este tiempo, también les hemos proporcionado a nuestros clientes una exhaustiva ficha informativa de evaluación de las consecuencias de la transferencia para ayudarles a evaluar el riesgo de cualquier transferencia. Seguiremos ofreciendo estos mecanismos para transferir datos dentro de la legalidad y estamos actualizando nuestra ficha informativa de evaluación de las consecuencias de la transferencia para que refleje los últimos cambios en el sistema jurídico de los EE. UU. Incluso en el caso de aquellas empresas que no dependan del nuevo MPD como mecanismo de transferencia de datos, las nuevas garantías del Gobierno de EE. UU. se aplican a todas las transmisiones de datos personales protegidas por el Reglamento general de protección de datos dirigidas a empresas de EE. UU., incluidas las realizadas por medio de cláusulas contractuales tipo y normas corporativas vinculantes.

Además, hemos conservado nuestra certificación conforme al marco Privacy Shield, lo cual nos permitirá hacer la transición al MPD con rapidez. Del mismo modo, nos comprometemos a seguir siendo transparentes sobre todas las ocasiones en las que las autoridades policiales y judiciales nos pidan acceder a los datos, así como a publicar con regularidad actualizaciones de nuestro informe de transparencia.

¿Habrá un Schrems III?

Como ya sucedió con los marcos Safe Harbor y Privacy Shield, es probable que el MPD se impugne en los tribunales europeos. A partir de los cambios sin precedentes que ha implantado el Gobierno de EE. UU. para reforzar las garantías en lo referente al acceso por su parte a los datos personales de Europa y para otorgar derecho de recurso a las personas que no sean de EE. UU., en Workday creemos que el MPD cumplirá con éxito el objetivo común de ambos gobiernos de garantizar una base jurídica duradera y fiable para los flujos de datos transatlánticos.  

Octubre de 2022

En Workday acogemos con entusiasmo la llegada de la esperadísima orden ejecutiva (OE) sobre las transferencias de datos transatlánticas, emitida por el presidente Joe Biden el 7 de octubre de 2022. El objetivo de esta OE es implantar el convenio entre la Unión Europea y los Estados Unidos con el fin de solucionar los problemas de acceso a los datos por parte del Gobierno, que constituyeron la esencia del caso Schrems II e invalidaron el Privacy Shield como mecanismo de transferencia de datos. La transferencia fluida de datos entre los Estados Unidos y la Unión Europea desempeña un papel vital para impulsar la economía digital y permitir que las empresas multinacionales gestionen su fuerza laboral global de manera eficaz. 

Esta nueva OE representa un paso en la dirección adecuada para mantener la libre circulación de datos personales desde la Unión Europea, incluidos los datos de empleados, hasta los Estados Unidos. No obstante, hay mucha información que digerir, por lo que me gustaría arrojar un poco de luz sobre lo que significa todo esto exactamente y la forma en que afectará a nuestros clientes de ahora en adelante. 

¿Qué importancia tiene la OE?

Hace unos cuantos meses, el presidente Biden y la presidenta de la Comisión Europea Ursula von der Leyen anunciaron un acuerdo político conocido como el Marco de Privacidad de Datos UE-EE. UU. (MPD), con el propósito de reforzar la libre circulación de datos personales de la UE hacia los Estados Unidos. La OE recién emitida formaliza los compromisos de EE. UU. con dicho acuerdo al proporcionar un proceso para que los ciudadanos de la UE puedan plantear quejas formales si consideran que el Gobierno de EE. UU. ha recopilado sus datos personales de forma ilegítima por motivos de seguridad nacional. Además, establece garantías para asegurar que las actividades de inteligencia de EE. UU. sean necesarias y proporcionadas en su empeño por lograr sus objetivos de seguridad.

La OE allana el camino para que la Comisión Europea lance un proceso de adecuación para las empresas que participan en el MPD UE-EE. UU. Aparte de la emisión de la OE, se deben llevar a cabo unos cuantos pasos más para que vuelva a implantarse un marco de adecuación formal entre los Estados Unidos y la Unión Europea. Entre estos pasos se incluyen el que la Comisión Europea publique una decisión de adecuación formal, y el que el Comité Europeo de Protección de Datos revise la resolución y emita una opinión al respecto. Por último, los Estados miembro de la Unión Europea deben aprobar el marco, seguido de su adopción formal. La Comisión Europea ya ha manifestado su apoyo al nuevo MPD UE-EE. UU. y ha declarado que aporta considerables mejoras con respecto al mecanismo que existía con el Privacy Shield.

¿Qué significa la orden ejecutiva para los clientes de Workday? 

Fieles a nuestro valor fundamental de servicio de atención al cliente, en Workday nos tomamos la privacidad y la seguridad muy en serio, y mantenemos las garantías adecuadas para proteger los datos de nuestros clientes. Tras el caso Schrems II, suministramos a nuestros clientes un sólido whitepaper de evaluación de las consecuencias de la transferencia (en adelante, EIT) para ayudarles a evaluar el riesgo de transferir datos personales de la UE a los Estados Unidos en el contexto de un sistema empresarial de gestión de capital humano (HCM) y de gestión financiera. A partir de muchos factores, entre los que se incluyeron el tipo de datos, el historial de solicitudes por parte del Gobierno a Workday y a otras empresas semejantes, así como las declaraciones del Gobierno, concluimos que el riesgo era bajo.

En Workday actualizaremos de inmediato las actuales EIT para reflejar este cambio en la legislación estadounidense y seguiremos usando nuestra EIT para respaldar las transferencias mediante los mecanismos legales que ya utilizamos en Workday como, por ejemplo, las normas corporativas vinculantes (NCV) para encargados del tratamiento de datos y las cláusulas contractuales tipo (CCT). Además, en Workday hemos mantenido nuestra certificación conforme al marco Privacy Shield. Dado que la impugnación jurídica del Privacy Shield no se fundamentaba en las prácticas comerciales con los datos, sino en cuestiones de seguridad nacional, esperamos que el proceso para usar el nuevo MPD UE-EE. UU. como mecanismo para la transferencia legal de datos no presente casi ninguna traba en cuanto se concrete la nueva decisión de adecuación. 

¿Qué queda por hacer?

La transferencia fluida de datos entre los EE. UU. y la UE es fundamental para el comercio y la inversión transatlánticos en la economía digital de hoy en día, ahora que hay más datos circulando entre los Estados Unidos y Europa que en ningún otro lugar del mundo. Es importante que las autoridades responsables de tomar decisiones, en colaboración con las empresas y otras partes interesadas, se reúnan para desarrollar e implantar marcos duraderos que posibiliten las transferencia de datos y protejan la privacidad. En los días y meses posteriores a la sentencia del caso Schrems II, en Workday entablamos dilatadas conversaciones tanto con la administración Biden y sus homólogos en la Comisión Europea para contribuir a trazar una hoja de ruta hacia un marco de transferencia de datos que sucediera al anterior. Apoyamos firmemente la implantación de los compromisos por parte de la OE del presidente Biden con el Marco de Privacidad de datos UE-EE. UU. y esperamos colaborar con nuestros partners en la UE para respaldar una nueva decisión de adecuación. 

Preste atención al próximo lanzamiento de la EIT actualizada, que publicaremos en la Comunidad Workday. 

Esta entrada del blog se publicó originalmente en octubre de 2022.