USA

Mejorar los aspectos de privacidad y protección de datos, en un NAFTA renegociado. Entrevista en Bloomberg BNA.

Aunque el Tratado de Libre Comercio de América del Norte (TLCAN o NAFTA) no entró en vigor sino hasta el 1 de enero de 1994, lo cierto es que su contenido y alcance es el producto de años de negociaciones, que en su mayoría se produjeron durante los primeros años de la década de los 90.

En este contexto, ¿es de extrañar que el entorno digital y la protección de datos personales, como resultado del intercambio de bienes y servicios, no fuese contemplada en este tratado? Desde luego que no… eren, en verdad, otros tiempos.

En 2017, no es posible concebir que las negociaciones sobre un tratado de libre comercio sean ajenas al entorno digital que prevalece en nuestra sociedad, y que el intercambio de información para el desenvolvimiento del libre comercio se lleve a cabo sin un estándar de protección mínimo, para las datos personales que deben intercambiarse.

En este escenario, Emily Pickrell (Bloomberg® BNA) nos preguntó a Joel Gómez Treviño y un servidor, sobre nuestra posición entorno a la privacidad como parte de las negociaciones de un NAFTA renovado, y aprovechó la ocasión para preguntar sobre nuestra posición en relación con el Derecho al Olvido, Google® y la forma en que México ha abordado esta cuestión a partir de la aplicación de nuestra Ley Federal de Protección de Datos Personales en Posesión de los Particulares.

Pueden acceder al texto de la entrevista, en este enlace.

Imágenes de banderas, cortesía de Pixabay; la composición es nuestra.

Anuncios

México ¿y Safe Harbor?

El pasado 6 de octubre 2015 el Tribunal de Justicia de la Unión Europea emitió la ya conocida como “Sentencia Safe Harbor” (aunque otros gusten de llamarla “Sentencia Facebook”); el 8 de octubre aporté en la Asociación Profesional Española de Privacidad (APEP) mi particular visión sobre los primeros efectos que dicha sentencia podría tener, en cualquier empresa americana que importa datos personales desde Europa.

En esa fecha (8 de octubre) me encontraba en México y seguía a través de las redes sociales las diversas posturas, críticas, análisis y reacciones a la Sentencia Safe Harbor. Existían (y existen) un montón de preguntas en mi cabeza, pero estando donde estaba, dos tenían un peso específico: ¿qué efectos podría tener la Sentencia en México? y ¿cuándo se dejarían sentir dichos efectos?

En mi caso, la ola expansiva llegó el 20 de octubre, a través de un “addendum” fechado el 5 de octubre de 2015.

Por obvias razones, me reservo los detalles sobre las partes y los servicios involucrados, pero baste decir que los efectos tomaron forma a partir de un compromiso que hasta antes del 6 de octubre era relativamente normal encontrar en un acuerdo sobre tratamiento de datos personales, en el que se previera la subcontratación de servicios.

Dando por sentado que la transferencia de datos personales desde el responsable europeo hacia la empresa mexicana estaba previamente autorizada por la autoridad nacional competente de aquél, el giro de tuerca vino cuando en el indicado addendum se pidió a la empresa mexicana garantizar (palabras más, palabras menos) que en la hipótesis de que ésta llevara a cabo la subcontratación de terceros con residencia en los EEUU (sub-encargados, a todos los efectos):

  1. Éstos estarían adheridos a los Principios de Puerto Seguro, con anterioridad a la fecha de su contratación,
  2. Que éstos conservarían su adhesión a los Principios de Puerto Seguro,
  3. Que en caso de que los terceros (insisto, sub-encargados a efectos del tratamiento de los datos) perdiesen o no renovasen su adhesión a los Principios de Puerto Seguro, se comunicaría esta situación al responsable (europeo) y se detendría de inmediato el tratamiento de datos personales en los Estados Unidos de América.

Ni más, ni menos.

La parte mexicana, enterada de la Sentencia Safe Harbor (porque se la resumí), ha atinado a preguntar: ¿y cómo garantizo yo todo eso que me piden desde Europa, si me dices ahora que esto de Puerto Seguro ya no sirve?

Si lo de Puerto Seguro ha sido declarado inválido, ¿no estamos en una situación parecida a la tercera exigencia? Porque ya no se trata de que mis subcontratistas estén o no estén adheridos, sino que dicha adhesión, por sí misma, ya no tiene valor ¿correcto? A efectos prácticos, da lo mismos si están o no adheridos, pues aunque lo estuvieran, eso ya no garantiza nada a los europeos, ¿correcto?

Y siguió en su particular análisis: Si todo lo anterior es así, cuando trate con clientes europeos, ya puedo descartar eso de enviar los datos hacia los EEUU, ¿no? Porque directamente pueden acusarme de enviar los datos hacia un lugar que ellos mismos han declarado no seguro, ¿correcto?

El cliente no es tonto. A todas sus preguntas, era imposible contestar otra cosa que no fuera: estás en lo correcto.

Y mientras no cambien las cosas, hará bien en pensar de esa forma, y hará bien en detener el flujo de datos (al menos de sus clientes europeos) hacia sub-encargados con residencia en los EEUU, pues el propio Grupo de Trabajo del Artículo 29 ha dejado claro que después de la sentencia, cualquier transferencia amparada en la Decisión 2000/520 de la Comisión Europea, es ilegal.

Quise darle alternativas.
Le conté de las Cláusulas Tipo y de las Reglas Corporativas Vinculantes, le hablé del consentimiento expreso del titular de los datos personales… pero llegaron los alemanes y anunciaron que las primeras tampoco les parecen opciones adecuadas, y que con el consentimiento del titular/afectado, hay que andarse con mucho cuidadito.

O sea… un gran desorden, aunque se anuncie un “principio de acuerdo” del cual no ha salido una fecha (al menos tentativa) para resolver el entuerto.

Lo cierto es que a día de hoy (28 de octubre) nadie se ha puesto realmente de acuerdo, y parece que esto irá para largo (al menos, para las empresas, será un plazo muuuuuy largo).