Plu­mas NCC | México como solución ante la caída del Privacy Shield

Por: Rodolfo Guerrero Martínez (México).

El 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) publicó una sentencia, con el asunto C-311/18, donde anula la Decisión de Ejecución 2016/1250 de la Comisión con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la Privacidad (Privacy Shield) entre la Unión Europea (UE) y los Estados Unidos de Norteamérica (EE. UU). 

Cabe destacar que, no es la primera ocasión en donde TJUE declaré inválido un mecanismo para poder realizar transferencias internacionales de datos entre la UE y EEUU; en octubre de 2015, el TJUE declaró inválido, a través de una sentencia con asunto C-362/14, la Decisión de la Comisión de 26 de julio de 2000 con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de Norteamérica (Safe Harbor).

En ese orden de ideas, es indispensable comprender que el Safe Harbor como el Privacy Shield buscaban declarar a EE.UU como un país de puerto seguro para facilitar el flujo de datos entre ambos territorios; algo a lo que el TJUE se opuso al considerar que existen determinadas reglas y requisitos en el derecho de EE.UU, concretamente en algunos programas que permiten a las autoridades públicas estadounidenses acceder a los datos personales transferidos desde la UE a EE.UU con fines de Seguridad Nacional, y que por tanto, se imponen limitaciones a la protección de los datos personales.

Por otra parte, en el Estado Mexicano comprendemos una posible opción de país de puerto seguro, debido a que cuenta con los elementos necesarios para la recepción y socialización de los productos, servicios e información que provenga de los países que forman parte de la UE, ya que garantiza la protección de los derechos humanos en el marco jurídico, por la inherencia de la normatividad europea. Bajo este contexto, la naturaleza del tratado internacional (Convenio 108 y protocolo adicional) firmado por México, obliga a que toda la información de carácter personal que provenga de Europa sea protegida bajo el esquema de un derecho humano.

La interacción económica entre México – Estados Unidos de América, se da a raíz del fenómeno de la liberación de mercados, por el flujo de bienes y servicios entre las economías de ambos países, con el objetivo de encontrar oportunidades de crecimiento económico. México en las últimas décadas ha realizado diversos acuerdos comerciales con distintos países, destacando el celebrado entre las economías de Canadá EE.UU y México denominado “Tratado de Libre Comercio de América del Norte” (TLCAN), con el cual EE.UU se convierte en el principal socio comercial de nuestro país.

En el presente artículo desarrollaremos brevemente algunos puntos relevantes de la iniciativa con proyecto intitulada “México como solución a la caída del Privacy Shield”, además de resaltar las acciones prioritarias para el Estado Mexicano en materia de protección de datos y de transferencias internacionales.

México para país de puerto seguro

Durante el año 2022 fue presentada la iniciativa intitulada “México como solución a la caída del Privacy Shield”, la cual aplico en la convocatoria de Premios Protección de Datos” que organizó la Agencia Española de Protección de Datos (AEPD). En dicho proyecto participaron expertos en la materia como el Doctor Javier Martínez Cruz, el Doctor Juan Francisco Rodríguez Ayuso, su servidor Rodolfo Guerrero Martínez, entre otros. 

La iniciativa con proyecto tuvo como objetivo principal, promover los diferentes elementos e instrumentos jurídicos existentes para la consideración de México como puerto seguro para las transferencias internacionales de datos por parte de la Comisión Europea, con el propósito de dar respuesta ante las continuas amenazas de multinacionales de Estados Unidos de América que buscan tener sus bases de datos en EEUU o cerca de sus fronteras debido a la caída de los escudos de privacidad por parte del Tribunal de justicia de la Unión Europea, como son el Safe Harbor y el Privacy Shield. 

Por lo señalado en el párrafo precedente, es importante considerar el procedimiento seguido por la Comisión Europea para la consideración de un país como puerto seguro para las transferencias internacionales de datos. A continuación resaltamos lo siguiente: 

(I) Existen diferentes procedimientos y/o modos para poder realizar trasferencias internacionales de datos desde un  país miembro de la Unión Europea a cualquier otro país no europeo con las garantías oportunas que se establecen en el Reglamento General de Protección de Datos (RGPD 2016/679). Los procedimientos y/o modos son: 

• Los destinatarios de las transferencias internacionales de datos hayan sido considerados puertos seguros por parte de la Comisión Europea; 
• Existencia de un instrumento jurídico vinculante y exigible entre las autoridades u organismos públicos;
• Códigos de conducta, junto con compromisos vinculantes y exigibles del responsable o del encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas;
• Clausulas tipo de protección de datos adoptadas por una autoridad de control y aprobadas por la Comisión;
• Normas corporativas vinculantes;
• Mecanismos de certificación, junto con compromisos vinculantes y exigibles del responsable o el encargado del tratamiento en el tercer país de aplicar garantías adecuadas, incluidas las relativas a los derechos de las personas interesadas, y;
• Cláusulas tipo de protección de datos adoptadas por la Comisión Europea.

(II) La propuesta en comento en el presente rubro, persigue el procedimiento para la consideración de México como país de puerto seguro, en el cual tiene como agenda pendiente su incorporación al Convenio 108+, que ya han llevado a cabo países latinoamericanos como Uruguay y Argentina. Ahora bien,  una de las principales carencias del Estado de México se localiza en la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) –aprobada por el Congreso de la Unión el 27 de abril de 2010-.

(III) Destacan entre las insuficiencias de la LFPDPPP que: (1) Continúa existiendo el consentimiento tácito como forma de legitimación del tratamiento; (2) No existe obligación alguna por parte de los responsables del tratamiento en comunicar las brechas y/o fugas de información de los interesados a la autoridad de control; (3) Identificación y concreción de datos sensibles; (4) Análisis de riesgos o evaluaciones de impacto relativas a la protección de datos; (5) Registro de Oficiales de Datos Personales y; (6) Regular el tratamiento de datos de los menores por parte de los responsables de tratamiento. 

(IV) El Estado Mexicano comprende dos grandes desafíos: el primero es su incorporación en el Convenio 108+, por lo que deberá de llevar una actualización legislativa en materia de protección de datos; el segundo es el procedimiento para que se apruebe la decisión de la Comisión Europea en la que se considere como país de puerto seguro para transferencias internacionales de datos. 

(V) El Reglamento de Protección de Datos a través de su artículo 45 establece el procedimiento a seguir para poder realizar transferencias internacionales de datos basadas en una decisión de adecuación tomada por parte de la Comisión Europea. 

Acciones prioritarias para el Estado Mexicano

En el escenario de la caída de los escudos de privacidad, posibilita a México para convertirse en el Nuevo Epicentro de la Economía Digital del Siglo XXI entre EE.UU y la UE al reunir las características de Puerto Seguro y país miembro del T-MEC; justamente como resultado de brindar certeza y no permitir que se vulnere el comercio digital que se tiene por parte de empresas en México con empresas de la Unión Europea.

Ante lo mencionado en lo precedente, de acuerdo con el Instituto Nacional de Estadística y Geografía (INEGI) en el 2021, el comercio electrónico de bienes y servicios representó el 5.8% del Producto Interno Bruto (PIB), es decir, México cuenta con las bases para establecer relaciones comerciales digitales con cualquier región económica, ya que cuenta con tecnologías de la información, infraestructura y desarrollo tecnológico; además de tener los elementos normativos que permiten hacer frente a las implicaciones de la protección de datos personales en el desarrollo de operaciones económicas. 

Sin embargo, México comprende acciones que son prioritarias para consolidar la presente agenda en materia de protección de datos. A continuación las compartimos: 

5. a) Proteger a las empresas amenazadas por la Sentencia de la Gran Sala del TSJUE del día 16 de julio de este año; las cuales, se encuentran en el 5.8% del Producto Interno Bruto (PIB) en el ámbito del Comercio Digital, otorgándoles la garantía de ampararse bajo la protección de Convenio 108 y su protocolo adicional; así como, del T-MEC con el objetivo de no suspender su flujo transfronterizo de datos; 
6. b) Identificar aquellas empresas debidamente constituidas en México, para convertirse receptoras del flujo de información proveniente de las empresas de la UE y con ello ser el medio para comunicar el flujo de información a empresas norteamericanas, esto bajo el amparo del Convenio 108 por lo que corresponde a la relación UE- México y el T-MEC concerniente al flujo entre México – EE.UU; 
7. c) Respecto a la atracción de Inversión Extranjera Directa al amparo del capítulo 4 de las Reglas de Origen (esquema que prioriza la etapa sustancial de las matrices de las empresas) del T-MEC, como en 1994 bajo la creación de la industria maquiladora de exportación, diversas empresas norteamericanas con tratamiento de información pueden sentirse amenazadas por instituciones de seguridad del Gobierno Norteamericano; para lo cual, tienen la posibilidad de trasladar estas empresas a territorio mexicano al amparo del T-MEC.

Conclusión general

Sin duda, el Estado Mexicano goza de las características para ser considerado Puerto Seguro al contar con una legislación que reconoce la protección de datos personales como un derecho fundamental, y por ende, todas las instancias gubernamentales se encuentran obligadas a proteger este derecho, destacando que el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI)  y los Órganos Garantes Estatales son las autoridades encargadas de garantizar los derechos de acceso a la información pública y de protección de datos personales. 

Ante lo descrito en nuestro objeto de estudio, resaltando las acciones prioritarias del Estado Mexicano y cumpliéndolas debidamente, la Comisión Europea puede iniciar con todas la garantías oportunas el procedimiento establecido en el artículo 45 del Reglamento General de Protección de Datos para la consideración de México como país de puerto seguro para la realización de transferencias internacionales de datos con las máximas garantías. Teniendo como efecto dar solución a la problemática de Estados Unidos de Norteamérica y la Unión Europea para el almacenamiento de datos en México, garantizando el tratamiento y conservación de información de los ciudadanos.

Notas

GUERRERO MARTÍNEZ, Rodolfo. La Ciberseguridad como derecho, 2023. Véase en: https://noticiasncc.com/cartelera/05/22/la-ciberseguridad-como-derecho/

GUERRERO MARTÍNEZ, Rodolfo. Mesa de Diálogo. Protección de Datos Personales, Canal Parlamento de Jalisco, 2022. Véase en: https://t.ly/M_YTw

DILITRUST. La caída del Privacy Shield. Véase en: https://www.dilitrust.com/es/la-caida-del-privacy-shield/

 

***

Ro­dol­fo Gue­rre­ro es abo­ga­do por la Be­ne­mé­ri­ta Uni­ver­si­dad de Gua­da­la­ja­ra y maes­tro en de­re­cho con orien­ta­ción en ma­te­ria Cons­ti­tu­cio­nal y ad­mi­nis­tra­ti­vo por la mis­ma casa de es­tu­dios. Es So­cio Fun­da­dor y Re­pre­sen­tan­te Le­gal de la So­cie­dad Ci­vil Cof­fee Law “Dr. Jor­ge Fer­nán­dez Ruiz”. So­cio fun­da­dor de la Aca­de­mia Me­xi­ca­na de De­re­cho “Juan Ve­lás­quez” A.C. Ti­tu­lar de la Co­mi­sión de Le­gal­tech del Ilus­tre y Na­cio­nal Co­le­gio de Abo­ga­dos de Mé­xi­co A.C. Ca­pí­tu­lo Oc­ci­den­te. Vi­ce­pre­si­den­te de la Aca­de­mia Me­xi­ca­na de De­re­cho In­for­má­ti­co, Ca­pí­tu­lo Ja­lis­co.