Blog de EDRM

El impacto de Schrems II en el descubrimiento educativo transfronterizo

High tech padlocks with Privacy Security and Identity

La Conferencia PREX de Zapproved se complace en presentar lo siguiente artículo por los expertos en descubrimiento y privacidad Karen Lust y David Cohen. 

Desde que entró en vigor el Reglamento general europeo de protección de datos ("RGPD") en mayo de 2018, las autoridades de protección de datos de toda Europa han impuesto fuertes multas y sanciones por incumplimiento de la ley. Debido al efecto extraterritorial del GDPR, las organizaciones fuera de Europa también están potencialmente en riesgo de acciones de cumplimiento, con multas por cada violación que pueden alcanzar hasta 4% de los ingresos anuales de la entidad o € 20 millones (más de $26 millones de USD), lo que sea mayor. .  

Las multas y decisiones anteriores emitidas por los reguladores han sido el resultado de violaciones de datos, retención excesiva de datos, no minimizar la cantidad de datos recopilados, no obtener el consentimiento adecuado de los interesados con respecto a sus datos personales, y más. Aún no ha habido multas anunciadas públicamente o acciones de ejecución impulsadas por el cumplimiento de los requisitos de descubrimiento de EE. UU., Pero pocos expertos dudan que se produzcan.   

El RGPD define los 'datos personales' de manera bastante amplia, incluso para incluir cualquier nombre, cualquier dirección de correo electrónico o cualquier otra información que, sola o en combinación con otros datos disponibles, permita la identificación de cualquier individuo.

La aplicación de muchas disposiciones del RGPD, y las incertidumbres que persisten con respecto a los mecanismos apropiados para la transferencia de datos personales a través de las fronteras, se ilustra por la dualidad de los Schrems casos. En 2015, Schrems I anuló el marco de puerto seguro de EE. UU. y la UE por ser insuficiente para cumplir con los estándares de privacidad de datos del RGPD, lo que condujo directamente a la creación del Escudo de privacidad de la UE y EE. En Schrems II, una sentencia emitida por el Tribunal de Justicia de la UE el 16 de julio de 2020, anuló el Escudo de la privacidad, al considerar que tampoco es adecuado para proteger los datos personales de los interesados de la UE en la medida requerida por el GDPR.

Transferencias de datos personales fuera de la UE

En el panorama comercial global actual, el intercambio de datos personales a través de las fronteras es un lugar común, particularmente hacia, desde y dentro de las entidades multinacionales. Capítulo 5 del GDPR se ocupa exclusivamente de la transferencia de datos personales a países fuera de la UE.

Estas transferencias generalmente están prohibidas, sin que se cumplan ciertos requisitos estrictos. Idealmente, el país de destino debería ser una jurisdicción con un marco regulatorio que cumpla con los estándares de "adecuación" para la protección de datos personales, pero la UE no considera que la mayor parte del mundo, incluido EE. UU., Tenga protecciones suficientes para cumplir con la alta "adecuación". ”Umbral del RGPD.

En ausencia de una certificación de adecuación, solo ciertos mecanismos permiten transferencias transfronterizas permitidas de datos personales fuera de la UE a "terceros países". El Escudo de privacidad se promocionaba anteriormente como uno de esos mecanismos, pero ahora se ha invalidado.

Las bases restantes para las transferencias de datos incluyen:

  • El uso de cláusulas contractuales estándar ("CEC") aprobadas por la Comisión Europea en un acuerdo en el que la parte receptora acepta aplicar, y puede aplicar, las garantías adecuadas a los datos personales recibidos por la parte originaria.
  • Situaciones en las que la transferencia es necesaria para el establecimiento, ejercicio o defensa de reclamos legales maduros, aunque varios funcionarios de protección de datos de la UE han indicado que esta disposición se aplica a reclamos legales de la UE, no reclamos legales de EE. UU.
  • Situaciones en las que la transferencia no es repetitiva, concierne solo a un número limitado de interesados, es necesaria para fines de un interés legítimo imperioso no anulado por los intereses y derechos o libertades de los interesados, se proporcionan garantías adecuadas para proteger los datos personales, y se notifica la transferencia a los interesados y a la autoridad de control pertinente.

Como ocurre con todas las circunstancias en las que se involucran datos personales de la UE, también deben cumplirse los principios generales del RGPD. Estos incluyen la minimización (procesar la menor cantidad posible de datos personales), la responsabilidad (documentación de lo que se procesa y la justificación para hacerlo) y la transparencia (informar a los interesados cómo y por qué se procesa su información, etc.). 

La transferencia también debe basarse en intereses legítimos del litigante, que deben equilibrarse con los intereses y derechos fundamentales de los interesados. También se deben tomar las precauciones adecuadas para proteger los datos mediante las medidas organizativas y técnicas adecuadas. En el contexto del descubrimiento electrónico específicamente, existen medidas prácticas que los litigantes deben tomar para avanzar en el cumplimiento del RGPD, al mismo tiempo que cumplen con los requisitos de descubrimiento electrónico.

Desafíos de descubrimiento de edificios transfronterizos antes Schrems II

Incluso antes de la Schrems II decisión, el descubrimiento transfronterizo estuvo plagado de problemas difíciles de abordar frente a los principios y normas en conflicto de la UE y los EE. UU. Por ejemplo:

  • El "procesamiento" de datos está estrictamente regulado por el GDPR e incluye incluso la preservación pasiva en el lugar de información potencialmente relevante, así como procesos más activos como recopilación, filtrado, revisión y producción;
  • La privacidad personal se considera un derecho humano fundamental en la UE de una manera que muchos profesionales y tribunales estadounidenses no comprenden;
  • Los requisitos de consentimiento son prácticamente imposibles de cumplir en el contexto del descubrimiento porque el consentimiento debe obtenerse de todos los interesados identificables en los documentos (por ejemplo, cada persona que envía, recibe o se identifica de cualquier otra forma en cada correo electrónico de una colección); el consentimiento generalmente no se considera voluntario si se obtiene de un empleado (debido a elementos coercitivos inherentes a la relación empleador-empleado); y finalmente el consentimiento tiene que ser revocable en cualquier momento (lo cual no es práctico en un contexto de litigio con respecto a documentos presentados a partes adversas o presentados a un tribunal).
  • En la mayoría de los países europeos, el concepto de descubrimiento previo al juicio no existe como lo hace en los tribunales de los Estados Unidos, y muchas autoridades europeas de protección de datos no comprenden las obligaciones legales impuestas a las partes en litigio por las demandas de descubrimiento de los Estados Unidos.

Además de la dificultad para los litigantes estadounidenses, y los abogados y las empresas de apoyo en litigios que emplean, está el hecho de que los tribunales estadounidenses generalmente han priorizado el cumplimiento de las obligaciones legales estadounidenses al encontrar que los intereses de descubrimiento estadounidenses razonables superan los intereses de privacidad de la UE reflejados en el GDPR. En consecuencia, los litigantes estadounidenses pueden enfrentar conflictos aparentemente irreconciliables cuando intentan cumplir tanto con los requisitos de descubrimiento de Estados Unidos como con el GDPR. 

Desafíos introducidos / mejorados por Schrems II

los Schrems II caso invalida el Escudo de Privacidad basado en el razonamiento de que los EE. UU. no podían proporcionar un nivel adecuado de protección para los interesados, debido a la amplia capacidad de las autoridades de inteligencia de EE. UU. y el gobierno para acceder a los datos sin ningún recurso disponible para los interesados en el UE.

Si bien la decisión no invalida las SCC, el razonamiento de la opinión también arroja dudas sobre la viabilidad de dichas SCC como mecanismo para transferir datos a los Estados Unidos para el descubrimiento de litigios.  

Los SCC son generalmente acuerdos privados entre el originador y el destinatario de los datos (también denominado exportador e importador de datos) que no han sido objeto de escrutinio externo ni cuestionados. Son las cláusulas estándar aprobadas, expresamente previstas por la Comisión Europea para transferencias entre países de la UE y fuera de la UE.

Las disposiciones son claras, pero ¿qué no Está claro si cada importador de datos individual está cumpliendo o no con esas disposiciones; de hecho, si eso es posible incluso en el contexto del descubrimiento de un litigio, que requiere más “transferencias posteriores” de los datos personales. En consecuencia, a la luz de Schrems II decisión, cualquier parte que haya estado confiando en los SCC como base para transferir datos para el descubrimiento de EE. UU., debe volver a examinar si se están cumpliendo los requisitos de GDPR. 

Sin embargo, hay una serie de medidas prácticas que se pueden tomar para reducir los riesgos de cumplimiento. Dichos pasos incluyen, por ejemplo: (i) rechazar solicitudes de descubrimiento transfronterizas demasiado amplias; (ii) la búsqueda de métodos alternativos para obtener los datos necesarios para el descubrimiento (por ejemplo, de fuentes fuera de Europa o de conformidad con la Convención de La Haya); (iii) proceder bajo las excepciones del RGPD para el procesamiento y la transferencia de datos (ver, por ejemplo, los Artículos 6 y 49 del RGPD); (iv) pasos de minimización de datos antes de la transferencia; (v) seudonimización de información personal; (vi) tomar otras medidas organizativas y técnicas apropiadas para proteger los datos personales; y (vii) emplear órdenes de protección en el litigio de EE. UU. para exigir que otras partes del litigio también tomen las medidas adecuadas para proteger los datos personales, utilizarlos solo cuando sea necesario para el litigio y eliminarlos tan pronto como ya no sean necesarios para el litigio.  

Si bien no existe un "botón fácil" que pueda presionar para asegurarse de que está cumpliendo con los requisitos de descubrimiento de GDPR y de EE. UU., El asesoramiento específico de un asesor legal capacitado puede ser invaluable para eliminar o al menos minimizar la exposición al riesgo significativo resultante de no -conformidad.

2

Karen Lust y Dave Cohen

Karen Lust es asesora jurídica de Reed Smith y forma parte del grupo de práctica global Records & E-Discovery (RED) de la firma. También es una profesional de privacidad de la información certificada por la UE de conformidad con el programa de certificación de IAPP. David Cohen es socio de Reed Smith, donde dirige el Grupo RED. También preside los Fideicomisarios del Proyecto de EDRM y copreside el Comité de Descubrimiento Transfronterizo de EDRM.


Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

es_ESSpanish
en_USEnglish es_ESSpanish
X