El 30 de septiembre, representantes de los
Estados Unidos, México y Canadá concluyeron las negociaciones y publicaron el
texto final de un Acuerdo de Libre Comercio de América del Norte revisado
conocido como el Acuerdo de los Estados Unidos, México y Canadá. Si bien USMCA
aún requiere la aprobación de las legislaturas de cada una de las naciones miembros
del tratado, la implementación final marcaría desarrollos significativos para
la privacidad de los datos, el libre flujo de datos y el futuro del sistema de
Reglas de Privacidad Transfronterizas de APEC.
Entre las actualizaciones más importantes en
USMCA está la inclusión de un capítulo de comercio digital. El artículo 19.11
de este capítulo generalmente prohíbe la restricción a la transferencia
transfronteriza de información personal entre los tres países, pero permite que
se impongan dichas restricciones cuando sea necesario para lograr un
"objetivo legítimo de política pública" siempre que se aplique de
manera justa. De esta forma manera no se restringiría la transferencia de
información más de lo necesario para lograr ese objetivo. Además, el Artículo
19.8 (6) establece específicamente que las partes "reconocen que el
sistema de Reglas de Privacidad Transfronterizas de APEC es un mecanismo válido
para facilitar las transferencias de información transfronterizas al tiempo que
protege la información personal".
En conjunto, estos dos párrafos parecen
indicar que cada país puede implementar nuevas leyes de privacidad que incluyen
restricciones a la transferencia de datos siempre que no se apliquen de manera
discriminatoria y que continúen reconociendo a los CBPR como un mecanismo
viable para la transferencia de datos. Este reconocimiento garantiza que las
empresas participantes puedan seguir utilizando los CBPR como un mecanismo de
transferencia a medida que se desarrollen las leyes de privacidad en los tres
países en los próximos años.
El Sistema de Reglas de Privacidad
Transfronterizas de APEC (CBPR) fue desarrollado por las economías de APEC con
aportes y asistencia de la industria y la sociedad civil para fomentar la
confianza de los consumidores, las empresas y los reguladores en los flujos de
información personal entre las fronteras. El sistema APEC CBPR requiere que las
empresas participantes implementen políticas de privacidad de datos coherentes
con el Marco de privacidad de APEC. Estas políticas y prácticas deben ser
evaluadas para cumplir con los requisitos del programa APEC CBPR por un Agente
de Responsabilidad (una entidad del sector público o privado reconocida por el
sistema APEC) y deben ser exigibles por ley.
Por otro lado las reglas corporativas
vinculantes o "BCR" (por sus siglas en Ingles, Binding Corporate
Rules) fueron desarrolladas por el Grupo de Trabajo del Artículo 29 de la Unión
Europea para permitir que corporaciones multinacionales, organizaciones
internacionales y grupos de empresas realicen transferencias dentro de la
organización de datos personales a través de las fronteras de conformidad con
la Ley de Protección de Datos de la UE. Los BCR se desarrollaron como una
alternativa al Departamento de Comercio de EE. UU. Puerto Seguro de la UE (que
fue solo para organizaciones de EE. UU., Pero se declaró inválido y fue
reemplazado por los Marcos de Escudos de Privacidad de EU-EE. UU. y Suiza-EE.
UU.) Y las Cláusulas de Contrato Modelo de la UE.
El ver reflejado CBPR en el USMCA marca el segundo hito importante para el
sistema en la misma cantidad de años, luego del reconocimiento por parte de
Japón de 2017 de los CBPR como un mecanismo de transferencia válido según su
ley de privacidad actualizada. Si este lenguaje se incorporara en un posible
TLC entre EE. UU. y Japón, se crearía una red "trilateral más una"
que podría servir de base para una mayor expansión y reconocimiento en ambos hemisferios.
La USMCA también contempla la cooperación futura en asuntos de privacidad entre las naciones signatarias. El Artículo 19.14 establece que “reconociendo la naturaleza global del comercio digital, las Partes se esforzarán por ... cooperar y mantener un diálogo sobre la promoción y el desarrollo de mecanismos, incluidas las Normas de privacidad transfronterizas de APEC, que fomenten la interoperabilidad mundial de la privacidad. los regímenes ... [y] considerarán el establecimiento de un foro para abordar cualquiera de los temas enumerados anteriormente, o cualquier otro asunto relacionado con el funcionamiento de este capítulo ".
Este lenguaje podría usarse para establecer un
Foro de Privacidad de América del Norte compuesto por reguladores y funcionarios
gubernamentales de los países participantes con el fin de promover
colectivamente el entendimiento común y los intereses compartidos en asuntos
relacionados con la privacidad de los datos. Y si este lenguaje se repitiera en
un posible TLC entre EE. UU. Y Japón, también sería posible extender la
participación a los funcionarios japoneses.
Dada su inclusión en la USMCA, es importante
resaltar cómo CBPRs afecta las leyes en cada país. Críticamente, la
participación del CBPR no desplaza ni puede desplazar la ley local. Este
principio se reconoce explícitamente en el párrafo 44 de las Políticas, Reglas
y Directrices de APEC, que estipula que “la articulación en el Sistema CBPR no
reemplaza las obligaciones legales internas de una organización participante.
Los compromisos que una organización lleva a cabo para participar en el Sistema
CBPR están separados de cualquier requisito legal nacional que pueda ser
aplicable. Cuando los requisitos legales nacionales excedan lo que se espera en
el sistema de CBPR, se seguirá aplicando toda la extensión de dicha ley y
regulación doméstica. Donde los requisitos del Sistema CBPR superen los
requisitos de las leyes y regulaciones nacionales, una organización deberá
cumplir voluntariamente dichos requisitos adicionales para poder participar
".
Como queda claro, la participación del CBPR está diseñada específicamente para dar cabida a obligaciones adicionales conforme a la ley, incluidas las que se pueden adjuntar como condición de una determinación de adecuación. Este concepto se refleja aún más en la Referencia BCR-CBPR, cuyo objetivo era "facilitar el diseño y la adopción de políticas de protección de datos personales que cumplan con cada uno de los sistemas".
Con el reconocimiento del sistema CBPR, el USMCA ha consagrado un enfoque flexible que puede acomodar requisitos adicionales a nivel local con procedimientos fijos para la participación y el reconocimiento a nivel global. Y mientras que la certificación según los CBPR o cualquier otra norma no debe ser el único mecanismo de transferencia disponible, dados sus atributos únicos, es fundamental que siga siendo una opción viable tanto en los acuerdos comerciales como en las regulaciones en el futuro.