Cerro Colorado 5240 Torre I, Piso 18

Las Condes, Santiago de Chile.

+56 2 2638 1527

contacto@ga-abogados.cl

Mantente siempre informado.

Blog

Landmark International Data Transfer Case impulsa las leyes de privacidad de datos de la UE

En un hito para las leyes de privacidad de datos, la Corte Suprema del Reino Unido dictaminó recientemente que el gobierno británico actuó ilegalmente al entregar a los Estados Unidos información sobre dos presuntos terroristas de Isis sin garantías de que no se aplicaría la pena de muerte.

Por primera vez, el Tribunal Supremo consideró directamente la Ley de Protección de Datos del Reino Unido (DPA). Luego, se descubrió que el Ministro del Interior, Sajid Javid, había violado las leyes de protección de datos del Reino Unido cuando compartió declaraciones de testigos para ayudar a las fuerzas del orden público de los Estados Unidos en investigaciones de terrorismo.

Antecedentes

El Sr. El Sheik y el Sr. Kotey, presuntamente parte de una célula terrorista, fueron capturados por las Fuerzas Democráticas Sirias en 2018. Se creía que formaban parte de un grupo notorio apodado “The Beatles”, responsable de la muerte de Estados Unidos. y ciudadanos británicos.

El gobierno del Reino Unido había reunido declaraciones de testigos relacionadas con las actividades terroristas de ambos hombres. Los Estados Unidos, que tenían la custodia de los hombres, hicieron una solicitud MLAT al Reino Unido para este material. De acuerdo con su antigua política de oposición a la pena capital, el Gobierno del Reino Unido solicitó que el material no se desplegara para obtener la pena de muerte.

Los Estados Unidos se negaron a dar tales garantías, sin embargo, el Gobierno del Reino Unido siguió adelante y cumplió con la solicitud de los Estados Unidos. Había dos preguntas para la corte:

(1) Si el derecho consuetudinario impide que el Ministro del Interior presente pruebas a un estado extranjero que facilitará la imposición de la pena de muerte.

(2) Si la transferencia de datos personales bajo el MLAT fue legal bajo el DPA.

La primera pregunta fue respondida “no” por el tribunal, es decir, es legal que se proporcione evidencia a un estado extranjero, incluso si esa evidencia se puede utilizar para imponer la pena de muerte. Sobre la segunda pregunta, el tribunal concluyó enfáticamente que la transferencia de datos era ilegal.

El caso

El 25 de marzo de 2020, el Tribunal Supremo del Reino Unido confirmó por unanimidad en  Elgizouli v Secretario del Estado para el Departamento del Interior , UKSC 10, que los datos personales no pueden transferirse a los EE. UU. De conformidad con una solicitud legal en virtud del Tratado de Asistencia Legal Mutua del Reino Unido / EE. UU. MLAT) a menos que los requisitos de la Ley de privacidad de datos del Reino Unido 2018 también se hayan cumplido.

El Tribunal sostuvo que el cumplimiento estricto de los criterios legales de la DPA era esencial para que la transferencia de datos fuera legal. Javid había tomado su decisión basándose en “conveniencia política en lugar de considerar la estricta necesidad bajo los criterios legales”.

Las legalidades

La DPA implementa la Directiva de aplicación de la ley de la UE 2016/680 y establece las condiciones que deben cumplirse antes de transferir datos a países fuera de la UE.

El tribunal, habiendo escuchado de la Oficina del Comisionado de Información del Reino Unido (ICO) que intervino en los procedimientos, concluyó que: “El propósito claro de las disposiciones es establecer un marco estructurado para la toma de decisiones, con la documentación adecuada. Esto no sucedió en este caso, y hasta ese punto hubo una clara violación de la Ley “.

Cinco lecciones clave para controladores y procesadores de datos

Ahora se ha establecido una barra alta que implica el cumplimiento estricto de la DPA y GDPR del Reino Unido. La preparación del tribunal para anular las acciones del Ministro del Interior en un caso de terrorismo grave debido al incumplimiento de la privacidad de los datos envía una señal clara a todos los controladores y procesadores de datos.

Los controladores y procesadores deben tener una base documentada para el procesamiento de datos personales. Esto significa que las evaluaciones escritas que sustentan la transferencia deberán compilarse en ese momento, pero la forma y el detalle de estas siguen siendo una pregunta abierta para el futuro.

Todos los controladores y procesadores deben asegurarse de que las transferencias de datos internacionales estén cubiertas por una de las puertas de enlace legales / GDPR y estén debidamente evidenciadas.

El ICO se verá envalentonado por esta decisión en cualquier acción de cumplimiento futura y lo verá como una reivindicación de la importancia de las leyes de privacidad de datos.

Esta es una llamada de atención para la aplicación de la ley de su papel como controladores / procesadores de datos, particularmente cuando se realizan transferencias internacionales de datos personales. Dada la importancia de la cooperación internacional, particularmente en los delitos sin fronteras como el soborno, el fraude, el lavado de dinero, el abuso del mercado y el comportamiento anticompetitivo, es fundamental que las agencias de cumplimiento cumplan con las leyes de privacidad de datos.

Fuente: https://www.infosecurity-magazine.com/opinions/data-transfer-privacy-laws/

Compartir

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email