El 30 de septiembre, representantes de los Estados Unidos, México y Canadá concluyeron las negociaciones y publicaron el texto final de un Acuerdo de Libre Comercio de América del Norte revisado, conocido como el Acuerdo de los Estados Unidos, México y Canadá. Si bien el USMCA (por sus siglas en inglés) aún requiere la aprobación de las legislaturas de las naciones signatarias, la implementación final marcaría desarrollos significativos para la privacidad de datos, el libre flujo de datos y el futuro del sistema de Reglas de Privacidad Transfronterizas de APEC (Foro de Cooperación Económica Asia-Pacífico) reconocido como el Cross Border Privacy Rules System o CBPR, por sus siglas en inglés.
Entre las actualizaciones más importantes en el USMCA está la inclusión de un capítulo de comercio digital. El artículo 19.11 de este capítulo prohíbe de manera general la restricción a la transferencia transfronteriza de información personal entre los tres países, pero permite que se impongan dichas restricciones cuando sea necesario para lograr un “objetivo legítimo de política pública" siempre que se aplique de manera justa y de manera que no restrinja la transferencia de información más de lo necesario para lograr ese objetivo. Además, el Artículo 19.8 (6) establece específicamente que las partes "reconocen que el sistema de Reglas de Privacidad Transfronterizas de APEC es un mecanismo válido para facilitar las transferencias de información transfronterizas mientras que protege la información personal".
En conjunto, estos dos párrafos parecen indicar que cada país puede implementar nuevas leyes de privacidad que incluyen restricciones a la transferencia de datos siempre que no se apliquen de manera discriminatoria y que continúen reconociendo al CBPR como un mecanismo viable para la transferencia de datos. Este reconocimiento garantiza que las empresas participantes puedan seguir utilizando el CBPR como un mecanismo de transferencia a medida que se desarrollen las leyes de privacidad en los tres países en los próximos años.
Esto marca el segundo hito importante para el sistema en la misma cantidad de años luego del reconocimiento por parte de Japón de los CBPR en 2017 como un mecanismo de transferencia válido según su ley de privacidad actualizada. Si este lenguaje se incorporara en un posible tratado de libre comercio (TLC) entre EE.UU. y Japón, se crearía una red "trilateral más una" que podría servir de base para una mayor expansión y reconocimiento en ambos hemisferios.
El USMCA también contempla la cooperación futura en asuntos de privacidad entre las naciones signatarias. El Artículo 19.14 establece que “reconociendo la naturaleza global del comercio digital, las Partes se esforzarán por... cooperar y mantener un diálogo sobre la promoción y el desarrollo de mecanismos, incluidas las Normas de privacidad transfronterizas de APEC, que fomenten la interoperabilidad mundial de la privacidad de los regímenes... y considerarán el establecimiento de un foro para abordar cualquiera de los temas enumerados anteriormente, o cualquier otro asunto relacionado con el funcionamiento de este capítulo".
Este lenguaje podría utilizarse para establecer un Foro de Privacidad de América del Norte compuesto por reguladores y funcionarios gubernamentales de los países participantes, con el fin de promover colectivamente el entendimiento común y los intereses compartidos en asuntos relacionados con la protección de datos. Si este lenguaje se repitiera en un posible TLC entre EE.UU. y Japón, también sería posible extender la participación a los funcionarios japoneses.
Dada su inclusión en el USMCA, es importante resaltar cómo los CBPRs afectan las leyes en cada país. La participación en el Sistema CBPR no desplaza ni puede desplazar la ley local. Este principio se reconoce explícitamente en el párrafo 44 de las Políticas, Reglas y Directrices de APEC, que estipulan que “la participación en el sistema CBPR no reemplaza las obligaciones legales de una organización participante. Los compromisos que una organización lleva a cabo para participar en el sistema CBPR están separados de cualquier requisito legal nacional que pueda ser aplicable. Cuando los requisitos legales nacionales excedan lo que se espera en el sistema de CBPR, se seguirá aplicando dicha ley y la regulación doméstica. Donde los requisitos del sistema CBPR superen los requisitos de las leyes y regulaciones nacionales, una organización deberá cumplir voluntariamente dichos requisitos adicionales para poder participar".
Como queda claro, la participación del CBPR está diseñada específicamente para dar cabida a obligaciones adicionales conforme a la ley, incluidas las que se pueden considerar como condición de una determinación de adecuación. Este concepto se refleja aún más en el conjunto referente, BCR-CBPR Joint Referential, cuyo objetivo era "facilitar el diseño y la adopción de políticas de protección de datos personales que cumplan con cada uno de los sistemas".
Con el reconocimiento del sistema CBPR, el USMCA ha consagrado un enfoque flexible que puede acomodar requisitos adicionales a nivel local con procedimientos fijos para la participación y el reconocimiento a nivel global. Y mientras que la certificación según los CBPR o cualquier otra norma no debe ser el único mecanismo de transferencia disponible, dados sus atributos únicos, es fundamental que siga siendo una opción viable tanto en los acuerdos comerciales como en las regulaciones en el futuro.
Comments
If you want to comment on this post, you need to login.