En un contexto de sobre información y una superabundancia de datos, surge una creciente preocupación por la seguridad. Por esa razón es fundamental examinar las obligaciones legales que enfrentan las empresas en relación con la revelación de datos bajo ciertas circunstancias legales. Además, al no aplicarse las mismas reglas de juego en todos los territorios, en ocasiones surgen algunos conflictos.
En el caso de Estados Unidos (EE. UU.), la legislación establece disposiciones que pueden requerir a estas empresas divulgar información en respuesta a órdenes judiciales, lo que plantea consideraciones legales y éticas.
En el escenario planteado, surge la siguiente pregunta: ¿cuáles son las obligaciones legales de las compañías estadounidenses en relación con la protección de datos bajo ciertas circunstancias legales?
Un análisis a las leyes de EE. UU. sobre protección de datos
Una de las leyes relevantes en este contexto es la Ley de Privacidad de las Comunicaciones Electrónicas (ECPA), que protege la privacidad de las transmisiones digitales como las conversaciones telefónicas, el correo electrónico y los datos telemáticos almacenados. Sin embargo, en circunstancias concretas, estas empresas pueden estar obligadas a proporcionar datos e información a las autoridades.
Además, leyes como la Ley PATRIOT (USA PATRIOT Act) y la Ley FISA (Foreign Intelligence Surveillance Act) — ampliada el pasado 21 de abril y modificada de tal forma que amplía las competencias de las agencias de seguridad estadounidenses —, otorgan al Gobierno de EE. UU. amplios poderes para recopilar información en nombre de la seguridad nacional. Sin embargo, el alcance y las implicaciones de estas leyes son objeto de debate.
Por otro lado, las compañías deben cumplir con las leyes y regulaciones de los países donde operan. Esto significa que las filiales de empresas estadounidenses en otras naciones también están sujetas a las leyes de esos territorios en relación con la divulgación de datos.
¿Qué ocurre al entrar en conflicto con las leyes europeas?
En el territorio europeo, las corporaciones norteamericanas están sujetas al Reglamento General de Protección de Datos (RGPD), y si recibe una solicitud de las autoridades estadounidenses, debe cumplir con los requisitos del RGPD y garantizar que cualquier divulgación de información cumpla con las leyes de protección de datos de la Unión Europea (UE).
¿Cuál es el problema entonces? La Sección 702 de la Ley FISA de EE. UU. asegura lo siguiente: «Cualquier otra disposición de ley, tras la emisión de una orden de acuerdo con el sub apartado (i)(3) o una determinación baja el sub apartado (c)(2), el Fiscal General y el director de Inteligencia Nacional pueden autorizar conjuntamente, por un período de hasta 1 año desde la fecha efectiva de la autorización, la focalización de personas que razonablemente se cree que están fuera de los Estados Unidos para adquirir información de inteligencia extranjera». Si bien no especifica directamente la solicitud de datos a una empresa de EE. UU. sobre ciudadanos extranjeros, esta normativa puede abarcar la recopilación de información sobre estos individuos, sujeta a ciertas condiciones y requisitos legales.
Según una orden judicial, agentes del FBI incumplieron repetidamente sus propias políticas al acceder a una extensa base de datos de inteligencia extranjera (de la Ley FISA) en busca de información relacionada con el asalto al Capitolio del 6 de enero de 2021 y las protestas contra el racismo de 2020, tal y como publicó Los Angeles Times. La orden judicial reveló que los agentes obtuvieron la información a pesar de que carecía de «fines analíticos, investigativos o de evidencia».
Acuerdo entre EE. UU. y la UE
En 2023, EE. UU. y la UE llegaron a un acuerdo sobre transferencias internacionales de datos que blinda la privacidad de los ciudadanos europeos. Von der Leyen, presidenta de la Comisión Europea, aseguró que este acuerdo garantizaría «flujos de datos seguros para los europeos y seguridad jurídica a las empresas». De hecho, uno de los aspectos destacados por Von der Leyen fue el esfuerzo de EE. UU. a la hora de adaptarse al RGPD de Europa.
Este acuerdo representa un paso significativo hacia una mayor protección de la privacidad de los datos y la seguridad jurídica en las transferencias internacionales de información entre EE. UU. y la UE. Sin embargo, queda claro que asegurar la confidencialidad de los datos continuará siendo una preocupación para empresas y ciudadanos de ambos lados del Atlántico.
