(Spanish translation only, please refer to English version here for proper citations)

El pasado miércoles, Biden firmó una orden ejecutiva (OE) buscando bloquear las transferencias masivas de datos, incluyendo geolocalización, datos financieros y ciertos tipos de información personal identificable a países de preocupación. El propósito es proteger la información personal sensible de ser explotada por estos países de preocupación. La Casa Blanca afirma, “[l]os actores maliciosos pueden usar estos datos para rastrear a estadounidenses (incluidos los miembros del servicio militar), indagar en sus vidas personales y pasar esos datos a otros corredores de datos y servicios de inteligencia extranjeros. Estos datos pueden habilitar vigilancia intrusiva, estafas, chantaje y otras violaciones de la privacidad.” Este es un gran paso en la dirección correcta porque limita las transferencias de datos salientes que representan “un riesgo inaceptable para la seguridad nacional de EE.UU.”

Regulación de los corredores de datos

La EO afecta principalmente los modelos comerciales de firmas de terceros conocidas como corredores de datos (empresas que obtienen ganancias de la recopilación masiva, agregación y venta de datos personales). Según el Reglamento General de Protección de Datos de la UE, los datos personales se refieren a cualquier información relacionada con una persona natural identificada o identificable, que incluye información biográfica, historial de navegación por internet y geolocalización. Un corredor de datos es cualquier empresa que obtiene ganancias de cualquier dato personal. A través de esta EO, Biden dirige al Departamento de Justicia a emitir regulaciones que restrinjan a las empresas estadounidenses la transferencia o venta de grandes conjuntos de datos a “personas cubiertas” que están sujetas a la jurisdicción de “países de preocupación”, identificando a China, Rusia, Irán, Corea del Norte, Cuba y Venezuela como países de preocupación bajo este programa. También impide transacciones a “personas cubiertas” designadas (un empleado o contratista extranjero de tal entidad que esté controlado o sujeto a la jurisdicción del país de preocupación) ubicado en terceros países (como los Estados miembros de la UE) dependiendo de la naturaleza de su relación con los países cubiertos. El Departamento de Justicia (DOJ) será responsable de implementar la EO, en colaboración con otras agencias federales. El DOJ planea emitir regulaciones con el objetivo de proteger los datos personales sensibles de los estadounidenses para evitar que sean explotados por países de preocupación a través de un proceso de elaboración de normas. El DOJ ha publicado un documento informativo sobre cómo planea implementar la EO, que establece que el DOJ “emitirá un Aviso Anticipado de Elaboración de Normas Propuestas (ANPRM) para proporcionar detalles sobre las reglas propuestas y para dar aviso y solicitar comentarios del público.”

¿Cuáles son los límites de la EO?

El alcance de la EO es limitado porque solo afecta a los corredores de datos en la transferencia de datos a los países de preocupación, sin embargo, no hace nada en cuanto a la regulación de la transferencia de datos dentro de los EE. UU. Las empresas de tecnología y los corredores de datos que recopilan, procesan, almacenan y comparten información personal sensible con entidades en los EE. UU. continúan permitiendo a las empresas estadounidenses compartir o vender datos personales a la mayoría de los países terceros que no se consideran “países de preocupación.” Muchos líderes de la industria han elogiado la EO, al mismo tiempo que reconocen la necesidad de futuras reglas y regulaciones:

“La orden ejecutiva de hoy es un recordatorio de la necesidad urgente de proteger los datos personales de los estadounidenses. Los corredores de datos corporativos están recopilando y vendiendo datos extremadamente sensibles sobre todos nosotros, incluidos el personal militar estadounidense, a compradores extranjeros. La orden ejecutiva insta al CFPB a utilizar sus autoridades legales para proporcionar mayores protecciones. Este año, propondremos nuevas reglas para frenar estos abusos que protegerán a las familias y nuestra seguridad nacional,” dijo el Director del CFPB, Rohit Chopra.

“La NAI apoya el plan del presidente de prohibir la venta de datos sensibles de consumidores estadounidenses a adversarios extranjeros. La venta no consentida de datos de consumidores estadounidenses a gobiernos extranjeros es antiética y representa una grave amenaza a la privacidad de los consumidores,” dijo la Presidenta y CEO de la NAI, Leigh Freund.

“Nuestros adversarios están explotando los datos personales sensibles de los estadounidenses para amenazar nuestra seguridad nacional”, dijo el Fiscal General Merrick B. Garland. “Están comprando estos datos para usarlos para chantajear y vigilar a individuos, apuntar a aquellos que consideran disidentes aquí en los Estados Unidos y participar en otras actividades maliciosas. Esta Orden Ejecutiva otorga al Departamento de Justicia la autoridad para bloquear a los países que representan una amenaza para nuestra seguridad nacional para cosechar los datos personales más sensibles de los estadounidenses, incluidos datos genómicos humanos, biométricos e identificadores personales, y datos personales de salud y financieros”.

¿Qué sigue?

La vigilancia gubernamental y privada continuará sin cesar, como lo destacan numerosos expertos en privacidad. La proliferación de la inteligencia artificial y las tecnologías de seguimiento avanzadas subraya la persistente amenaza que representan tanto las entidades gubernamentales como las privadas. Esto subraya la necesidad urgente de legislaciones sólidas de privacidad de datos (comparables, por ejemplo, al GDPR) para salvaguardar los derechos de los estadounidenses.

Si bien la orden ejecutiva (EO) se dirige principalmente a adversarios extranjeros, falla en abordar las preocupaciones legítimas de los estadounidenses con respecto a las prácticas de vigilancia doméstica. Las limitaciones de la EO son evidentes en su incapacidad para frenar métodos de seguimiento cada vez más intrusivos y la transferencia y venta no autorizadas de datos personales dentro de los Estados Unidos. Esta brecha regulatoria subraya la necesidad apremiante de legislación integral para abordar estos problemas.