Dunia Baru Transfer Data Internasional Yang Berani

January 20, 2022 0 Comments

Dunia Baru Transfer Data Internasional Yang Berani – Masa depan transfer data internasional adalah multi-dimensi, menjelajahi wilayah baru di seluruh dunia, menampilkan perjanjian internasional yang mengikat untuk kerjasama penegakan yang efektif dan perlahan-lahan memasuki agenda organisasi antar pemerintah tingkat tinggi. Semua ini muncul dari ceramah penting yang disampaikan selama Konferensi Majelis Privasi Global edisi ke-43, yang diselenggarakan dari jarak jauh oleh otoritas perlindungan data Meksiko, INAI

Dunia Baru Transfer Data Internasional Yang Berani

33bits.org – “Pentingnya aliran data secara umum diakui sebagai fakta yang tak terhindarkan”, kata Bruno Gencarelli, Kepala Unit untuk Aliran dan Perlindungan Data Internasional di Komisi Eropa, di awal pidato utamanya. Memang, dari gelombang kejut yang dikirim oleh Pengadilan Kehakiman Uni Eropa (CJEU) dengan keputusan Schrems II pada tahun 2020, hingga dorongan lokalisasi data yang semakin tajam di beberapa yurisdiksi di seluruh dunia, didukung oleh kenyataan bahwa aliran data adalah pusatnya. kehidupan sehari-hari selama pandemi dengan pekerjaan jarak jauh, sekolah, konferensi global, dan lainnya – bidang transfer data internasional lebih penting dari sebelumnya. Karena, seperti yang dicatat Gencarelli, “secara umum juga diakui bahwa perlindungan harus berjalan dengan data”.

Amerika Latin dan Asia Pasifik, “laboratorium nyata” dari aturan perlindungan data baru

Gencarelli kemudian mengamati bahwa percakapan tentang arus data internasional telah menjadi jauh lebih “global dan beragam”, secara teknis bergeser dari “debat transatlantik tradisional” menjadi percakapan yang benar-benar global. “Kami melihat pergeseran ke wilayah lain di dunia, seperti Asia-Pasifik dan Amerika Latin. Ini tidak berarti bahwa dimensi transatlantik tidak terlalu penting, sebenarnya sangat penting, tetapi jauh dari satu-satunya”, katanya. Pernyataan ini muncul ketika Pemerintah AS dan Komisi Eropa telah bernegosiasi selama lebih dari setahun untuk kerangka transfer data untuk menggantikan Perisai Privasi UE-AS, yang dibatalkan oleh CJEU pada Juli 2020.

Faktanya, menurut Gencarelli, “Amerika Latin dan Asia-Pasifik saat ini adalah laboratorium nyata untuk aturan, inisiatif, dan solusi perlindungan data baru. Ini membawa peluang baru untuk memfasilitasi aliran data dengan wilayah ini, tetapi juga antara wilayah tersebut dan seluruh dunia”. Komisi Eropa baru-baru ini menyelesaikan pembicaraan kecukupan dengan Korea Selatan, setelah menciptakan area aliran data gratis terbesar untuk UE dengan Jepang, dua tahun lalu.

“Anda akan melihat lebih banyak dari itu dalam beberapa bulan dan tahun mendatang, dengan mitra lain di Asia dan Amerika Latin”, tambahnya, tanpa merinci yurisdiksi apa yang segera dalam jalur kecukupan. Sebelumnya dalam konferensi tersebut, Jonathan Mendoza, Sekretaris Perlindungan Data Pribadi di INAI, telah menyebutkan bahwa Meksiko dan Kolombia adalah dua negara di Amerika Latin yang telah terlibat dengan Komisi kecukupan Eropa.

Namun, sebelum Komisi Eropa secara resmi mengomunikasikan tentang pembicaraan kecukupan lanjutan atau pembaruan keputusan kecukupan pra-GDPR, kami tidak akan mengetahui yurisdiksi apa itu. Dalam Komunikasi resmi dari tahun 2017, “Bertukar dan melindungi data pribadi di dunia yang terglobalisasi”, Komisi mengumumkan bahwa, “bergantung pada kemajuan menuju modernisasi undang-undang perlindungan datanya”, India dapat menjadi salah satu negara tersebut, bersama dengan negara-negara dari Mercosur dan negara-negara dari “lingkungan Eropa” (ini berpotensi merujuk ke negara-negara di Balkan atau perbatasan Selatan dan Timur, seperti Moldova, Ukraina atau Turki, misalnya).

Melampaui “kecukupan bilateral”: “alat transfer” regional

“Kecukupan” yurisdiksi asing sebagai dasar untuk memungkinkan data mengalir secara bebas telah menjadi standar untuk transfer data internasional yang mendapatkan daya tarik yang cukup besar di luar UE dalam kerangka kerja perlindungan data legislatif baru (lihat, misalnya, Pasal 33 dan 34 LGPD Brasil, Pasal 34(1)(b) Undang-Undang Perlindungan Data India terkait dengan transfer data sensitif, atau rencana yang baru-baru ini diumumkan oleh pemerintah Australia untuk memperbarui Undang-Undang Privasi negara tersebut, di hal. 160). Bahkan di mana kecukupan tidak secara tegas diakui sebagai dasar untuk transfer, seperti dalam Undang-Undang Perlindungan Informasi Pribadi (PIPL) China, Negara masih memiliki kewajiban untuk mempromosikan “pengakuan timbal balik atas aturan perlindungan informasi pribadi, standar, dll. dengan negara, wilayah, dan negara lain. organisasi internasional”, sebagaimana diatur dalam Pasal 12 PIPL.

Baca Juga : PERLINDUNGAN DATA KOMPREHENSIF BARU CHINA

Namun, seperti yang dicatat Gencarelli dalam keynote-nya, setidaknya dari sudut pandang Komisi Eropa, “di luar dimensi bilateral itu, peluang baru telah muncul”. Dia secara khusus menyebutkan “peran jaringan regional dan organisasi regional dapat bermain dalam mengembangkan alat transfer internasional.”

Salah satu contoh yang dia berikan adalah klausul model untuk transfer data internasional yang diadopsi oleh ASEAN tahun ini, tepat sebelum Komisi Eropa mengadopsi set Klausul Kontrak Standar yang baru di bawah GDPR: “Kami sedang membangun jembatan antara dua set klausa model. (…) Kedua perangkat tersebut tidak identik, tidak harus identik, tetapi didasarkan pada sejumlah prinsip dan perlindungan umum. Membuat mereka berbicara satu sama lain, membangun konvergensi itu tentu saja dapat secara signifikan memfasilitasi kehidupan perusahaan yang ada di ASEAN dan di UE”.

The convergence of data protection standards and safeguards around the world “has reached a certain critical mass”, according to Gencarelli. This will lead to notable opportunities to cover more than two jurisdictions under some transfer tools: “[they] could cover entire regions of the world and on that aspect too you will see interesting initiatives soon with other regions of the world, for instance Latin America.

This new approach to transfers can really have a significant effect by covering two regions, a significant network effect to the benefit of citizens, who see that when the data are transferred to a certain region of the world, they are protected by a high and common level of protection, but also for businesses, since it will help them navigate between the requirements of different jurisdictions.”

Entering the world of high level intergovernmental organizations and international trade agreements

One of the significant features of the new landscape of international data transfers is that it has now entered the agenda of intergovernmental fora, like the G7 and G20, in an attempt to counter data localization tendencies and boost digital trade. “This is no longer only a state to state discussion. New players have emerged. (…) If you think of data protection and data flows, we see it at the top of the agenda of G7 and G20, but also regional networks of data protection authorities in Latin America, in Africa, in Europe”, Gencarelli noted.

One particular initiative in this regard, spearheaded by Japan, was extensively explored by Mieko Tanno, the Chairperson of Japan’s Personal Information Protection Commission (PIPC) in her keynote address at the GPA: the Data Free Flow with Trust initiative. “The legal systems related to data flows (…) differ from country to country reflecting their history, national characteristics and political systems. Given that there is no global data governance discipline, policy coordination in these areas is essential for free flow of data across borders. With that in mind, Japan proposed the idea of data free flow with trust at the World Economic Forum annual meeting in 2019. It was endorsed by the world leaders of the G20 Osaka summit in the same year and we are currently making efforts in realizing the concept of DFFT”, Tanno explained.

A key characteristic of the DFFT initiative, though, is that it emulates existing legal frameworks in participating jurisdictions and does not seem to propose the creation of new solutions that would enhance the protection of personal data in cross-border processing and the trust needed to allow free flows of data. Two days after the GPA conference took place, the G7 group adopted a set of Digital Trade Principles during their meeting in London, including a section dedicated to “Data Free Flow with Trust”, which confirms this approach.

Misalnya, inisiatif DFFT secara khusus mengalihdayakan ke OECD untuk memecahkan masalah pelik dari perlindungan yang tepat untuk akses pemerintah ke data pribadi yang dipegang oleh perusahaan swasta, yang mendasari pembatalan pertama dan kedua oleh CJEU dari keputusan kecukupan yang dikeluarkan oleh Komisi Eropa untuk kerangka kerja privasi pengaturan diri yang diadopsi oleh AS. Sementara upaya OECD dalam hal ini menemui hambatan selama musim panas ini, GPA berhasil mengadopsi resolusi selama Sesi Tertutup konferensi tentang Akses Pemerintah ke Data Pribadi yang diadakan oleh Sektor Swasta untuk Keamanan Nasional dan Tujuan Keselamatan Publik, yang mencakup prinsip-prinsip seperti transparansi, proporsionalitas, pengawasan independen dan ganti rugi yudisial.

Namun, satu ide menarik muncul di antara proposal terkait DFFT yang dipromosikan PIPC untuk dipertimbangkan lebih lanjut dalam forum antar pemerintah ini, menurut Mieko Tanno: pengenalan sistem sertifikasi perusahaan global. Tidak ada rincian lebih lanjut tentang ide ini yang dibagikan di GPA, tetapi karena inisiatif DFFT akan terus berjalan melalui agenda forum internasional, kami mungkin akan segera mengetahui informasi lebih lanjut.

Satu lapisan kompleksitas terakhir yang ditambahkan ke perdebatan transfer data internasional adalah terjalinnya arus data dengan perjanjian perdagangan internasional. Dalam keynote-nya, Bruno Gencarelli berbicara tentang “sinergi yang dapat diciptakan antara instrumen perdagangan di satu sisi dan mekanisme perlindungan data di sisi lain”, dan mempromosikan pemecahan silo di antara keduanya sebagai hal yang sangat penting. Ini sudah terjadi pada tingkat tertentu, seperti yang ditunjukkan oleh Bagan yang dilampirkan pada ringkasan kebijakan Wawasan G20 ini, tentang “ketentuan dalam perjanjian perdagangan baru-baru ini yang membahas privasi untuk data pribadi dan perlindungan konsumen”.

Pertanyaan penting yang perlu dipertimbangkan untuk pendekatan ini adalah, seperti yang ditunjukkan oleh Dr. Clarisse Girot, Direktur FPF Asia-Pasifik, ketika meninjau bagian ini, “seberapa jauh kita dapat membangun kepercayaan dengan perjanjian perdagangan?”. Biasanya, perjanjian perdagangan “menjamin keterbukaan yang sesuai dengan tingkat kepercayaan yang sudah ada sebelumnya”, sebagaimana dicatat dalam ringkasan kebijakan Wawasan G20.

UE akan mencari mandat untuk merundingkan perjanjian internasional untuk kerja sama penegakan perlindungan data

Kerja sama penegakan untuk penerapan aturan perlindungan data dalam kasus lintas batas adalah salah satu bidang utama yang memerlukan peningkatan signifikan, menurut Bruno Gencarelli: “Ketika Anda memiliki pelanggaran data besar atau masalah kepatuhan besar, hal itu secara bersamaan mempengaruhi beberapa yurisdiksi, ratusan ribu, jutaan pengguna. Masuk akal bahwa regulator yang menyelidiki pada saat yang sama masalah kepatuhan yang sama harus dapat bekerja sama secara efektif. Ini juga masuk akal karena sebagian besar undang-undang privasi baru yang dimodernisasi memiliki apa yang disebut efek ekstrateritorial”.

Gencarelli juga mencatat bahwa kurangnya efektivitas pengaturan saat ini untuk kerja sama penegakan hukum privasi dan perlindungan data muncul terutama jika dibandingkan dengan bidang peraturan lainnya, seperti persaingan dan pengawasan keuangan. Di wilayah tersebut, para penegak hukum memiliki alat pengikat yang memungkinkan “kerjasama di lapangan, pertukaran informasi secara real time, memberikan bantuan timbal balik satu sama lain, melakukan penyelidikan bersama”.

Dalam hal ini, Uni Eropa memiliki rencana untuk membuat kotak peralatan yang mengikat bagi regulator. “Uni Eropa akan, dalam konteks penerapan GDPR, mencari mandat untuk merundingkan perjanjian semacam itu dengan sejumlah mitra internasional”, Bruno Gencarelli mengumumkan dalam pidato utamanya.

Lebih dari 130 otoritas privasi dan pengawasan dari seluruh dunia yang tergabung dalam GPA sangat tertarik untuk meningkatkan dan memantapkan kerjasama mereka, baik dalam masalah kebijakan dan penegakan, seperti yang terlihat dari Resolusi tentang Arah Strategis Majelis untuk 2021-2023 diadopsi oleh IPK selama Konferensi tahun ini, di bawah kepemimpinan Elizabeth Denham dan timnya di Kantor Komisaris Informasi Inggris. Strategi dua tahun ini mengusulkan tindakan nyata, seperti “membangun keterampilan dan kapasitas di antara anggota, khususnya terkait dengan strategi penegakan, proses investigasi, kerja sama dalam praktik dan penilaian pelanggaran”. Kotak alat yang mengikat untuk kerja sama penegakan yang mungkin dipromosikan oleh UE secara internasional tidak diragukan lagi akan meningkatkan inisiatif ini.

Sebagai tanda bahwa, memang, debat perlindungan data dan privasi semakin bersemangat di luar geografi tradisional untuk bidang ini, INAI Meksiko terpilih sebagai Ketua Komite Eksekutif GPA berikutnya dan dipercayakan untuk melaksanakan Strategi GPA untuk dua tahun berikutnya. bertahun-tahun.

Rekaman video dari semua sesi Keynote pada Konferensi Tahunan IPK tahun ini tersedia Sesuai Permintaan di platform Konferensi untuk peserta yang telah mendaftar untuk acara tersebut.