La Comisión Europea adoptó hace dos días una nueva decisión de adecuación para la circulación de datos entre la Unión Europea y Estados Unidos. En la misma concluye que, los Estados Unidos, garantizan un nivel de protección adecuado y equiparable al de la Unión Europea sobre los datos transferidos desde la Unión Europea a organizaciones estadounidenses.
Bajo este nuevo marco normativo, quedará amparada la transferencia internacional de datos sin que sea necesario establecer garantías adicionales para la protección de los datos.
¿Qué hay que hacer ahora?
Las organizaciones de Estados Unidos podrán adherirse al Marco de Privacidad de datos UE-EEUU siempre que se comprometan a cumplir una serie de requisitos que den fehaciencia de su cumplimiento normativo en materia de privacidad. Se trata de un proceso de autocertificación que se llevará a cabo a través del sitio web www.dataprivacyframework.gov/s en el que se publicará un listado de las empresas adheridas para su consulta pública.
Una vez que las organizaciones estadounidenses estén adheridas al Marco de Privacidad, se entenderá que las transferencias internacionales realizadas a las mismas están legalmente habilitadas.
Este Marco de Privacidad será público para su consulta de tal manera que, desde la Unión Europea, se pueda verificar que las organizaciones a las que se van a transferir datos en Estados Unidos cumplen los requisitos definidos por la Comisión Europea.
¿Qué novedades incluye este nuevo marco que no incluyera el anterior Privacy Shield?
Según la Comisión Europea, el nuevo Marco de Privacidad incluye garantías vinculantes para tratar de dar respuesta a las motivaciones que causaron la anulación del anterior marco existente por parte del Tribunal de Justicia de la Unión Europea, entre otros:
- La limitación del acceso a los datos procedentes de la UE de manera que sea sólo necesario y proporcionado por parte de los servicios de inteligencia de EEUU
- Se establece un Tribunal de Recurso en Materia de Protección de Datos para que los ciudadanos europeos puedan tener acceso al mismo. Dicho Tribunal tendrá competencias para solicitar la supresión de los datos si considera que se han recabado los mismos contraviniendo las nuevas garantías.
- Los ciudadanos europeos tendrán varias vías de reparación en caso de que se lleve a cabo un tratamiento indebido de sus datos, entre dichas garantías, la implementación de mecanismos de resolución independientes y gratuitos de resolución de controversias así como un tribunal arbitral.
- Igualmente, los ciudadanos europeos tendrán acceso a órganos independientes e imparciales de impugnación para cuestiones relacionadas con la recogida y uso de sus datos por parte de los servicios de inteligencia de EEUU.
- Los representantes de la Comisión Europea, representantes de las autoridades de protección de datos europeas y las autoridades competentes de EEUU, tendrán que sentarse periódicamente para realizar una revisión del correcto funcionamiento del Marco de Privacidad UE-EEUU aprobado para verificar que, efectivamente, garantiza la protección de los derechos buscada.
¿Cuáles son los próximos pasos?
Las empresas importadoras de datos en Estados Unidos tendrán que certificar su adhesión a los Principios de este Marco de Privacidad de Datos y, una vez adheridas, la protección otorgada por el mismo aplicará a cualquier dato personal transferido desde la UE.
¿Quién supervisa el cumplimiento de este Marco de Privacidad en Estados Unidos como estado importador?
El Departamento de Comercio estadounidense es responsable de la administración y la supervisión del Marco. La Comisión Federal de Comercio de los Estados Unidos se encargará de hacerlo cumplir por parte de las empresas estadounidenses.
¿Hay riesgos de que este nuevo Marco de Privacidad vuelva a ser anulado?
Según la Comisión Europea, un elemento esencial del marco jurídico estadounidense que consagra estas garantías es el Decreto Presidencial de los Estados Unidos titulado “Enhancing Safeguards for US Signals Intelligence Activities”. También, según la Comisión Europea, este Marco de Privacidad da respuesta a las reservas manifestadas por el Tribunal de Justicia de la Unión Europea en su sentencia de julio de 2020 en el asunto “Schrems II”.
Sin embargo, el propio Sherems discrepa con la Comisión Europea y expone los motivos en esta publicación. También avanza que esperan que este asunto esté de vuelta en el Tribunal de Justicia para principios del año que viene.
