Tras un largo proceso de negociaciones, el pasado 10 de julio, la Comisión Europea adoptó su decisión de adecuación al marco de privacidad de datos UE-EE.UU ( en adelante en sus siglas en inglés «Data Privacy Framework DPF»).La decisión concluye que Estados Unidos garantiza un nivel adecuado de protección, comparable al de la Unión Europea, para los datos personales transferidos desde la UE a empresas estadounidenses. Sobre la base de la nueva decisión de adecuación, los datos personales pueden fluir de forma segura desde la UE a las empresas estadounidenses que participan en el Marco, sin tener que establecer salvaguardias adicionales de protección de datos.
La decisión de adecuación sigue a la firma por parte de los Estados Unidos de una Orden Ejecutiva sobre «Mejora de las salvaguardias para las actividades de inteligencia por parte de los Estados Unidos», que introdujo nuevas salvaguardias vinculantes para abordar los puntos planteados por el Tribunal de Justicia de la Unión Europea en su decisión Schrems II de julio de 2020, proporcionando una base jurídica duradera y fiable para los flujos de datos transatlánticos.
¿Qué es una decisión de adecuación?
Una decisión de adecuación es una de las herramientas previstas en el Reglamento General de Protección de Datos (RGPD) para transferir datos personales de la UE a terceros países que, según la evaluación de la Comisión, ofrezcan un nivel de protección de datos personales comparable al de la Unión Europea. Pueden consultar los países y territorios que hasta la fecha han sido declarados como adecuados aquí.
Como resultado de decisiones de adecuación, los datos personales pueden fluir libremente y de forma segura desde el Espacio Económico Europeo (EEE), que incluye los 27 Estados miembros de la UE, así como Noruega, Islandia y Liechtenstein, a un tercer país, sin estar sujetos a ninguna otra condición o autorización. En otras palabras, las transferencias al tercer país pueden gestionarse de la misma manera que las transmisiones de datos dentro de la UE.
Con la aprobación de esta nueva decisión, la Comisión decidió que los Estados Unidos («EE.UU.»), a efectos del artículo 45 del Reglamento (UE) 2016/679 («RGPD»), garantizan un nivel adecuado de protección de los datos personales transferidos desde la UE a organizaciones de los EE.UU. incluidas en la «Lista del marco de privacidad de datos», mantenida y puesta a disposición del público por el Departamento de Comercio de los Estados Unidos.
Lista que incluirá las entidades que mantienen activa la certificación bajo este nuevo marco de privacidad y que pueden consultar aquí
Tras la invalidación de las anteriores marcos de privacidad UE-EE UU Safe Harbour y Privacy Shield por parte del Tribunal de Justicia de la UE en sus respectivas sentencias Schrems I, de 6 de octubre de 2015 (asunto C362/14, Schrems) y Schrems II, de 16 de julio de 2020 (asunto C-311/18, Schrems),de la que ya tuvimos ocasión de hablar en otras entradas de nuestra blog (aquí y aquí), este nuevo intento introduce nuevas salvaguardias vinculantes para responder a las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea en comparación con el mecanismo que existía bajo el anterior Escudo de Privacidad, entre otras destacamos las siguientes:
- La limitación del acceso a los datos de la UE por parte de los servicios de inteligencia de EE. UU. a lo que sea necesario y proporcionado para proteger la seguridad nacional.
- Mayor supervisión de las actividades de los servicios de inteligencia de Estados Unidos para garantizar el cumplimiento de las limitaciones de las actividades de vigilancia.
- Y el establecimiento de un mecanismo de reparación independiente e imparcial, al que tendrán acceso los ciudadanos de la UE y que incluye un nuevo Tribunal de Revisión de Protección de Datos (en Inglés Data Protection Review Court, “DPRC”); para investigar y resolver quejas sobre el acceso a sus datos por parte de las autoridades de seguridad nacional de EE. UU.
Las empresas estadounidenses, a través de este mecanismo de autocertificación, podrán unirse al marco de privacidad de datos UE-EE.UU. comprometiéndose a cumplir con un conjunto detallado de obligaciones de privacidad, entre los que se encuentran el cumplimiento de los principios de privacidad tales como, la limitación de la finalidad, la minimización y la retención de datos, así como obligaciones específicas relativas a la seguridad de los datos y el intercambio de datos con terceros.
El Marco será administrado por el Departamento de Comercio de los Estados Unidos, que procesará las solicitudes de certificación y supervisará si las empresas participantes continúan cumpliendo con los requisitos de certificación. El Marco de Privacidad de Datos será por su parte aplicado por la Comisión Federal de Comercio de los Estados Unidos. En caso de que las empresas estadounidenses signatarias dejen de cumplir sus obligaciones en virtud del Marco de Privacidad de Datos UE-EE.UU.
El Marco proporciona a las personas de la UE cuyos datos se transferirían a empresas participantes en los Estados Unidos, varios derechos nuevos (por ejemplo, para obtener acceso a sus datos u obtener la corrección o eliminación de datos incorrectos o tratados ilegalmente). Además, ofrece diferentes vías de reparación en caso de que sus datos se manejen indebidamente, incluso ante mecanismos independientes gratuitos de resolución de disputas y un panel de arbitraje.
Por su parte el Comité Europeo de Protección de Datos (CEPD), emitió en su día un dictamen sobre el proyecto de Decisión de adecuación, de conformidad con el artículo 70, apartado 1, letra s), del RGPD, y más recientemente durante el último pleno el CEPD ha elaborado una nota informativa, sobre transferencias de datos en virtud del RGPD a Estados Unidos tras la adopción de la decisión de adecuación el 10 de julio de 2023, con el objeto aportar cierta claridad sobre las implicaciones de la nueva Decisión de adecuación para los interesados en la UE y para las entidades que transfieren datos personales de la UE a los Estados Unidos y que por su interés extraemos lo más relevante a continuación:
¿Cómo se pueden transferir los datos personales a EEUU sobre la base del DPF?
La Decisión de adecuación se aplica desde el 10 de julio de 2023. Esto significa que, a partir de esta fecha, las transferencias desde la UE a organizaciones en los EE. UU. que están incluidas en la «Lista del marco de privacidad de datos” pueden basarse en la Decisión de adecuación, sin necesidad de depender de las herramientas de transferencia del artículo 46 del RGPD.
Esto también significa que las transferencias basadas en la Decisión de adecuación no tienen que complementarse con medidas complementarias. Véase a estos efectos el comunicado de prensa y las FAQS de la Comisión Europea.
Las organizaciones que auto certifiquen su compromiso de cumplir con los principios del Marco del Escudo de la Privacidad UE-EE. UU, deberán de actualizarse e incluir en sus respectivas políticas de privacidad la URL Marco de privacidad digital (dataprivacyframework.gov), Para hacer referencia a su auto certificación.
¿Cómo se pueden transferir datos personales a EEUU si el importador de datos no está incluido en la lista del marco de privacidad de datos?
Las transferencias a entidades en los EE. UU. que no están incluidas en la «Lista marco de privacidad de datos» no pueden basarse en la Decisión de adecuación y requerirán garantías adecuadas de protección de datos, derechos exigibles y recursos legales efectivos para los interesados (por ejemplo, a través de cláusulas estándar de protección de datos, normas corporativas vinculantes), de conformidad con el artículo 46 del RGPD. A este respecto, el CEPD subraya que todas las salvaguardias establecidas por el Gobierno de los Estados Unidos en el ámbito de la seguridad nacional (incluido el mecanismo de recurso) se aplican a todos los datos transferidos a los EE.UU., independientemente de la herramienta de transferencia utilizada. Por lo tanto, al evaluar la eficacia de la herramienta de transferencia elegida en virtud del artículo 46 del RGPD, los exportadores de datos deben tener en cuenta la evaluación realizada por la Comisión en la Decisión de adecuación. Véase una entrada anterior a nuestro Blog sobre una de estas herramientas como son las CCT
¿Pueden los interesados en la UE presentar reclamaciones ante el incumplimiento del DPF?
Las personas cuyos datos se transfieren a los EE.UU. sobre la base de la Decisión de adecuación tienen a su disposición varios mecanismos de recurso si consideran que la organización estadounidense en cuestión no cumple con el DPF. Se alienta a las personas a presentar primero cualquier queja que puedan tener ante la organización estadounidense correspondiente. En caso de consultas, las organizaciones de la UE pueden, si es necesario, solicitar el asesoramiento de sus autoridades de protección de datos que son competentes para supervisar las actividades de tratamiento relacionadas.
¿Cómo pueden los interesados de la UE hacer uso del nuevo mecanismo de recurso en el ámbito de la seguridad nacional?
Independientemente de la herramienta de transferencia utilizada para transferir sus datos personales a los EE. UU., Los interesados en la UE pueden presentar una queja ante su autoridad nacional de protección de datos para hacer uso del nuevo mecanismo de recurso en el ámbito de la seguridad nacional. La autoridad nacional de protección de datos, a su vez, garantizará que la reclamación se entregue al CEPD, que transmitirá la reclamación a las autoridades estadounidenses competentes para tramitarla. Además, la autoridad de protección de datos se asegurará de que el interesado reciba información sobre el proceso de tramitación de reclamaciones, incluso con respecto al resultado de la reclamación presentada. Para que una queja sea admisible, las personas no necesitan demostrar que sus datos fueron recopilados por las agencias de inteligencia de los Estados Unidos.
¿Se revisará la Decisión de Adecuación?
La primera revisión de la Decisión de adecuación tendrá lugar un año después de su entrada en vigor, para verificar si todos los elementos se han aplicado plenamente y si son efectivos en la práctica. Tras la primera revisión y en función de sus resultados, la Comisión decidirá, en consulta con el CEPD y los Estados miembros de la UE, la periodicidad de las revisiones posteriores, que en cualquier caso tendrán lugar al menos cada cuatro años.
Las decisiones de adecuación pueden adaptarse o incluso retirarse en caso de acontecimientos que afecten al nivel de protección en el tercer país.
Esperemos que este nuevo marco de privacidad EU-EE. UU. no corra la misma suerte que sus predecesoras, y resulte nuevamente invalidada en una Schrem III por parte del TJUE, al no resultar las salvaguardas adoptadas suficientes para proteger los derechos y libertades de los ciudadanos europeos.
