El 10 de julio de 2023, la Comisión Europea hizo un anuncio importante al adoptar su decisión de adecuación sobre el Marco de Privacidad de Datos entre la Unión Europea y Estados Unidos.
Esta decisión implica que se reconoce una vez más que Estados Unidos proporciona un nivel de protección adecuado a los usuarios de la Unión Europea. En consecuencia, ahora los datos personales pueden circular libremente de la Unión Europea a las empresas estadounidenses autocertificadas sin necesidad de medidas de protección adicionales.
En este artículo se profundizará en los detalles de la decisión y se destacarán las principales revisiones introducidas con respecto al Escudo de la privacidad, que fue anulado.
Marco de Privacidad de Datos UE-EE.UU: Antecedentes
- Julio de 2000: La Comisión Europea adoptó la decisión sobre la adecuación de la protección proporcionada por los principios de puerto seguro sobre la privacidad.
- Octubre de 2015: Los principios de puerto seguro quedaron invalidados a raíz de la primera sentencia Schrems.
- Julio de 2016: La Comisión Europea adoptó la decisión sobre la adecuación de la protección proporcionada por el Escudo de la privacidad.
- Julio de 2020: El Tribunal de Justicia de la Unión Europea (TJUE) declaró que el Escudo de la privacidad era incompatible con el RGPD y, por tanto, ya no era válido.
- Marzo de 2022: La presidenta von der Leyen y el presidente Biden llegaron a un acuerdo sobre un nuevo Marco Transatlántico de Privacidad de Datos.
- Octubre de 2022: El presidente Biden firmó la orden ejecutiva (executive order) 14086 sobre la mejora de las garantías de las actividades de inteligencia de señales de Estados Unidos (Enhancing Safeguards for United States Signals Intelligence Activities).
- Diciembre de 2022: La Comisión Europea adoptó su proyecto de decisión de adecuación sobre la Unión Europa y Estados Unidos. Marco de Privacidad de Datos.
- Febrero de 2023: El Comité Europeo de Protección de Datos adoptó su dictamen sobre el proyecto de decisión de adecuación.
- Mayo de 2023: Se emitió una resolución no vinculante del Parlamento Europeo.
- Julio de 2023: Casi todos los representantes de los Estados miembros de la Unión Europea aprobaron el proyecto de decisión de adecuación.
- Julio de 2023: La Comisión Europea adoptó formalmente su decisión de adecuación sobre la Unión Europea y Estados Unidos. Marco de Privacidad de Datos.
Marco de Privacidad de Datos UE-EE.UU.
El Marco de Privacidad de Datos UE-EE.UU. marca un paso crucial hacia el restablecimiento de la confianza en las transferencias transatlánticas de datos.
Tras la sentencia Schrems II del TJUE, el anterior marco del Escudo de la privacidad quedó invalidado debido a la preocupación por el acceso a los datos por parte de las agencias de inteligencia estadounidenses.
El nuevo marco adoptado aborda estas preocupaciones mediante varias revisiones relevantes:
1. Acceso necesario y proporcionado a los datos
En virtud del Marco de Privacidad de Datos UE-EE.UU., el acceso a los datos por parte de las agencias de inteligencia estadounidenses se limita ahora a lo que se considera “necesario y proporcionado“.
Esta disposición garantiza que la transferencia de datos cumple las estrictas normas de privacidad y, al mismo tiempo, equilibra los intereses legítimos de seguridad nacional.
2. Mecanismo de recurso de dos niveles
Para mejorar la rendición de cuentas y proteger los derechos de las personas de la UE, se ha establecido un nuevo mecanismo de recurso de dos niveles.
- El primer nivel consiste en un responsable de Protección de las Libertades Civiles (Civil Liberties Protection Officer) de la comunidad de inteligencia estadounidense que investiga de forma independiente y objetiva las denuncias presentadas por particulares de la UE, de forma gratuita y en su propio idioma, directamente a las autoridades de protección de datos de sus países. A continuación, el Comité Europeo de Protección de Datos transmite estas denuncias a Estados Unidos.
- El segundo nivel comprende el Tribunal de Revisión de Protección de Datos (Data Protection Review Court), que actúa como autoridad independiente y vinculante. El Tribunal de Revisión de Protección de Datos conoce de los recursos contra las resoluciones adoptadas por el responsable de Protección de las Libertades Civiles. Es importante destacar que los miembros del Tribunal de Revisión de Protección de Datos poseen cualificaciones específicas y actúan al margen de la influencia o las instrucciones del Gobierno estadounidense, lo que garantiza la imparcialidad y la equidad.
3. Derechos de las personas de la Unión Europea
La decisión de adecuación concede a las personas de la Unión Europea cuyos datos se han transferido a empresas estadounidenses autocertificadas varios derechos importantes. Estos derechos incluyen la capacidad de:
- acceder a sus datos;
- solicitar correcciones;
- suprimir los datos incorrectos o tratados ilegalmente; y
- acceder a vías de recurso a través de un mecanismo independiente y gratuito de resolución de conflictos y un panel de arbitraje.
4. Aplicabilidad más amplia y garantías
Las garantías proporcionadas por el Gobierno estadounidense dentro del Marco de Privacidad de Datos UE-EE.UU. se extienden más allá de los datos transferidos a través de este marco específico. También se aplican a los datos transferidos a través de otros mecanismos, como:
- cláusulas contractuales tipo; o
- normas corporativas vinculantes.
Esta aplicación más amplia garantiza un nivel coherente de protección de datos para las personas de la Unión Europea, con independencia del mecanismo específico de transferencia utilizado.
5. Revisiones periódicas y control continuo del cumplimiento
Para garantizar el cumplimiento y la eficacia continuos, el Marco de Privacidad de Datos UE-EE.UU. se someterá a revisiones periódicas.
Está previsto que la primera revisión tenga lugar en el plazo de un año desde la entrada en vigor del Marco. La Comisión Europea hará un seguimiento continuo de los avances relevantes en Estados Unidos para garantizar que se mantienen las salvaguardias establecidas.
¿Qué tienes que hacer ahora?
Actualmente no se requiere ninguna acción inmediata. Es necesario esperar a que las empresas estadounidenses completen el proceso de autocertificación antes de que puedan comenzar los flujos de datos.
La adopción del Marco de Privacidad de Datos UE-EE.UU. por la Comisión Europea representa un hito importante en la privacidad de datos transatlántica. Con la decisión de adecuación en vigor, el flujo de datos personales de la Unión Europea a las empresas estadounidenses puede reanudarse sin medidas de protección adicionales, siempre que participen en el Marco de Protección de Datos UE-EE.UU.
¿Utilizas Google Analytics o algún servicio afectado? Recuerda incluirlos en tu política de privacidad.
Actualiza tu aviso de privacidad