¿El Marco Transatlántico de Privacidad de Datos sustituirá al Escudo de Privacidad de EE. UU. y la UE?

Tras casi dos años de exhaustivas negociaciones, la Comisión Europea y los Estados Unidos han acordado un nuevo Marco Transatlántico de Privacidad de Datos. El acuerdo garantiza la protección adecuada de los datos transferidos a los EE. UU., atendiendo a la sentencia del Tribunal de Justicia de la UE (Schrems II) sobre la seguridad de los flujos de datos y una economía digital competitiva y de cooperación económica, que invalidó el escudo de privacidad.

Según el nuevo marco, los datos podrán fluir de forma libre y segura entre la UE y las empresas estadounidenses participantes. El nuevo marco garantiza que:

• El acceso a los datos por parte de las autoridades de inteligencia de EE. UU. se limita a lo que es necesario y proporcionado, por lo tanto legítimo, para proteger la seguridad nacional;
• Las agencias de inteligencia estadounidenses adoptarán procedimientos para garantizar que los objetivos de seguridad nacional no afecten de manera desproporcionada a la privacidad individual y la protección de los derechos civiles;
• Las quejas de los ciudadanos de la UE sobre el acceso a sus datos por parte de las agencias de inteligencia de EE. UU. se investigarán y resolverán a través de un nuevo sistema de recurso de dos niveles; un Tribunal de Revisión de Protección de Datos, compuesto por personas ajenas al gobierno estadounidense, resolverá las acusaciones bajo el nuevo marco;
• Las empresas que tratan datos transferidos desde la UE deberán seguir cumpliendo el requisito de autocertificar su adhesión a los Principios a través del Departamento de Comercio de los Estados Unidos;
• Se aplicarán mecanismos específicos de supervisión y revisión.

Este nuevo marco ofrecerá una base estable para las transferencias de datos transatlánticas, que son esenciales para preservar los derechos de los individuos y permitir el comercio transatlántico en todos los sectores de la economía, incluidas las pequeñas y medianas empresas.

El Comité Europeo de Protección de Datos (CEPD) ha acogido con satisfacción el anuncio del acuerdo político, en principio, entre la Comisión Europea y Estados Unidos el pasado 25 de marzo. En un comunicado oficial del CEPD, se señalan varias cosas:

1. El CEPD subraya que este anuncio no establece un marco jurídico para que los exportadores de datos del EEE envíen datos a los Estados Unidos. Por lo tanto, los exportadores de datos deben seguir tomando las medidas adecuadas para cumplir con la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE), en particular, la decisión Schrems II del 16 de julio de 2020.
2. El CEPD analizará detenidamente las mejoras que puede aportar el nuevo marco a la luz de la legislación de la UE, la jurisprudencia del TJUE y las recomendaciones anteriores del Comité.
3. El CEPD examinará si los datos personales recopilados con fines de seguridad nacional se limitan a lo estrictamente necesario y apropiado.
4. El CEPD también investigará cómo el recién anunciado mecanismo de recurso independiente respeta el derecho de los ciudadanos del EEE a un recurso efectivo y a un juicio justo.
5. El CEPD evaluará si cualquier nueva organización creada como parte de este mecanismo tiene acceso a información relevante, incluidos los datos personales, y si puede tomar decisiones vinculantes para los servicios de inteligencia.
6. El CEPD también revisará si las decisiones o la inacción de esta autoridad pueden ser impugnadas ante los tribunales.