Desde el 10 de julio de 2023, ya disponemos de un nuevo marco de adecuación para las transferencias de datos personales entre UE y EE. UU.: el EU-USA Data Privacy Framework o Marco de Privacidad de Datos UE-EEUU. En este artículo revisamos sus aspectos clave y cómo afectan a las transferencias de datos a Estados Unidos.
En este artículo hablamos de:
¿Cuál es el nuevo marco para la transferencia de datos personales entre la UE y EEUU?
El nuevo marco para la transferencia internacional de datos entre la UE y EE. UU. es el denominado Marco de Privacidad de Datos UE-EEUU (en inglés, EU-USA Data Privacy Framework, nombre que adopta la Decisión de adecuación). Este nuevo marco para las transferencias internacionales de datos a Estados Unidos es el resultado de las negociaciones que se venían haciendo entre los dos bloques desde el primer acuerdo alcanzado entre Ursula von der Leyen y Joe Biden en 2022.
El nuevo marco normativo para la transferencia de datos de la UE a EE. UU. ha sido aprobado por la Comisión Europea como una nueva Decisión de adecuación, de manera que todas las empresas estadounidenses que se adscriban al nuevo marco y cumplan con sus requisitos, podrán realizar transferencias de datos sin necesidad de establecer salvaguardias adicionales a la protección de datos.
La aprobación de este Marco viene a poner fin, por el momento, al vacío que dejó la anulación del acuerdo Privacy Shield EEUU y UE en 2020 y que, hasta ahora, obligaba a los responsables y encargados del tratamiento que tuvieran que realizar transferencias de datos a Estados Unidos recurrir a las cláusulas contractuales tipo. Con la consideración actual de la Comisión Europea de que EE. UU. garantiza un nivel adecuado de protección de datos, comparable al de la UE, ya no será necesario recurrir a ellas, siempre y cuando se cumpla con los requisitos del Marco.
Aspectos clave del nuevo marco para las transferencias de datos a Estados Unidos
El Marco de Protección de Datos UE-EEUU introduce nuevas salvaguardias vinculantes para dar respuesta las preocupaciones y dudas planteadas por el TJUE en las sentencias Schrems I y II, especialmente a las referidas al acceso de datos de ciudadanos europeos por parte de los servicios de inteligencia estadounidenses, que deberá ser necesario y proporcionado para proteger la seguridad nacional.
Las empresas estadounidenses que se adhieran a este Marco para las transferencias de datos a EE. UU. se tendrán que comprometer a cumplir con todas las obligaciones que recoge el documento, incluida la supresión de datos personales cuando se haya cumplido la finalidad para la que fueron recogidos y garantizar la continuidad de la protección cuando los datos sean compartidos con terceros.
Contenido del Marco de Privacidad de Datos UE-EEUU
El Marco de Protección de Datos UE-EEUU está compuesto por cuatro artículos, 223 considerandos y ocho anexos.
En su primer artículo declara que:
EE. UU. garantiza un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea a organizaciones en los Estados Unidos que estén incluidas en la «Lista marco de privacidad de datos», mantenida y puesta a disposición del público por el Departamento de Comercio de Estados Unidos.
En su artículo 3 se recoge que la Comisión Europea supervisará de forma permanente la aplicación del marco jurídico de la Decisión de adecuación, para comprobar si EE. UU. sigue cumpliendo con el nivel adecuado de protección de datos.
Los Principios del Marco de Privacidad UE-EEUU están establecidos en el anexo I, y son los que deben respetar y cumplir las organizaciones estadounidenses que transfieran datos personales de ciudadanos europeos. Estos principios han sido publicados por el Departamento de Comercio de EE. UU. y fueron evaluados en su día por las autoridades de protección de datos de la UE.
Así, las organizaciones estadounidenses que quieran adherirse al Marco deberán certificarse sometiéndose a los poderes de investigación y ejecución del FTC (Comisión Federal de Comercio) o del DoT (Departamento de Transporte de EE. UU.). Esta certificación debe renovarse anualmente.
Limitaciones y salvaguardias
Las limitaciones y salvaguardias que contempla el Marco de Protección de Datos UE-EEUU, están recogidas en la Orden Ejecutiva firmada por el presidente Biden en octubre de 2022, Enhancing Safeguards for United States Signals Intelligence Actives, junto a los reglamentos adoptados por el Fiscal General y que prevé con relación a los datos de ciudadanos europeos transferidos a EE. UU.:
- Salvaguardias vinculantes para limitar el acceso a los datos por parte de los servicios de inteligencia de EE. UU., estos límites deben responder a lo necesario y proporcionado para proteger la seguridad nacional.
- Mayor supervisión de las actividades de los servicios de inteligencia para que se cumplan las limitaciones del punto anterior.
- Establecimiento de un mecanismo de recurso independiente e imparcial, que incluye el nuevo Tribunal de Revisión de la Protección de Datos (DPRC) para la investigación y resolución de las reclamaciones relativas al acceso de datos por parte de los servicios de inteligencia y autoridades de seguridad nacional estadounidenses.
El Tribunal de Revisión de la Protección de Datos (DPRC)
Cómo decíamos en el punto anterior, se ha creado un nuevo mecanismo de recurso al que los ciudadanos europeos podrán acudir para hacer sus reclamaciones respecto al acceso a sus datos por parte de las autoridades de seguridad nacional de EE. UU.
El DPRC es una autoridad independiente y vinculante, que tiene capacidad para tramitar y resolver las reclamaciones presentadas por cualquier ciudadano europeo cuyos datos hayan sido transferidos a EE. UU. y hayan sido accedidos por los servicios de inteligencia estadounidenses.
Además, para poder presentar una denuncia y que esta sea admisible, no será necesario demostrar que los datos han sido accedidos por estas agencias. Los ciudadanos europeos podrán hacer su reclamación a través de su autoridad nacional de protección de datos, que se encargará de transmitirla adecuadamente y de facilitar al interesado cualquier información adicional relacionada con el procedimiento, incluido la resolución.
El encargado de transmitir las denuncias o reclamaciones a EE. UU. será el CEPD (Consejo Europeo de Protección de Datos).
Al otro lado del Atlántico, las denuncias recibidas serán investigadas por el Responsable de Protección de las Libertades Civiles de la comunidad de inteligencia de EE. UU. Este Responsable es el encargado de garantizar que se cumplen y respetan los derechos fundamentales y de privacidad por parte de los servicios de inteligencia.
Así mismo, los ciudadanos europeos podrán recurrir la decisión que tome el Responsable de Protección de las Libertades Civiles ante el DPRC.
Este Tribunal está compuesto por miembros ajenos al Gobierno de EE. UU. y no pueden recibir instrucciones de este (son seleccionados en base a cualificaciones específicas y no pueden ser destituidos salvo causa justificada). El Tribunal tiene competencias para investigar las denuncias de ciudadanos de la UE, incluida la obtención de información pertinente de los servicios de inteligencia, así como para tomar decisiones correctoras vinculantes, incluida la supresión de los datos.
En cada caso, el Tribunal seleccionará a un defensor especial, que se asegurará de que los intereses del reclamante estén representados, así como de que el propio Tribunal esté suficientemente informado de los hechos y los aspectos jurídicos de cada caso que trate.
Concluida la investigación, bien por el Responsable de la Protección de las Libertades Civiles, bien por el DPRC, el reclamante será informado tanto si se detecta o no una infracción de la legislación estadounidense y, en su caso, si ha sido solucionada.
Revisión del Marco
Si bien, el Marco de Protección de Datos UE-EEUU tiene carácter indefinido, está, cómo decíamos más arriba, sujeto a revisiones periódicas por parte de la Comisión Europea, junto a representantes de las autoridades de protección de datos y las autoridades estadounidenses competentes.
La primera revisión se llevará a cabo dentro de un año a partir de la entrada en vigor del Marco. Tendrá como fin comprobar que todos los elementos del mismo se aplican de manera adecuada y que funcionan con eficacia.
La periodicidad de las siguientes revisiones se decidirá posteriormente por la Comisión, en consulta con los Estados miembros y sus autoridades de protección de datos. Estas revisiones deberían tener lugar dentro de un período no superior a cuatro años.
¿Cuándo entra en vigor el EU-USA Data Privacy Framework?
El EU-USA Data Privacy Framework está en vigor desde el 10 de julio de 2023, lo que significa que las transferencias de datos a EE. UU. con empresas adscritas al mismo, ya son completamente legales y en consonancia con el RGPD.
Finalmente, cerramos el artículo mencionando que este nuevo Marco no está exento de crítica y que Nyob, la misma organización que llevó al TJUE los acuerdos de Safe Harbor y Privacy Shield, que dieron como resultado las citadas sentencias Schrems I y II, ya ha anunciado que también llevará este nuevo acuerdo al tribunal europeo, puesto que consideran que no cambia ni mejora nada de lo que ya era Privacy Shield y que, por lo tanto, tiene los mismos problemas y carencias.
En cualquier caso, esa hipotética decisión del TJUE no llegaría hasta 2025 como pronto, por lo que mientras tanto, las transferencias de datos personales con EE. UU. pueden realizarse mientras el Marco de Protección de Datos UE-EEUU esté vigente.