El marco de privacidad de datos de la Unión Europea (UE) – Estados Unidos (EE. UU.) se ha acercado un paso más a la realidad después de que la Comisión Europea (CE) emitiera un proyecto de decisión sobre la adecuación de los datos, dictaminando que EE. UU. garantiza un nivel adecuado de protección para los datos personales transferidos. de la UE a las empresas de EE. UU., y comenzó el proceso hacia la adopción del marco,
La UE espera que el marco mejore la seguridad de los flujos de datos transatlánticos y aborde las preocupaciones derivadas de la decisión Schrems II del Tribunal de Justicia de la UE de julio de 2020, que anuló el acuerdo anterior de Privacy Shield.
Su decisión sigue a la Orden Ejecutiva del 7 de octubre de 2022 firmada por el presidente de los EE. UU., Joe Biden, y las regulaciones emitidas por el fiscal general de los EE. UU., Merrick Garland, que implementaron en la ley de los EE. UU. el acuerdo en principio acordado por Biden y la presidenta de la UE, Ursula von der Leyen, a principios de este año. En el acuerdo, la UE extrajo concesiones significativas de los estadounidenses, incluido el compromiso de ampliar la supervisión de las operaciones de inteligencia de señales de los EE. UU., fortalecer las garantías de los derechos civiles y crear un mecanismo legal vinculante para otorgar a los ciudadanos de la UE derechos de reparación en caso de que se abuse de sus datos.
El proyecto de decisión refleja la evaluación de la CE del marco legal de EE. UU. y ahora se enviará a la Junta Europea de Protección de Datos para su opinión. Después de eso, la CE buscará la aprobación de un comité compuesto por representantes de los estados miembros de la UE y ofrecerá al Parlamento Europeo el derecho de examinar las decisiones de adecuación. A continuación, podrá proceder a la adopción de la decisión final.
“Nuestras conversaciones con los EE. UU. dieron como resultado la propuesta de un marco que mejorará aún más la seguridad de los datos personales de los europeos transferidos a los EE. UU. Se basa en nuestra buena cooperación y el progreso que hemos logrado a lo largo de los años”, dijo la vicepresidenta de valores y transparencia de la UE, Věra Jourová.
“El marco futuro también es bueno para las empresas y fortalecerá la cooperación transatlántica. Como democracias, debemos defender los derechos fundamentales, incluida la protección de datos. Esta es una necesidad, no un lujo, en una economía cada vez más digitalizada y basada en datos”.
Didier Reynders, comisionado de Justicia de la UE, agregó: “El proyecto de decisión de hoy es el resultado de más de un año de intensas negociaciones con los EE. UU. que lideré junto con mi homólogo, el secretario de comercio de EE. UU. [Gina] Raimundo.
“Durante los últimos meses, evaluamos el marco legal de los EE. UU. provisto por la Orden Ejecutiva con respecto a la protección de datos personales. Ahora confiamos en pasar al siguiente paso del procedimiento de adopción. Nuestro análisis ha demostrado que ahora existen sólidas medidas de seguridad en los EE. UU. para permitir la transferencia segura de datos personales entre los dos lados del Atlántico.
“El futuro marco ayudará a proteger la privacidad de los ciudadanos, al mismo tiempo que brindará seguridad jurídica a las empresas. Ahora esperamos los comentarios de la Junta Europea de Protección de Datos, los expertos de los estados miembros y el Parlamento Europeo”.
Las empresas estadounidenses se unirán al marco comprometiéndose a cumplir con las obligaciones que establece, como el requisito de eliminar los datos personales cuando ya no sean necesarios y garantizar la continuidad de la protección en caso de que se sigan compartiendo. Los ciudadanos de la UE podrán acceder a los mecanismos de resolución de disputas y a un panel de arbitraje sin costo para ellos, en caso de que una organización estadounidense viole el marco.
Al mismo tiempo, el marco legal de los EE. UU. ofrecerá limitaciones y salvaguardas con respecto a por qué, cómo y cuándo las autoridades públicas de los EE. UU. pueden acceder a él si es necesario para fines de aplicación de la ley o de seguridad nacional. Esto incluye las reglas introducidas por la Orden Ejecutiva de Biden y aborda las preocupaciones del tribunal en la sentencia Schrems II: el acceso a los datos de la UE por parte de las agencias de inteligencia en los EE. UU. se limitará al uso “necesario y proporcionado”, y los ciudadanos de la UE volverán a tener la posibilidad de obtener reparación con respecto a la recopilación y el uso de sus datos por parte de la inteligencia de EE. UU. bajo un mecanismo independiente, incluido un Tribunal de Revisión de Protección de Datos recientemente creado, que tendrá la capacidad de emitir medidas correctivas vinculantes.
La Comisión dijo que las empresas de la UE podrían confiar en estas salvaguardas cuando realicen transferencias de datos transatlánticas, pero también cuando utilicen otros mecanismos de transferencia como cláusulas contractuales estándar (SCC) y normas corporativas vinculantes.
El buen funcionamiento del marco estará sujeto a revisiones periódicas por parte de la CE, junto con los organismos de protección de datos de los estados miembros y las autoridades estadounidenses pertinentes. La primera revisión de este tipo debe realizarse después de que la decisión final entre en vigor para verificar si todos los elementos relevantes del marco legal de los EE. UU. se han implementado completamente y funcionan de manera efectiva en la práctica.
Patrick Van Eecke, jefe de la práctica europea de cibernética, datos y privacidad en el bufete de abogados Cooley’s, recibió la decisión de la CE como un paso en la dirección correcta. Dijo que eran buenas noticias para las empresas transatlánticas en particular después de un período de incertidumbre.
“Volverá a permitir flujos de datos personales transatlánticos mucho más fluidos y prescindirá de la molestia actual de las evaluaciones de impacto de transferencia y el llenado de formularios largos”, dijo Van Eecke.
“El nuevo marco tiene múltiples ventajas para las empresas. El cumplimiento de las normas de la decisión de adecuación permitirá a una empresa estadounidense recibir datos personales de cualquier empresa con sede en la UE, sin necesidad de celebrar acuerdos de transferencia de datos de más de 50 páginas basados en cláusulas contractuales estándar, con cada socio del contrato Y probablemente ya no se requieran evaluaciones de impacto de la transferencia de datos”, dijo a Computer Weekly en comentarios enviados por correo electrónico.
“Pero sigue existiendo el riesgo de que en los próximos años el Tribunal de Justicia de la Unión Europea vuelva a invalidar la sentencia de adecuación. Esto genera inseguridad jurídica para las empresas”, agregó. “Es como volver a poner el Concorde en el aire en Nueva York: es rápido, suave y fácil para transportar personas de Europa a Estados Unidos. Pero nunca se sabe si volará el próximo año. Por lo tanto, utilícelo cuando esté disponible, pero asegúrese de tener una opción alternativa que esté lista para volar cuando el Concorde deje de volar nuevamente”.
Van Eecke dijo que recomendaría a los clientes que aprovechen la oportunidad que presenta el fallo cuando finalmente se adopte, pero también que se aseguren de tener un “paracaídas” en forma de una cláusula alternativa que aplicaría automáticamente las SCC si el marco fuera invalidado