El marco de privacidad EE.UU – UE ha llegado. La Comisión Europea adoptó el pasado 10 de julio la decisión de adecuación relativa al marco de privacidad entre Estados Unidos y la Unión Europea.
En este artículo vamos a tratar...
¿Cumple el nuevo acuerdo con el nivel de protección adecuado?
La Comisión Europea ha determinado que el nuevo acuerdo de Privacidad garantiza un nivel de protección de datos personales adecuado, equiparable al de la UE.
Por tanto, los datos de carácter personal circularán de manera segura desde la Unión Europea a las empresas estadounidenses partícipes en el Marco, sin que sea necesario establecer garantías adicionales de protección de datos.
Nuevas garantías vinculantes
Estas nuevas garantías en materia de acceso por parte de los poderes públicos a los datos, supondrán una complementación a las obligaciones que las empresas de EE.UU que importen datos de la UE deberán asumir. Son las siguientes:
- Limitación del acceso por parte de los servicios de inteligencia de EE.UU a los datos de la Unión Europea a lo necesario y de manera proporcional.
- Establecimiento de un Tribunal de Recurso en materia de Protección de Datos, al que los ciudadanos de la Unión Europea podrán acceder.
- En el supuesto de que se dé un trato indebido de sus datos por parte de las empresas de EE.UU, los ciudadanos europeos contarán con varias vías de reparación, entre las que se encuentran unos mecanismos de resolución independiente y gratuita de controversias y un Tribunal Arbitral.
¿Qué deberán hacer las empresas estadounidenses a partir de ahora?
Las empresas de Estados Unidos tendrán la posibilidad de adherirse al Marco de Privacidad de Datos UE- EE.UU, siempre y cuando se comprometan a cumplir con una serie de obligaciones detalladas de privacidad.
Ejemplo de ellas son:
- Garantizar la continuidad de la protección en el supuesto de compartir los datos de carácter personal con terceros.
- Borrar los datos personales una vez ya no resulten necesarios para el fin que motivó su recogida.
Por tanto, pese a que la decisión de adecuación entró en vigor desde el momento de su adopción, podrá ser únicamente empleada para legitimar una transferencia internacional a EE.UU en el momento en que la entidad receptora de los datos esté certificada en el EU-US Data Privacy Framework.
Además, dicha entidad receptora deberá de aparecer en la lista del Marco de Privacidad de Datos UE-EE.UU, en la cual se incluirá a toda entidad que mantenga activa la certificación bajo este reciente marco de privacidad.
¿Qué es el EU-US Data Privacy Framework?
Se trata de un mecanismo de autocertificación, a través del cual las empresas norteamericanas se comprometen a cumplir con unos principios para el tratamiento de datos personales recibidos por parte de la UE.
Esto se realizará a través del nuevo marco de privacidad, utilizando la decisión de adecuación adoptada por la Comisión Europea.
Para que una entidad receptora sea elegida para la certificación del EU-US Data Privacy Framework, tendrá que estar sujeta a los poderes de ejecución e investigación de:
- “Federal Trade Comission” (Comisión Federal de Comercio)
- “U.S Department of Transportation” (Departamento de Transporte de EE.UU.
Este requisito no podrá aplicarse a algunas entidades bancarias, aéreas, aseguradoras o telecomunicaciones, entre otras.
Resto de transferencias internacionales a EE.UU
Tanto las salvaguardas adoptadas como los cambios legislativos que se han producido en EE.UU, facilitarán el uso de garantías como las cláusulas contractuales tipo o las normas corporativas vinculantes.
Ello no excluye que seguirá resultando necesaria la realización de un análisis de impacto sobre toda aquella transferencia “Transfer Impact Assesment” que se realice al margen del Marco de Privacidad de Datos UE-EE.UU.
La decisión de adecuación garantiza que la transmisión de datos entre UE-EEUU sea posible a través de un acuerdo estable y confiable que proteja a los individuos y proporcione seguridad jurídica a las empresas.
Por su parte, la Administración de Comercio Internacional de EE. UU. ha creado un sitio web sobre el marco de privacidad de datos, el cual contiene información sobre autocertificación, organizaciones participantes y cumplimiento, entre otros preceptos.
Entrada en vigor
El nuevo acuerdo estará sometido a revisiones periódicas llevadas a cabo por la Comisión Europea, junto con representantes de las autoridades europeas y y autoridades estadounidenses competentes.
La primera revisión se llevará a cabo en el plazo de un año a partir de la entrada en vigor de la decisión de adecuación.
La finalidad de esta revisión no será otra que verificar que se hayan cumplido todos los preceptos implementados en el marco legal de Estados Unidos.
Se establecerá para ello un Tribunal de Revisión de Protección de Datos, organismo que ordenará la eliminación de datos si se determina que fueron recopilados en violación de las nuevas salvaguardas.
En la misma línea, se retirará dicho Marco de Privacidad en caso de que el mencionado Tribunal de Revisión manifieste que las salvaguardas adoptadas por EE.UU no son suficientes para proteger los derechos y libertades de los ciudadanos europeos.
El comisario Europeo de Justicia, Didier Reynders, señaló que los ciudadanos europeos podrán presentar denuncias de forma gratuita ante su autoridad local de protección de datos. Esto será sin la necesidad de demostrar que las agencias de inteligencia estadounidenses han accedido a sus datos.
Es preceptivo añadir que este no es el primer acuerdo en materia de protección de datos entre ambos, pues existieron otros anteriormente.
El fracaso de los anteriores acuerdos entre UE – EE-UU
Safe Harbor
El acuerdo de Puerto Seguro (Safe Harbor) entre la UE y EE.UU, creado en el año 2000, tenía como finalidad regular la manera en que las empresas estadounidenses podían realizar transferencias de datos personales de ciudadanos europeos.
El TJUE determinó que dicho acuerdo era inválido tras analizar la denuncia interpuesta por Maximilian Schrems a Facebook, pues Estados Unidos no ofrecía una protección adecuada de los datos personales de los ciudadanos de la Unión Europea, se empezó a negociar el Privacy Shield.
Privacy Shield
Tras la puesta en marcha de este segundo acuerdo entre EE.UU y la UE, se pretendía que las empresas que transfirieran datos entre la UE y EE.UU debían de cumplir con el RGPD, incluidas las cláusulas contractuales tipo (SSC) y las normas corporativas vinculantes (BCR).
Sin embargo, el TJUE, tras una segunda denuncia de Schrems, volvió a decretar inválido el acuerdo Privacy Shield.
Tras la invalidación del Privacy Shield, muchos han sido los esfuerzos por lograr un acuerdo de transferencia de datos correcto entre la UE y EE.UU.
Finalmente, el actual acuerdo de Privacidad entre EE.UU – UE, también conocido como “Schrems III” ha llegado.
Con la implementación de este nuevo Marco de Privacidad, varias han sido las personas que aseguran que, en cuestión de meses, el mismo traerá consigo disparidades que conllevarán a que el TJUE ponga en duda su eficacia.
Desde Auratech le informaremos sobre futuras actualizaciones de la decisión de adecuación adoptada y ofreceremos una nota informativa sobre el contenido de la misma.
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!