El nuevo Marco de Privacidad de Datos UE-EEUU es un acto unilateral de la Comisión Europea (no un acuerdo internacional) que reconoce el nivel adecuado de protección de los datos personales transferidos desde la UE a las empresas estadounidenses firmantes de los principios del nuevo Marco de Privacidad de Datos UE-EEUU.
La negociaciones se intensificaron tras el acuerdo de principio sobre un nuevo marco para los flujos transatlánticos de datos, anunciado conjuntamente por la Presidenta de la Comisión Europea Von der Leyen y por el Presidente de EE.UU. Biden, en marzo de 2022 en Bruselas. Un modelo de flujo de datos garantista en la protección de la privacidad e innovador en el ámbito económico es clave para aprovechar las ventajas del ecosistema digital y mitigar los posibles riesgos. Y promover una gobernanza de datos responsable y fiable es vital para el progreso de la economía digital.
El nuevo Marco de Privacidad de Datos UE-EE.UU. es el tercer intento después de que sus predecesores, el Safe Harbour de 2000 y el Privacy Shield de 2016, fueran considerados inválidos por el Tribunal de Justicia Europea. Esta vez, la Comisión Europea ha subrayado que el nuevo Marco es muy diferente del anterior Escudo de Privacidad (Privacy Shield), especialmente en dos aspectos clave:
Nuevas salvaguardias vinculantes
La Orden Ejecutiva del Presidente estadounidense Biden de octubre de 2022 ha establecido nuevas normas relativas a las condiciones en las que las Agencias de Inteligencia estadounidenses podrían acceder a los datos personales transferidos de la UE a EE.UU., basándose en los principios de necesidad y proporcionalidad.
Estos principios, que han sido reiteradamente planteados por la jurisprudencia del Tribunal de Justicia de las Comunidades Europeas al evaluar las leyes de la UE, son ahora vinculantes para las Agencias de Inteligencia de EE.UU., que han adaptado sus normas internas de procedimiento el 3 de julio de 2023 para aplicar la Orden Ejecutiva Biden y «sus» principios de necesidad y proporcionalidad.
Nuevo mecanismo de recurso
En lugar de la antigua figura del Defensor del Pueblo establecida por el Escudo de Privacidad, se ha establecido un mecanismo de dos niveles con la posibilidad de que un particular (cuyos datos hayan sido transferidos de la UE a EE.UU.) presente una denuncia ante el nuevo Tribunal de Revisión de Protección de Datos (Data Protection Review Court).
El nuevo Tribunal tiene competencias de investigación y de propuesta de resolución. Aunque este nuevo Tribunal podría considerarse un Tribunal administrativo dentro del Ejecutivo, su composición por 6 jueces nombrados por el Fiscal General de EE.UU. garantiza un nivel suficiente de independencia.
La Comisión Europea es muy consciente de que esto es lo máximo que EE.UU. estaba dispuesto a aceptar en términos de un Tribunal independiente.
El Departamento de Comercio de EEUU y la Comisión Federal de Comercio de EEUU
Al igual que sus predecesores Safe Harbour y Privacy Shield, el nuevo Marco de Privacidad de Datos UE-EE.UU. sólo legitima la transferencia de datos personales desde la UE a empresas estadounidenses que autocertifiquen que cumplen los principios establecidos por el Marco de Privacidad de Datos UE-EE.UU.
El Departamento de Comercio de EE.UU. tramitará las solicitudes de autocertificación y supervisará si las empresas firmantes siguen cumpliendo los principios del Marco de Privacidad de Datos UE-EE.UU., con lo que seguirán cumpliendo los requisitos de certificación como «empresa adecuada». El sitio web para la autocertificación se pondrá en marcha el 17 de julio de 2023.
Además, la Comisión Federal de Comercio de EE.UU. (US Federal Trade Commission) es la autoridad de aplicación en caso de que las empresas estadounidenses signatarias dejen de cumplir sus obligaciones en virtud del Marco de Privacidad de Datos UE-EE.UU.
En el plazo de un año tras la adopción del nuevo Marco UE-EE.UU., la Comisión Europea llevará a cabo una primera revisión para supervisar la evolución de la situación en EE.UU. y comprobar si todos los elementos pertinentes del marco jurídico estadounidense funcionan eficazmente en la práctica. A continuación, se llevarán a cabo revisiones periódicas, al menos cada cuatro años.
Otras decisiones de adecuación
Mientras tanto, después del verano la Comisión Europea publicará un Informe sobre la evaluación de las Decisiones de Adecuación existentes: la Decisión de Adecuación para Argentina adoptada en 2003, las Decisiones de Adecuación para Uruguay y para Nueva Zelanda adoptadas en 2012, las Decisiones más recientes para Japón de 2019 (la primera Decisión de Adecuación bajo el GDPR) o para Corea adoptada en 2021 y algunas otras.
En cuanto a las Decisiones de Adecuación del Reino Unido, adoptadas también en 2021, una cláusula de extinción limita la duración de la adecuación a cuatro años. Actualmente, la Comisión Europea está supervisando el debate en torno a una nueva Ley de Protección de Datos del Reino Unido para garantizar que las futuras normas no comprometan el estatus de adecuación.
Protección de datos para garantizar unas relaciones económicas sostenibles
Para la Comisión Europea, el nuevo Marco de Privacidad de Datos UE-EE.UU. demuestra que ambas partes son capaces de encontrar soluciones equilibradas sobre cuestiones muy complejas, en un ambiente muy bueno y constructivo, dentro del mandato del Tribunal de Justicia de la Unión Europea y de los criterios establecidos en la Sentencia Schrems.
Con motivo de la adopción de la Decisión de Adecuación, la Presidenta von der Leyen y el Presidente Biden utilizaron palabras similares. Mientras que la Presidenta von der Leyen subrayó la importancia de la nueva Decisión de Adecuación para garantizar la seguridad de los flujos de datos para los europeos y, al mismo tiempo, aportar «seguridad jurídica a las empresas de ambos lados del Atlántico«, el Presidente Biden acogió con satisfacción la Decisión de Adecuación, que refleja el compromiso conjunto con una sólida protección de la privacidad de los datos y creará «mayores oportunidades económicas para nuestros países y empresas a ambos lados del Atlántico».
De hecho, la importancia de los flujos de datos se refleja en el hecho de que hay más flujos de datos entre la UE y EE.UU. que en cualquier otra parte del mundo, lo que permite una relación económica UE-EE.UU. de más de 7 billones de dólares. Aunque probablemente estas cifras no puedan compararse con las que existen entre la UE y otras regiones, el aumento de los flujos de datos entre la UE y los países en Asia, África y Latino América requiere cada vez más atención.
Por lo tanto, la Comisión Europea debería centrarse ahora en poner en marcha y acelerar el proceso de adopción de Decisiones de Adecuación que evalúen las nuevas Leyes de Protección de Datos, adoptadas en terceros países en los últimos años (como Brasil), y muy inspiradas en el GDPR, y reconocer que proporcionan un nivel adecuado de protección.
