La CE impulsa la adecuación de un marco legal entre la UE y EEUU por la privacidad de datos

El pasado 10 de julio la Comisión Europea adoptó una decisión de adecuación normativa para habilitar flujos de datos seguros y fiables entre la UE y EE.UU. Esta iniciativa se produce tres años después de que el Tribunal de Justicia de la Unión Europea (TJUE) anulase la decisión de adecuación precedente, la Privacy Shield.

Tal y como establece el Reglamento General de Protección de Datos, la Comisión Europea es la responsable por determinar el nivel adecuado sobre protección de datos que ofrecen estados terceros. Entre los principales factores se cuentan aspectos sobre derechos humanos y las libertades fundamentales, leyes relativas a la seguridad pública, la defensa y la seguridad nacional.

En este sentido se considera que EEUU garantiza un nivel adecuado de protección equiparable al de la UE, lo que implica la libre circulación de los datos entre ambos territorios. De esta forma, desde el Espacio Económico Europeo (EEE) se podrán realizar transferencias de datos a las entidades americanas adheridas al Data Privacy Framework List, sin la necesidad de establecer garantías adicionales de protección de datos.

Este hecho se convierte en un paso esencial en las transferencias internacionales de datos. Este nuevo marco de privacidad establece una serie de criterios para garantizar límites legales a los servicios de inteligencia americanos desde el TJUE para limitar el acceso a datos de la UE.

En paralelo se pone a disposición de los ciudadanos europeos diversos órganos imparciales de impugnación, entre los que se incluye un Tribunal de Revisión de Protección de Datos (DPRC), que llevará a cabo la labor de investigación para resolver las reclamaciones presentadas. También habilita circuitos para imponer medidas reparatorias vinculantes en caso de que se dictamine la obtención de datos vulnerando medidas de seguridad.

Este marco de privacidad contará con medidas fiables para los ciudadanos europeos proporcionando seguridad jurídica tanto a las entidades europeas como a las estadounidenses. Las entidades de EE.UU. deberán cumplir con las siguientes obligaciones:

– Borrar los datos personales cuando dejen de ser necesarios para la finalidad por la que se recogieron.

– Garantizar el seguimiento de la protección de los datos cuando éstos se transfieran a terceros.

– Asegurar los principios recogidos en la normativa de protección de datos.

– Realizar aquellas obligaciones necesarias para garantizar la seguridad de los datos.

La decisión de adecuación no se dirige a EE.UU. como estado sino a las entidades estadounidenses que acrediten el cumplimiento de los requisitos de protección. Las garantías fijadas por EE.UU. favorecerán igualmente los flujos de datos de forma genérica dado que se aplican cuando se producen transferencias de datos por medio de otros mecanismos, como las cláusulas contractuales y las normas corporativas vinculantes.

Por último, la CE deberá realizar la supervisión en cuanto a los progresos de EE.UU. La primera revisión tendrá lugar un año después de la adopción y entrada en vigor de la decisión, el próximo 10 de julio de 2024, a fin de comprobar si el marco estadounidense funciona correctamente. A partir de ese momento la CE podrá decidir con qué frecuencia se realizarán las siguientes verificaciones.