Unión Europea
La decisión de adecuación adoptada por la UE prevé un nuevo marco seguro para transferir datos personales entre la UE y EEUU.
Como anticipamos en una entrada anterior del blog, la Comisión Europea ha finalmente adoptado una nueva decisión de adecuación que permite el flujo de datos entre la Unión Europea y los Estados Unidos (la “Decisión de Adecuación”).
Esta Decisión de Adecuación, que entró en vigor de forma inmediata y resulta en consecuencia aplicable desde su aprobación el pasado 10 de julio de 2023, asegura que las transferencias de datos personales que se realicen en el contexto del nuevo “Marco de Privacidad de Datos UE-EEUU” (el “Marco de Privacidad”) cuentan con un nivel de protección esencialmente equivalente al existente en el correspondiente marco jurídico europeo. Sin embargo, como sabemos, el citado Marco de Privacidad no legitima cualquier transferencia de datos personales realizada a cualquier entidad sita en Estados Unidos.
En concreto, sólo podrán ampararse en la Decisión de Adecuación aquellas transferencias que se realicen en favor de entidades receptoras certificadas en el nuevo Marco de Privacidady hayan sido incluidas en la EU-U.S. Data Privacy Framework List (de forma parecida a lo que ya existía hasta el momento, un mecanismo de autocertificación en virtud del cual las entidades americanas se comprometen al cumplimiento de una serie de principios en materia de protección de datos). Por tanto, todas aquellas organizaciones estadounidenses que no se adhieran y, por tanto, no sean certificadas bajo este marco de privacidad, no podrán ser receptoras de personales basando dicha transferencia en la decisión de adecuación aprobada. En estos escenarios, la implementación de otras garantías adecuadas de conformidad con el artículo 46 del RGPD resultará todavía necesaria.
Pus bien, como cabía esperar, el nuevo Marco de Privacidad trata de abordar los defectos que supusieron en su día la invalidación del Safe Harbour y del Privacy Shield, así como las inquietudes que fueron puestas de manifiesto durante los últimos meses. Entre otras cuestiones, por tanto, incluye garantías tendentes a asegurar que el acceso a datos personales de ciudadanos europeos por parte de los servicios de inteligencia estadounidenses cumpla con los principios de necesidad y proporcionalidad, según estos se entienden en la normativa europea correspondiente, y establece un “Tribunal de Recurso en Materia de Protección de Datos” al servicio de los ciudadanos europeos.
Asimismo, incluye un procedimiento de revisión de la propia Decisión de Adecuación, con el fin de verificar si todos los elementos del texto han sido debidamente implementados y son efectivos en la práctica. Esta revisión será realizada una vez transcurrido un año desde su entrada en vigor. Las ulteriores revisiones que tendrán lugar desde entonces serán determinadas por la Comisión Europea, si bien el período transcurrido en ningún caso podrá ser superior a cuatro años. Como consecuencia de estas revisiones, por tanto, la decisión de adecuación podría ser retirada en caso de que se detectase que el nivel de protección ofrecido por EEUU bajo este marco es ineficiente.
En este sentido, habrá que estar atentos al camino que toma este nuevo Marco de Privacidad, así como a las opiniones que al efecto emitan y vuelquen las autoridades competentes y los interesados, lo que resulta especialmente relevante si se tiene en cuenta que el propio activista Max Schrems, ya mencionado en anteriores ocasiones en este blog, en diferentes ocasiones ha manifestado su intención de volver a cuestionar ante los tribunales toda nueva Decisión de Adecuación que incluya – a su juicio – cambios de fondo insuficientes.
En todo caso, y por el momento, las transferencias de datos personales que se realizan entre la Unión Europea y (algunas entidades sitas en) los Estados Unidos gozan de un marco regulatorio que otorga las garantías de protección de los datos personales necesarias.
