La Comisión Europea adoptó en el día de hoy su decisión de adecuación para la UE-EE. UU. Marco de privacidad de datos. La decisión concluye que los Estados Unidos garantizan un nivel adecuado de protección, comparable al de la Unión Europea, para los datos personales transferidos de la UE a las empresas estadounidenses bajo el nuevo marco. Sobre la base de la nueva decisión de adecuación, los datos personales pueden fluir de forma segura desde la UE a las empresas estadounidenses que participan en el Marco, sin tener que poner en marcha salvaguardas adicionales de protección de datos.
La UE-EE. UU. El Marco de Privacidad de Datos introduce nuevas salvaguardias vinculantes para abordar todas las preocupaciones planteadas por el Tribunal de Justicia Europeo, incluida la limitación del acceso a los datos de la UE por parte de los servicios de inteligencia de EE. UU. a lo que es necesario y proporcionado, y el establecimiento de un Tribunal de Revisión de Protección de Datos (DPRC), al que tendrán acceso las personas de El nuevo marco introduce mejoras significativas en comparación con el mecanismo que existía bajo el Escudo de Privacidad. Por ejemplo, si el DPRC encuentra que los datos se recopilaron en violación de las nuevas salvaguardias, podrá ordenar la eliminación de los datos. Las nuevas salvaguardias en el área del acceso gubernamental a los datos complementarán las obligaciones que las empresas estadounidenses que importan datos de la UE tendrán que suscribir.
La presidenta Ursula von der Leyen dijo: «La nueva UE-EE. UU. El Marco de Privacidad de Datos garantizará flujos de datos seguros para los europeos y aportará seguridad jurídica a las empresas de ambos lados del Atlántico. Tras el acuerdo de principio que alcancé con el presidente Biden el año pasado, EE. UU. ha implementado compromisos sin precedentes para establecer el nuevo marco. Hoy damos un paso importante para proporcionar confianza a los ciudadanos en que sus datos son seguros, para profundizar nuestros lazos económicos entre la UE y los EE. UU. y, al mismo tiempo, reafirmar nuestros valores compartidos. Demuestra que trabajando juntos, podemos abordar los problemas más complejos».
Las empresas estadounidenses podrán unirse a la UE-EE. UU. Marco de privacidad de datos comprometiéndose a cumplir con un conjunto detallado de obligaciones de privacidad, por ejemplo, el requisito de eliminar los datos personales cuando ya no son necesarios para el propósito para el que se recopilaron, y para garantizar la continuidad de la protección cuando los datos personales se comparten con terceros.
Las personas de la UE se beneficiarán de varias vías de reparación en caso de que sus datos sean manejados incorrectamente por empresas estadounidenses. Esto incluye mecanismos de resolución de disputas independientes de forma gratuita y un panel de arbitraje.
Además, el marco legal de los Estados Unidos prevé una serie de salvaguardias con respecto al acceso a los datos transferidos bajo el marco por las autoridades públicas de los Estados Unidos, en particular para la aplicación de la ley penal y los fines de seguridad nacional. El acceso a los datos se limita a lo que es necesario y proporcionado para proteger la seguridad nacional.
Las personas de la UE tendrán acceso a un mecanismo de reparación independiente e imparcial con respecto a la recopilación y el uso de sus datos por parte de las agencias de inteligencia de los Estados Unidos, que incluye un Tribunal de Revisión de Protección de Datos (DPRC) recientemente creado. El Tribunal investigará y resolverá las quejas de forma independiente, incluso mediante la adopción de medidas correctivas vinculantes.
Las salvaguardias establecidas por los EE. UU. también facilitarán los flujos de datos transatlánticos de manera más general, ya que también se aplican cuando los datos se transfieren mediante el uso de otras herramientas, como las cláusulas contractuales estándar y las reglas corporativas vinculantes.
Siguientes pasos
El funcionamiento de la UE-EE. UU. El Marco de Privacidad de Datos estará sujeto a revisiones periódicas, que serán llevadas a cabo por la Comisión Europea, junto con representantes de las autoridades europeas de protección de datos y las autoridades competentes de los Estados Unidos.
La primera revisión se llevará a cabo en el plazo de un año a partir de la entrada en vigor de la decisión de adecuación, con el fin de verificar que todos los elementos relevantes se han implementado plenamente en el marco legal de los Estados Unidos y están funcionando de manera efectiva en la práctica.
Fondo
El artículo 45, apartado 3, del Reglamento General de Protección de Datos (RGPD) otorga a la Comisión el poder de decidir, mediante un acto de ejecución, que un país no perteneciente a la UE garantiza «un nivel adecuado de protección», un nivel de protección de los datos personales que es esencialmente equivalente al nivel de protección dentro de la UE. El efecto de las decisiones de adecuación es que los datos personales pueden fluir libremente desde la UE (y Noruega, Liechtenstein e Islandia) a un tercer país sin más obstáculos.
Después de la invalidación de la decisión de adecuación anterior sobre la UE-EE. UU. Escudo de Privacidad del Tribunal de Justicia de la UE, la Comisión Europea y el gobierno de los Estados Unidos entablado conversaciones sobre un nuevo marco que abordaba las cuestiones planteadas por el Tribunal.
En marzo de 2022, el presidente von der Leyen y el presidente Biden anunciaron que habían llegado a un acuerdo de principio sobre un nuevo marco de flujos de datos transatlánticos, después de las negociaciones entre el comisionado Reynders y el secretario de los Estados Unidos, Raimondo. En octubre de 2022, el presidente Biden firmó una orden ejecutiva sobre «Mejora de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos», que se complementó con las regulaciones emitidas por el Fiscal General de los Estados Unidos, Garland. Juntos, estos dos instrumentos implementaron los compromisos de EE. UU. alcanzados en virtud del acuerdo en principio en la ley de EE. UU., y complementaron las obligaciones de las empresas estadounidenses en virtud de la UE-EE. UU. Marco de privacidad de datos.
Un elemento esencial del marco legal de los Estados Unidos que consagra estas salvaguardias es la Orden Ejecutiva de los Estados Unidos sobre «Mejora de las salvaguardias para las actividades de inteligencia de señales de los Estados Unidos», que aborda las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea en su decisión Schrems II de julio de 2020.
El Marco es administrado y supervisado por el Departamento de Comercio de los Estados Unidos. La Comisión Federal de Comercio de EE. UU. hará cumplir el cumplimiento de las empresas estadounidenses.
Cita(s)
Una protección adecuada de nuestros datos personales es un derecho fundamental, y cuya importancia solo sigue creciendo en nuestra vida cotidiana. La decisión de hoy es el resultado de una intensa cooperación con nuestros socios en los EE. UU., trabajando juntos para garantizar que los datos de los europeos viajen de forma segura, dondequiera que vayan. La nueva decisión de adecuación proporcionará seguridad jurídica a las empresas y ayudará a consolidar aún más a la UE como un actor poderoso en los mercados transatlánticos, al tiempo que sigue siendo intransigente en el respeto del derecho fundamental de los europeos para que sus datos estén siempre protegidos.
La adopción de esta decisión de adecuación es el paso final para garantizar transferencias seguras y gratuitas de datos a través del Atlántico. Garantiza la protección de los derechos individuales en nuestro mundo digital intangible e interconectado, donde las fronteras físicas ya no importan mucho. Desde que la decisión de Schrems II salió a la derecha hace años, he trabajado incansablemente con mis homólogos estadounidenses para abordar las preocupaciones identificadas por el Tribunal de Justicia y garantizar que los avances tecnológicos no se suban a costa de la confianza de los europeos. Pero como socios de ideas afines, la UE y los EE. UU. podrían encontrar soluciones, basadas en sus valores compartidos, que sean legales y viables en sus respectivos sistemas.