LA COMISIÓN EUROPEA ADOPTA UNA NUEVA DECISIÓN DE ADECUACIÓN PARA LA TRANSFERENCIA DE DATOS: UNIÓN EUROPEA-EEUU
Noticia en la web de la CE: https://ec.europa.eu/commission/presscorner/detail/es/IP_23_3721
Decisión de adecuación: https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_es
El día 10 de julio de 2023 la Comisión Europea adoptó la decisión de adecuación (DA) para la transferencia internacional de datos personales (TID) entre la Unión Europea (UE) y Estados Unidos (EEUU).
La decisión concluye que EEUU garantiza un nivel adecuado de protección, comparable al de la UE, para los datos personales transferidos desde la UE a entidades estadounidenses bajo el nuevo marco, que podrán transferirse de forma segura desde la UE a las entidades estadounidenses que se adhieran al marco de privacidad, sin tener que establecer medidas de seguridad adicionales de protección de datos.
El marco introduce nuevas garantías para abordar las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea (TJUE), incluida la limitación del acceso a los datos de la UE por parte de los servicios de inteligencia de EEUU únicamente a lo que sea necesario y proporcionado, y el establecimiento de un Tribunal de revisión de protección de datos (DPRC), al que tendrán acceso los ciudadanos de la UE. De ese modo si la DPRC determina que los datos se recabaron infringiendo las nuevas medidas de seguridad, podrá ordenar la supresión de los mismos. Las nuevas medidas en el ámbito del acceso gubernamental a los datos complementarán las obligaciones que tendrán que suscribir las entidades estadounidenses que importen datos desde la UE.
El nuevo marco de privacidad por tanto garantizará TID seguras para los europeos y brindará seguridad jurídica a las entidades europeas y estadounidenses. Las entidades estadounidenses podrán adherirse al marco de privacidad comprometiéndose a cumplir con un conjunto detallado de obligaciones de privacidad, entre otras, por ejemplo:
- Suprimir los datos personales cuando ya no sean necesarios para el fin para el que se recabaron.
- Garantizar la continuidad de la protección cuando los datos personales se comparten con terceros.
- Garantizar los principios de privacidad como la limitación de los fines, la minimización de datos y la retención de datos.
- Obligaciones específicas relacionadas con la seguridad de los datos.
Para los/as ciudadano/as europeo/as cuyos datos personales se transfieran a los EEUU, el marco supone:
- Garantías vinculantes que limitan el acceso a los datos por parte de las autoridades de inteligencia de EEUU a lo que sea necesario y proporcionado para proteger la seguridad nacional.
- Supervisión mejorada de las actividades de los servicios de inteligencia de EEUU para garantizar el cumplimiento de las limitaciones en las actividades de vigilancia.
- El establecimiento de un mecanismo de reparación independiente, que incluye el anteriormente mencionado DPRC para investigar y resolver reclamaciones sobre el acceso a sus datos por parte de las autoridades de seguridad nacional de EEUU.
Las medidas implementadas por EEUU también facilitarán las TID de manera más general, ya que también se aplican cuando los datos se transfieren mediante el uso de otras herramientas, como cláusulas contractuales tipo y normas corporativas vinculantes.
El Marco será administrado y supervisado por el Departamento de Comercio de EEUU, que procesará las solicitudes de certificación y controlará si las entidades adheridas continúan cumpliendo con los requisitos de certificación.
Entrada en vigor
La DA entró en vigor con su adopción el 10 de julio de 2023.
El funcionamiento del marco estará sujeto a revisiones periódicas, que llevará a cabo la Comisión Europea, junto con representantes de las autoridades europeas de protección de datos y las autoridades estadounidenses competentes. La CE revisará continuamente los desarrollos relevantes en EEUU y revisará regularmente la DA, pudiendo adaptarla o incluso derogarla en caso de acontecimientos que afecten al nivel de protección en EEUU.
La primera revisión tendrá lugar en el plazo de un año a partir de la entrada en vigor de la decisión de adecuación, con el fin de verificar que todos los elementos pertinentes se hayan implementado plenamente en el marco legal de EEUU y funcionen de manera efectiva en la práctica.