Hacia una decisión de adecuación

Desde que el Tribunal de Justicia de la Unión Europea (Schrems II) anulase la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de privacidad UE-EE. UU. la mayoría de las empresas europeas están incumpliendo la normativa al realizar transferencias de datos a Estados Unidos sin adoptar medidas que garanticen un nivel de protección equivalente al del RGPD.

Tras más de un año de negociaciones para ofrecer una solución, el pasado 25 de marzo, la presidenta de la Comisión Europea, Úrsula von der Layen, anunció en rueda de prensa que se había llegado a un principio de Acuerdo entre la Unión Europea y Estados Unidos para permitir la transferencia de datos personales,

A este anuncio siguió el 7 de octubre la firma de la Orden Ejecutiva sobre Mejora de las salvaguardias para las actividades de inteligencia de señales de Estados Unidos por parte del presidente Biden que incorpora los compromisos adquiridos en el Acuerdo a la legislación estadounidense, y complementa las obligaciones de las empresas estadounidenses.

Sobre esta base, la Comisión ha elaborado un proyecto de Decisión de adecuación, que refleja la evaluación por parte de la Comisión del nuevo marco jurídico de los Estados Unidos y concluye que ofrece garantías equiparables a las de la UE. Este proyecto, publicado el pasado 13 de diciembre, se ha transmitido al Comité Europeo de Protección de Datos (CEPD) para que emita su dictamen.

Al igual que los Acuerdos anteriores, el futuro Marco de privacidad se limitará a las empresas que decidan adherirse comprometiéndose a cumplir determinadas obligaciones en materia de protección de datos como, suprimir los datos cuando ya no resulten necesarios para los fines para los que fueron recabados, y garantizar la continuidad de la protección cuando los datos se comparten con terceros. Además, los ciudadanos de la UE se beneficiarán de distintas vías de recurso si sus derechos se ven vulnerados.

Por otro lado, el marco jurídico prevé una serie de limitaciones y salvaguardias respecto del acceso a los datos por parte de las autoridades públicas estadounidenses. Esto incluye las nuevas normas introducidas por la citada Orden Ejecutiva, que aborda las cuestiones planteadas por el Tribunal de Justicia de la UE (Schrems II):

• El acceso a los datos europeos por parte de las agencias de inteligencia estadounidenses se limitará a lo necesario y proporcionado para proteger la seguridad nacional.
• Los ciudadanos de la UE tendrán la posibilidad de obtener reparación en relación con la recogida y uso de sus datos por parte de las agencias de inteligencia estadounidenses ante un mecanismo de recurso independiente e imparcial, que incluye el Tribunal de Revisión de Protección de Datos recientemente creado. Dicho Tribunal investigará y resolverá de forma independiente las reclamaciones de los europeos, incluyendo la adopción de medidas correctoras vinculantes.

La adopción de la Decisión de adecuación, prevista para la primavera-verano de 2023, permitiría a las entidades europeas transferir datos personales a Estados Unidos, sin tener que establecer salvaguardias adicionales de protección de datos.

Sin embargo, es pronto para celebrar el Acuerdo, ya que NOYB, considera que “es poco probable que la nueva orden ejecutiva de EE.UU. satisfaga la legislación de la UE”. En concreto, su presidente Max Schrems ha declarado que «la UE y los EE.UU. están ahora de acuerdo en el uso de la palabra «proporcional», pero parecen no estar de acuerdo en el significado de la misma. Al final, prevalecerá la definición del TJUE, lo que probablemente acabará con cualquier decisión de la UE. La Comisión Europea vuelve a hacer oídos sordos a la legislación estadounidense, para permitir que se siga espiando a los europeos.»

Publicación: 20/12/2022

 María de la Rica Ortega

Consultor de Helas Consultores