Volvemos a poder transferir datos personales a empresas de Estados Unidos sin suscribir cláusulas tipo
El pasado 10 de julio se aprobó la Decisión de Adecuación para flujos de datos UE-EE.UU. adoptada por la Comisión Europea que implementa un nuevo Marco de Privacidad de Datos UE-EE.UU. (en adelante, el “Marco”), tras los dos intentos anteriores en el tiempo (el Puerto Seguro -“Safe Harbor”- y el Escudo de Privacidad -“Privacy Shield”-).
Mediante esta Decisión de Adecuación, la Comisión concluye que Estados Unidos garantiza un nivel adecuado de protección -comparable al de la Unión Europea- de los datos personales transferidos desde la UE (más Noruega, Islandia y Liechtenstein) a empresas estadounidenses con arreglo al nuevo Marco. Sobre la base de la nueva Decisión de Adecuación, los datos personales pueden transferirse con seguridad desde la UE a las empresas estadounidenses que participan en el Marco.
El Marco introduce nuevas salvaguardias vinculantes para abordar todas las preocupaciones planteadas por el Tribunal de Justicia Europeo, incluida la limitación del acceso a los datos de la UE por los servicios de inteligencia de EE.UU. a lo necesario y proporcionado y el establecimiento de un Tribunal de Revisión de Protección de Datos, al que tendrán acceso los particulares de la UE.
Asimismo, se introducen mejoras significativas en comparación con el mecanismo que existía en el Escudo de la Privacidad. Por ejemplo, si el Tribunal de Revisión considera que los datos se han recogido infringiendo las nuevas salvaguardias, podrá ordenar su supresión adoptando incluso medidas correctoras vinculantes. Las nuevas salvaguardias en el ámbito del acceso gubernamental a los datos complementarán las obligaciones que tendrán que suscribir las empresas estadounidenses que importen datos de la UE.
Las empresas estadounidenses podrán adherirse al Marco comprometiéndose a cumplir un conjunto detallado de obligaciones en materia de privacidad (como puede ser el requisito de suprimir los datos personales cuando ya no sean necesarios para los fines para los que se recogieron y garantizar la continuidad de la protección cuando los datos personales se compartan con terceros)
¿Cómo pueden transferirse datos personales a Estados Unidos en virtud del Marco de Privacidad de Datos?
Las transferencias internacionales de datos desde países de la UE (más Noruega, Islandia y Liechtenstein) a organizaciones de Estados Unidos incluidas en la «Lista Marco de Privacidad de Datos» (https://www.dataprivacyframework.gov/s/participant-search) pueden basarse en la Decisión de Adecuación, sin necesidad de recurrir a las cláusulas tipo o normas corporativas vinculantes.
¿Cómo pueden transferirse datos personales a Estados Unidos si el importador de datos no está incluido en la «Lista Marco de Privacidad de Datos»?
Las transferencias a entidades de los EE.UU. que no estén incluidas en la «Lista Marco de Privacidad de Datos» no pueden basarse en la Decisión de Adecuación y requerirán garantías adecuadas de protección de datos, derechos exigibles y recursos jurídicos efectivos para los interesados (ej: cláusulas tipo o normas corporativas vinculantes), de conformidad con el artículo 46 del RGPD, tal y como se venía haciendo hasta ahora con todas las transferencias a EEUU.
¿Pueden los interesados de la UE presentar reclamaciones en virtud del Marco de Privacidad de Datos?
Las personas cuyos datos se transfieren a EE.UU. en virtud de la Decisión de Adecuación disponen de varias vías de recurso si consideran que sus datos son tratados indebidamente por empresas estadounidenses. Entre ellas, figuran mecanismos independientes y gratuitos de resolución de litigios y un panel de arbitraje.
Se anima a los particulares a plantear en primer lugar cualquier queja que puedan tener ante la organización estadounidense pertinente. En caso de dudas, las organizaciones de la UE pueden, si es necesario, solicitar el asesoramiento de sus autoridades de protección de datos competentes para supervisar las actividades de tratamiento relacionadas.
¿Cómo pueden los interesados de la UE utilizar el nuevo mecanismo de recurso en el ámbito de la seguridad nacional?
Independientemente del instrumento utilizado para transferir los datos personales a EE.UU., los interesados de la UE pueden presentar una denuncia ante su autoridad nacional de protección de datos para hacer uso del nuevo mecanismo de recurso en materia de seguridad nacional.
La autoridad nacional de protección de datos, a su vez, velará por que la denuncia se transmita a la Oficina Europea de Protección de Datos, que la transmitirá a las autoridades estadounidenses competentes para tramitarla. Asimismo, la autoridad de protección de datos velará por que el interesado reciba información sobre el proceso de tramitación de la denuncia, incluido el resultado de la denuncia presentada.
Para que una denuncia sea admisible, los particulares no necesitan demostrar que sus datos fueron efectivamente recogidos por agencias de inteligencia estadounidenses.
¿Va a ser objeto de revisión la Decisión de Adecuación?
La primera revisión de la Decisión de Adecuación tendrá lugar un año después de su entrada en vigor para verificar si todos los elementos se han aplicado plenamente y si son efectivos en la práctica.
Tras la primera revisión y en función de su resultado, la Comisión decidirá la periodicidad de las revisiones posteriores que, en cualquier caso, tendrán lugar al menos cada cuatro años.
