fbpx

Circulación de datos personales UE-EEUU. Decisión de adecuación de la UE

María Cerviño Rúa
La Comisión Europea ha aprobado un nuevo marco para regular la circulación de datos personales UE-EEUU, que incluye una serie de garantías
Regular la transferencia de datos personales UE-EEUU es clave para cumplir con el RGPD

La Comisión Europea adoptó el 10 de julio su decisión de adecuación relativa al Marco de Privacidad de Datos UE-EEUU o EU-U.S. Data Privacy Framework o DPF. Esta decisión permite el flujo de datos personales UE-EEUU.

Debemos señalar que la decisión llega tras un largo proceso de negociaciones, y tras tres años sin un marco general que permitiera la transferencia de datos personales UE-EEUU, después de que el Tribunal de Justicia de la Unión Europea invalidase en 2020 la anterior decisión de adecuación conocida como Privacy Shield, por considerar que no ofrecía un nivel de protección adecuado.

Esta nueva decisión aprobada el 10 de julio establece una serie de garantías vinculantes que buscan corregir las objeciones del Tribunal de Justicia de la Unión Europea respecto de las transferencias internacionales de datos personales que resultaron en la anulación de la anterior decisión.

Claves del Marco de circulación de datos personales UE-EEUU

Entre las medidas contempladas para regular la circulación de datos personales UE-EEUU podemos destacar:

  1. Se limita el acceso a los datos personales por parte de los servicios de inteligencia de Estados Unidos, que sólo podrá producirse bajo los principios de necesidad y proporcionalidad, cuando resulte necesario para la seguridad nacional y bajo determinadas normas.
  2. Se establece un Tribunal de Revisión de la Protección de Datos (DPRC), al que podrán acudir los ciudadanos de la UE. Este Tribunal podrá estudiar si los datos se han recogido sin respetar las garantías, y en ese caso podrá requerir la supresión de los mismos.
  3. Se imponen obligaciones a las empresas estadounidenses que quieran adherirse al Marco. Algunas de estas obligaciones son borrar los datos personales cuando no sean necesarios para el fin que hubiera motivado su recogida, o garantizar que los terceros con quienes se compartan los datos cumplan también los estándares del marco.
  4. Para permitir la adaptación del marco a posibles cuestionamientos que surjan, se prevé que sea revisado periódicamente por las autoridades europeas y estadounidenses. De hecho, la primera revisión está prevista en el plazo de un año desde la entrada en vigor, para comprobar si se ha implantado correctamente, su funcionamiento en la práctica y cómo afecta a la circulación de datos personales UE-EEUU.
El nuevo marco regula la circulación de datos personales UE-EEUU

El desafío de conciliar el RGPD con la laxa normativa estadounidense

Esta nueva decisión de adecuación es el tercer intento de marco jurídico para permitir las transferencias internacionales de datos personales UE-EEUU en condiciones que aseguren el cumplimiento de los estándares del Reglamento General de Protección de Datos (RGPD).

Las anteriores soluciones Safe Harbor (2000) y Privacy Shield (2016) decayeron, en parte, por la dificultad de armonizar la legislación europea relativa a protección de datos con la del país norteamericano, donde la intimidad y privacidad no cuentan con la misma protección que en Europa.

En cuanto a este nuevo Marco para regular la circulación de datos personales UE-EEUU, no se puede asegurar que vaya a perdurar en el tiempo. ¿Por qué? El activista europeo por la privacidad Max Schrems ya ha anunciado una posible impugnación del mismo, puesto que considera que se trata de una copia del anterior Privacy Shield, invalidado por el Tribunal de Justicia de la Unión Europea.

La aprobación de este nuevo Marco tiene influencia en el cumplimiento del RGPD para muchas empresas europeas que tienen como proveedores a empresas estadounidenses. De hecho, hoy en día es muy habitual que miles y miles de empresas cuenten con las grandes tecnológicas norteamericanas como proveedores (por ejemplo, Google, Dropbox o Amazon Web Services). En cuanto estas compañías se adhieran al nuevo marco, las transferencias de datos personales desde la UE podrán hacerse sin incumplir el RGPD.

Autor