Artículo escrito por Iván Delfín.
La Unión Europea y Estados Unidos alcanzan un nuevo acuerdo sobre el marco para la transferencia de datos personales a nivel transatlántico. No obstante, dicho acuerdo establece únicamente las líneas generales, por lo que será necesario esperar al texto legal definitivo para poder hacer una valoración adecuada de este nuevo marco de privacidad.
1 año, 8 meses y 13 días han transcurrido desde que la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto C-311/18, más conocida como “Schrems II”, declaró la invalidez de la Decisión de adecuación del Escudo de privacidad (Privacy Shield), al considerar que la legislación estadounidense no ofrece garantías equivalentes a las exigidas en el Derecho de la Unión Europea y, además, que dicha legislación no proporciona a los titulares de los datos ninguna vía de recurso judicial contra las autoridades de los Estados Unidos.
Esta sentencia causó un auténtico revuelo al invalidar el mecanismo más empleado por las organizaciones europeas para transferir datos personales de forma lícita y segura a los Estados Unidos que, tengamos en cuenta, se trata de uno de los principales socios comerciales de la Unión Europea, cuyos flujos de datos permiten la generación de 7,1 billones de dólares en relaciones económicas.
Pues bien, este nuevo acuerdo inicial al que han llegado los Estados Unidos y la Comisión Europea persigue dar respuesta a los retos jurídicos señalados por el TJUE mediante el establecimiento de los siguientes 5 principios:
Con la aprobación del texto definitivo de este acuerdo, la Comisión Europea espera, por un lado, dar carpetazo de una vez por todas a la falta de garantías señalada por el TJUE y que provocó la invalidez de los dos marcos de privacidad anteriores (Safe Harbor y Privacy Shield) y, por otro, establecer un nuevo marco seguro, duradero y mediante el que se puedan realizar las transferencias de datos personales necesarias a Estados Unidos con el fin de construir una economía digital competitiva en la Unión Europea.
No obstante, existen todavía muchas dudas en relación con este acuerdo y si el mismo podrá realmente conseguir los objetivos que se propone. En especial, los retos que la legislación estadounidense relativa a vigilancia y espionaje (FISA y EO 12333) suponen para ofrecer unas garantías similares a las establecidas por la normativa de protección de datos personales vigente en la Unión.
A falta de analizar el texto legal definitivo y si este se ajusta a las exigencias establecidas por el TJUE, cabe destacar que este es un acuerdo importante y necesario para facilitar el actual flujo de datos a los Estados Unidos y las relaciones comerciales con clientes, socios y proveedores de servicios en dicho país. Se trata de un esfuerzo para fortalecer las economías digitales de ambos países y establecer a su vez un marco normativo adecuado a los derechos y libertades de los ciudadanos europeos.
En cualquier caso, es probable que las organizaciones europeas no puedan hacer uso de este mecanismo para realizar transferencias de datos a Estados Unidos en un futuro cercano, al encontrarse el texto legal de este nuevo marco todavía en fase de elaboración, así como estar pendientes de la revisión por parte del Comité Europeo de Protección de Datos y la posterior aprobación mediante decisión de adecuación de dicho marco de privacidad.
Por tanto, las organizaciones europeas deben continuar empleando otros mecanismos establecidos en el Reglamento General de Protección de Datos como, por ejemplo, las Cláusulas Contractuales Tipo o las Normas Corporativas Vinculantes.
Asimismo, los responsables y encargados del tratamiento deberán continuar llevando a cabo las correspondientes Evaluaciones de Impacto, relativas a las Transferencias (Transfer Impact Assessments – TIAs), con el fin de evaluar la adecuación de la normativa del país de destino al que se enviarán los datos personales y determinando así las medidas adicionales a adoptar en cada caso.
Expuesto lo anterior, continuaremos atentos a los siguientes pasos de la Comisión Europea en relación con este nuevo Marco de Privacidad, así como a la publicación del texto legal definitivo que, sin duda, tendrá un impacto relevante en la configuración del futuro marco transatlántico relativo a la protección de datos.
Deja un comentario