Las claves del acuerdo de principios entre la UE y EE. UU. para un marco transatlántico de privacidad de datos

Artículo escrito por Iván Delfín.

La Unión Europea y Estados Unidos alcanzan un nuevo acuerdo sobre el marco para la transferencia de datos personales a nivel transatlántico. No obstante, dicho acuerdo establece únicamente las líneas generales, por lo que será necesario esperar al texto legal definitivo para poder hacer una valoración adecuada de este nuevo marco de privacidad.

1 año, 8 meses y 13 días han transcurrido desde que la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto C-311/18, más conocida como “Schrems II”, declaró la invalidez de la Decisión de adecuación del Escudo de privacidad (Privacy Shield), al considerar que la legislación estadounidense no ofrece garantías equivalentes a las exigidas en el Derecho de la Unión Europea y, además, que dicha legislación no proporciona a los titulares de los datos ninguna vía de recurso judicial contra las autoridades de los Estados Unidos.

Esta sentencia causó un auténtico revuelo al invalidar el mecanismo más empleado por las organizaciones europeas para transferir datos personales de forma lícita y segura a los Estados Unidos que, tengamos en cuenta, se trata de uno de los principales socios comerciales de la Unión Europea, cuyos flujos de datos permiten la generación de 7,1 billones de dólares en relaciones económicas.

Pues bien, este nuevo acuerdo inicial al que han llegado los Estados Unidos y la Comisión Europea persigue dar respuesta a los retos jurídicos señalados por el TJUE mediante el establecimiento de los siguientes 5 principios:

  1. Transferencias legítimas y seguras: con base en el nuevo marco de privacidad, los datos personales podrán transferirse de forma legítima y segura entre la Unión Europea y las compañías estadounidenses que se encuentren adheridas a dicho marco.
  2. Acceso a los datos estrictamente necesarios por parte de las Agencias de Inteligencia: un nuevo conjunto de normas y garantías vinculantes con el fin de limitar el acceso a los datos por parte de las autoridades de inteligencia estadounidenses a lo necesario y respetando el principio de proporcionalidad para proteger la seguridad nacional. En este sentido, dichas agencias de inteligencia adoptarán procedimientos con el fin de garantizar una supervisión eficaz de los nuevos estándares de privacidad y libertades civiles.
  3. Posibilidad de recurso para los titulares de los datos: un nuevo procedimiento de recurso al alcance de los interesados en dos niveles, para investigar y resolver las reclamaciones de los titulares europeos sobre el acceso a sus datos por parte de las autoridades de inteligencia estadounidenses, que incluye el establecimiento de un Tribunal de revisión de protección de datos.
  4. Necesidad de adhesión por las compañías estadounidenses: obligaciones estrictas para las empresas estadounidenses que tratan datos personales transferidos desde la Unión Europea, incluyendo el requisito de “auto-certificar” su adhesión a los principios de este nuevo acuerdo.
  5. Mecanismos de control y revisión: se establecerán mecanismos específicos de control y revisión del marco de privacidad.

Con la aprobación del texto definitivo de este acuerdo, la Comisión Europea espera, por un lado, dar carpetazo de una vez por todas a la falta de garantías señalada por el TJUE y que provocó la invalidez de los dos marcos de privacidad anteriores (Safe Harbor y Privacy Shield) y, por otro, establecer un nuevo marco seguro, duradero y mediante el que se puedan realizar las transferencias de datos personales necesarias a Estados Unidos con el fin de construir una economía digital competitiva en la Unión Europea.

No obstante, existen todavía muchas dudas en relación con este acuerdo y si el mismo podrá realmente conseguir los objetivos que se propone. En especial, los retos que la legislación estadounidense relativa a vigilancia y espionaje (FISA y EO 12333) suponen para ofrecer unas garantías similares a las establecidas por la normativa de protección de datos personales vigente en la Unión.

A falta de analizar el texto legal definitivo y si este se ajusta a las exigencias establecidas por el TJUE, cabe destacar que este es un acuerdo importante y necesario para facilitar el actual flujo de datos a los Estados Unidos y las relaciones comerciales con clientes, socios y proveedores de servicios en dicho país. Se trata de un esfuerzo para fortalecer las economías digitales de ambos países y establecer a su vez un marco normativo adecuado a los derechos y libertades de los ciudadanos europeos.

En cualquier caso, es probable que las organizaciones europeas no puedan hacer uso de este mecanismo para realizar transferencias de datos a Estados Unidos en un futuro cercano, al encontrarse el texto legal de este nuevo marco todavía en fase de elaboración, así como estar pendientes de la revisión por parte del Comité Europeo de Protección de Datos y la posterior aprobación mediante decisión de adecuación de dicho marco de privacidad.

Por tanto, las organizaciones europeas deben continuar empleando otros mecanismos establecidos en el Reglamento General de Protección de Datos como, por ejemplo, las Cláusulas Contractuales Tipo o las Normas Corporativas Vinculantes.

Asimismo, los responsables y encargados del tratamiento deberán continuar llevando a cabo las correspondientes Evaluaciones de Impacto, relativas a las Transferencias (Transfer Impact Assessments – TIAs), con el fin de evaluar la adecuación de la normativa del país de destino al que se enviarán los datos personales y determinando así las medidas adicionales a adoptar en cada caso.

Expuesto lo anterior, continuaremos atentos a los siguientes pasos de la Comisión Europea en relación con este nuevo Marco de Privacidad, así como a la publicación del texto legal definitivo que, sin duda, tendrá un impacto relevante en la configuración del futuro marco transatlántico relativo a la protección de datos.