El pasado 10 de julio de 2023, la Unión Europea anunció la posibilidad de realizar transferencias de datos personales a los Estados Unidos, tras los cambios en el marco jurídico de los EE.UU. y su adecuación a las garantías de protección impuestas por la UE.
El principal cambio que ha permitido esta decisión es la orden ejecutiva firmada por el presidente de los EE.UU. en octubre de 2022 con el fin de cumplir con los compromisos adquiridos frente a la UE en materia de protección de datos. Esta orden limita a las agencias de inteligencia el acceso y tratamiento de los datos personales, y crea un mecanismo para resolver solicitudes referentes al tratamiento indebido de datos, equiparándose así en estos aspectos a las garantías existentes en la UE.
Para que se pueda realizar la transmisión de datos personales desde un país miembro de la UE a uno extracomunitario, es necesario que exista en ese tercer país un nivel de protección esencialmente equivalente al existente en la UE, pero no necesariamente idéntico, tal y como aclaró la Corte de Justicia en el caso C-362/14, Maximillian Schrems v Data Protection Commissioner.
Para ello, en el Marco de Privacidad de Datos UE-EE.UU. se introducen una serie de principios que deberán ser adquiridos por parte de los EE.UU. con el fin de otorgar dicho nivel de protección. Estos principios determinan las entidades certificadas, definen los conceptos básicos de datos personales, y limitan el tratamiento de datos personales a objetos determinados, además de introducir obligaciones como el borrado de los datos cuando ya no se necesiten para la razón por la que fueron recogidos.
Las entidades que se comprometan al cumplimiento de los principios incluidos en el marco podrán ser las únicas receptoras de datos personales provenientes de la UE, en las condiciones introducidas por el Marco de Privacidad. Este compromiso está patente en la “Data Framework List”, una lista pública que contiene aquellas entidades que voluntariamente decidan comprometerse al cumplimiento de los principios, que será actualizada constantemente con la introducción de nuevas entidades y la eliminación de aquellas que decidan darse de baja o no cumplan con los principios.
Respecto del acceso a los datos de los ciudadanos residentes en la UE por parte de las agencias de inteligencia de los EE.UU., se limita a que se cumplan los principios de necesidad y proporcionalidad. Para quejas en esta materia, se pone a disposición de los ciudadanos de la UE un mecanismo de recurso que se presentará a través de las autoridades nacionales en materia de protección de datos, quienes, por medio del Consejo Europeo de Protección de Datos, transmitirán la queja a los EE.UU. para que sean tratadas y dictaminen si se respetaron los principios de necesidad y proporcionalidad.
Se habilita, a su vez, un “Tribunal de Recurso en Materia de Protección de Datos (DPRC)” compuesto por miembros ajenos al gobierno, que no podrán recibir instrucciones ni ser destituidos sin causa justificada, y con capacidad de investigar las denuncias y adoptar decisiones vinculantes, además de ordenar la supresión de los datos en caso de ser necesario. Se acudirá a ese tribunal en caso de que el demandante no esté de acuerdo con la respuesta por parte de los EEUU frente a la queja.
En el caso de que este acuerdo sobreviva a las posibles impugnaciones frente al Tribunal de Justicia de la Unión Europea, pondrá fin a la larga lucha legal por conseguir el acuerdo para la ansiada transmisión fronteriza de datos personales, abriendo así una nueva etapa en el comercio entre la UE y los EE.UU.
Oscar Vilá
Vilá Abogados
Para más información, contacte con:
8 de septiembre de 2023