EU-US Data Privacy Framework: Nuevo Marco Legal para Transferencias de Datos a EEUU
20.07.2023
El pasado 10 de julio de 2023, la Comisión Europea adoptó una nueva Decisión de Adecuación que, bajo la denominación “EU-US Data Privacy Framework”, constituye una nueva herramienta para la realización de transferencias internacionales de datos personales con destino a EE.UU.
Como bien conocerán, en su sentencia de 16 de julio de 2020, el Tribunal de Justicia de la Unión Europea (en adelante, el “TJUE”) invalidó la anterior Decisión de Adecuación aplicable a EE.UU. (comúnmente conocida como el “Escudo de Privacidad”), que facilitaba la realización de transferencias internacionales de datos a dicho país, conforme al RGPD y sin necesidad de trámite o autorización adicional alguna.
Dicha anulación ha provocado importantes quebraderos de cabeza a muchas empresas y organizaciones de nuestro entorno, ya que complicaba notablemente, entre otras actuaciones constitutivas de transferencias internacionales, el uso de determinados servicios tecnológicos ubicados en EE.UU. o, incluso, las comunicaciones de datos de empresas ubicadas en la Unión Europea a sus matrices en dicho territorio.
En este contexto, la nueva Decisión de Adecuación establece un nuevo marco de privacidad entre ambos territorios, reconociendo a EE.UU. un nivel de protección de datos comparable al de la Unión Europea y facilitando así la realización de transferencias internacionales de datos sin necesidad de trámites adicionales.
Esta nueva Decisión de Adecuación, y el marco de privacidad que comprende, se sustentan en las salvaguardas adicionales y vinculantes en materia de privacidad incorporadas por EE.UU. a su ordenamiento jurídico y que, a juicio de la Comisión, permiten superar los aspectos identificados por el TJUE como causa de la anulación del Escudo de Privacidad, incluyendo, entre otros aspectos relevantes, los siguientes:
- La incorporación de principios de cumplimiento obligatorio en materia de privacidad (e.g. limitación de la finalidad del tratamiento, minimización y seguridad de los datos, transparencia, etc.);
- El reconocimiento de nuevos derechos en favor de los interesados (e.g. derechos de acceso, derecho a rectificar datos incorrectos y derecho a obtener la supresión de datos tratados ilícitamente);
- El establecimiento de mecanismos de reparación que permitirán a los interesados hacer valer sus derechos ante incumplimientos de sus obligaciones en materia de privacidad por parte de los operadores estadounidenses (incluso a mediante denuncia ante las Autoridades de Control nacionales de la Unión Europea); y
- La limitación de acceso a los datos por parte de las autoridades de inteligencia y del resto de autoridades estadounidenses, sujeto ahora a nuevos criterios de necesidad y proporcionalidad.
En todo caso, el EU-US Data Privacy Framework únicamente ampara las transferencias internacionales que se realicen en favor de entidades que, ya sea como cesionarias de los datos o como encargados del tratamiento, se adhieran al nuevo marco de privacidad, se obliguen a cumplir las previsiones legales aplicables y obtengan la correspondiente certificación.
Las entidades que cumplan dichos requisitos aparecerán publicadas en el “Data Privacy Framework List” accesible a través del siguiente enlace.