La UE aprueba un nuevo marco legal para las transferencias de datos a EE.UU
La Comisión Europea ha adoptado el 10 de julio el llamado Marco para la Privacidad de Datos entre EE.UU y la UE (“EU-U.S. Data Privacy Framework”). Este marco permitirá la transferencia de datos personales con un nivel adecuado de protección garantizando así la seguridad de los flujos de datos para los europeos y adoptando seguridad jurídica a las empresas de ambos lados del Atlántico. Esta decisión llega tres años después de que el Tribunal de Justicia de la Unión Europea invalidase la decisión de adecuación anterior.
Los desacuerdos entre ambas partes tienen sus comienzos en el año 2013. Cuando Edward Snowden, ex empleado de la Agencia Central de Inteligencia, reveló que el enorme aparato de espionaje estadounidense intervenía en miles de comunicaciones alrededor del mundo y recolectaba datos de personas. Hasta llamadas de ex líderes europeos, como la ex canciller alemana Angela Merkel. Como consecuencia de dichas revelaciones, después de dos años el Tribunal de Justicia de la Unión Europea (TJUE) dictó la sentencia Schrems I, en la cual invalidaba el acuerdo que había sido elaborado a finales de los años noventa conocido como Safe Harbor o Puerto Seguro, que permitía la transferencia segura de datos. A raíz de ello un año más tarde, en 2016, llegaría un nuevo marco legal llamado Privacy Shield o Escudo de Privacidad. Hasta hace poco era el último acuerdo entre la UE y los EE.UU pero había sido invalidado en el año 2020 por el Tribunal de Justicia de la Unión Europea en su sentencia Schrems II.
Por todo esto la relación entre la UE y los EE.UU en el ámbito de la protección de datos ha sido muy polémica y ambigua. En gran medida esto se debe a que los principios que rigen en ambos lados no son los mismos. En 2016 entró en vigor el Reglamento Europeo de Protección de Datos (RGPD), el cual impone nuevas y más exigentes obligaciones para garantizar la privacidad como derecho fundamental. Se crea la nueva figura del Delegado de Protección de Datos (DPD o DPO en inglés). Velar por el principio de minimización de datos que viene a establecer que los datos deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados es el claro reflejo de las grandes diferencias que tienen los mecanismos jurídicos del viejo continente en comparación con el marco normativo legal estadounidense. Por su parte, los EE.UU tiene un enfoque más permisivo en relación al tratamiento de datos personales, con muchas menos obligaciones y restricciones.
Una de las novedades que introduce el Data Privacy Framework es que los ciudadanos de la UE podrán beneficiarse de una serie de procedimientos y vías de reparación gratuitos e independientes ante situaciones de controversia y un tribunal arbitral. Además, a efectos penales y de seguridad nacional, el marco jurídico estadounidense se limitará solo a lo necesario y proporcional para garantizar dicha seguridad. Por otro lado, se seguirán utilizando las herramientas como las cláusulas contractuales tipo y las Normas Corporativas Vinculantes (BCR -Binding Corporate Rules) de conformidad con el mecanismo de coherencia establecido en el artículo 63 del RGPD.
Cuando se cumpla un año de su entrada en vigor la Comisión Europea junto con autoridades competentes estadounidenses verificarán si dicho acuerdo ha podido dar sus frutos funcionando de manera plena. No sólo en lo teórico sino también en lo práctico. Pudiendo así abrir una nueva etapa en las relaciones entre EE.UU y la UE en materia de protección de datos.
