Data Privacy Framework: ¿el final del camino?
La aprobación del Data Privacy Framework, ¿el final del camino? Han pasado varios años desde que el 16 de julio de 2020 el Tribunal de Justicia de la Unión Europea (TJUE) invalidase el, por aquel entonces, vigente acuerdo de privacidad para las transferencias internacionales de datos personales entre la Unión Europea y Estados Unidos (Privacy Shield).
Durante todo este tiempo las empresas han tenido que buscar otras medidas de seguridad de cara a operar con normalidad a ambos lados del Atlántico, basándose principalmente en las Cláusulas Contractuales Tipo de la Comisión Europea (SCC) u otras medidas como, por ejemplo, las Binding Corporate Rules (BCRs).
Con la aprobación el pasado 10 de julio del Data Privacy Framework (DPF), parece que la Unión Europea y Estados Unidos han encontrado un punto en común de cara a facilitar el flujo de datos personales entre ambos territorios.
¿Qué es el Data Privacy Framework?
El DPF es el nuevo acuerdo de privacidad entre la Unión Europea y Estados Unidos en relación con las transferencias internacionales de datos personales.
Si bien el Tribunal de Justicia de la Unión Europea (TJUE) anuló el Privacy Shield porque entendía que Estados Unidos no ofrecía unas garantías adecuadas respecto del tratamiento de datos personales de ciudadanos de la Unión Europea.
¿Qué cambios supone el Data Privacy Framework?
Este nuevo acuerdo introduce nuevos mecanismos de protección vinculantes que servirán para responder a todas las preocupaciones que inundaban al TJUE y blindar la privacidad reclamada, acordando decisiones para la limitación del acceso a los datos por parte de los servicios de inteligencia de EE.UU. a aquellos que sean estrictamente necesarios para el cumplimiento de determinados propósitos y la habilitación para los ciudadanos de la UE de recursos y vías frente al trato indebido de sus datos por empresas de EE.UU., entre otros.
El nuevo marco concluye con la decisión de que EE.UU. garantiza un nivel adecuado de protección, comparable al que existe en la UE, para la transferencia internacional de datos personales, brindando una seguridad jurídica tanto a los ciudadanos como a las empresas de ambos lados del Atlántico.
Incluye el requisito de eliminar datos personales cuando ya no sean necesarios para el propósito para el que fueron recopilados, así como una serie de salvaguardias relativas al acceso a datos por parte de las autoridades estadounidenses, en particular con fines policiales, penales y de seguridad nacional, limitándose el acceso a datos personales a lo necesario y proporcionado para proteger la seguridad nacional.
Además de lo anterior, las denuncias serán investigadas por el denominado «Responsable de Protección de las Libertades Civiles» de la comunidad de inteligencia estadounidense, quien es responsable de garantizar el cumplimiento de los derechos fundamentales y de privacidad por parte de las agencias de inteligencia estadounidenses.
Por otro lado, los particulares tienen la posibilidad de recurrir la decisión del Responsable de Protección de las Libertades Civiles ante el recién creado Tribunal de Revisión de la Protección de Datos (DPRC).
Por su parte, los ciudadanos de la UE tendrán a su disposición vías de reparación en caso de que se realice un manejo incorrecto de sus datos personales. Entre estos se incluyen mecanismos de resolución de disputas independientes y gratuitos, y un panel de arbitraje.
Las personas pueden presentar una denuncia ante su autoridad nacional de protección de datos, por lo que se garantiza que los interesados puedan dirigirse a una autoridad cercana a su domicilio y en su propio idioma. Las denuncias serán transmitidas a Estados Unidos por el Comité Europeo de Protección de Datos.
¿Qué empresas pueden beneficiarse del DPF?
Podrán ampararse en este nuevo marco las empresas que, en Estados Unidos se certifiquen (o vuelvan a certificarse anualmente), por lo que las organizaciones deben declarar públicamente su compromiso de cumplir los principios del mismo, poner a disposición sus políticas de privacidad y aplicarlas plenamente.
Como parte de su solicitud de (re)certificación, las organizaciones tienen que presentar información al DoC (Departamento de Comercio) sobre, entre otras cosas, el nombre de la organización pertinente, una descripción de los fines para los que la organización tratará datos personales, los datos personales que estarán cubiertos por la certificación, así como el método de verificación elegido, el mecanismo de recurso independiente pertinente y el organismo estatutario que tiene jurisdicción para exigir el cumplimiento de los Principios.
Todas esas organizaciones y empresas quedarán reflejadas en una Lista pública que será accesible para su verificación por terceros.
Para garantizar la seguridad jurídica y evitar «falsas afirmaciones», las organizaciones que certifican por primera vez no están autorizadas a hacer referencia pública a su adhesión a los Principios antes de que el DoC haya determinado que la presentación de certificación de la organización está completa y haya añadido la organización a la Lista DPF.
Para poder seguir formando parte del DPF y recibir datos personales de la Unión Europea, dichas organizaciones deben volver a certificar anualmente su participación en el marco. Cuando una organización abandona el DPF por cualquier motivo, debe eliminar todas las declaraciones que impliquen que la organización sigue participando en el mismo.
¿Cuál es el futuro del Data Privacy Framework?
Teniendo en cuenta los antecedentes, la Comisión Europea ha optado por un sistema de revisiones del DFP. De este modo, la Comisión Europea llevará a cabo una revisión de la situación del acuerdo en el plazo de un año desde la entrada en vigor del mismo, por lo que se decidirá en ese momento, en función de la situación en la que se hallen las transferencias internacionales de datos personales y, en cualquier caso, al menos cada cuatro años, según establece el artículo 45.3 RGPD.
En Letslaw somos especialistas en protección de datos personales, y podemos ayudarte a realizar tus transferencias internacionales de forma segura.
Aberto Malo ha desarrollado su carrera profesional en las áreas de Propiedad Intelectual, Protección de Datos y Nuevas Tecnologías. También presta asesoramiento jurídico, tanto a nivel nacional como internacional, en el ámbito del comercio electrónico, publicidad, esports, competencia desleal, contratación de software, consumidores y usuarios y litigación procesal.