El pasado 10 de julio la Comisión Europea adoptó su decisión de adecuación relativa al Marco de Privacidad de Datos entre la Unión Europea y los Estados Unidos. La decisión concluye que, al amparo del nuevo marco que ha estructurado la Comisión, y a diferencia de lo que ocurría hasta ahora, Estados Unidos garantiza un nivel adecuado de protección (equiparable al nivel de la Unión Europea) de los datos personales transferidos de la UE a empresas estadounidenses.
A partir de ahora, las transferencias de datos de carácter personal entre la UE y las empresas estadounidenses que participen en el Marco de Privacidad se transmitirán de forma segura, ya que, la decisión de adecuación adoptada por la Comisión establece una serie de medidas de refuerzo (vinculantes) orientadas, precisamente, a garantizar la seguridad de la circulación de los datos personales UE – EE.UU.
Para mantener la condición de entidad adherida tendrá que renovarse la certificación, conforme a los anteriores principios, con carácter anual.
La decisión también aborda de forma específica las condiciones de acceso y uso de los datos, tras haber sido exportados, por parte de autoridades estadounidenses (bases legales para el acceso, limitaciones, salvaguardas, condiciones de reutilización, etc.) tanto desde el punto de vista de (i) fines de prevención e investigación criminal como (ii) fines de seguridad nacional.
Al margen de regirse por el espíritu de los principios inspiradores del RGPD, el nuevo Marco de Privacidad contiene una serie de implicaciones muy significativas, que a continuación se analizan mínimamente:
- En el marco de investigaciones realizadas de acuerdo con la normativa de inteligencia exterior de los EE.UU, los Servicios de Inteligencia estadounidenses sólo tendrán acceso a datos de la UE que sean necesarios y proporcionados para la protección de la seguridad nacional.
- Se prevé la creación del Data Protection Review Court, (DPRC) un órgano de naturaleza jurisdiccional al que la ciudadanía de la Unión Europea podrá acudir con fin de impugnar las distintas actividades y decisiones de las autoridades de inteligencia, y, asimismo, para proteger sus derechos como ciudadanos.
- El sector privado estadounidense tendrá la posibilidad de adherirse al Marco de Privacidad aprobado por la Comisión, para lo cual, será necesario que las empresas cumplan con una serie de obligaciones detalladas, y obtengan, a tal efecto, la aprobación del US Department of Commerce (Departamento de Comercio de Estados Unidos). Se encomienda a este Departamento la función de revisar, monitorizar y comprobar si las empresas adheridas al Marco de Privacidad cumplen con los requisitos necesarios.
- Entre los requisitos que las empresas han de cumplir, destaca especialmente la obligación de suprimir los datos personales cuando no sean necesarios para el fin que hubiera motivado su recogida, es decir, cumplir con el principio de limitación del plazo de conservación (art. 5.1 e) del RGPD).
- Además, y para el caso de que el Data Protection Review Court determine que el tratamiento de datos personales se ha llevado a cabo de manera indebida conforme al nuevo Marco de Privacidad, las empresas estadounidenses podrán verse obligadas a suprimir los datos. Asimismo, el nuevo Marco de Privacidad permite a los ciudadanos de la UE la reparación del daño por distintas vías, para lo cual se prevén varios mecanismos de resolución independiente (y gratuita), así como un tribunal arbitral.