Marco Privacidad

Por fin tenemos aprobado el nuevo Marco de Privacidad de Datos entre la UE y Estados Unidos

Compartir artículo

Tras la anulación de la anterior decisión de adecuación, denominada Privacy Shield (escudo de privacidad) por el Tribunal de Justicia de la Unión Europea en la Sentencia conocida como Shrems II, de 23 de julio de 2020, ( asunto C-311/18 —Comisaria de Protección de Datos vs Facebook Irlanda y Maximillian Schrems) las transferencias internacionales de datos a Estados Unidos habían quedado completamente desamparadas, debiendo acudir los responsables del tratamiento a otra vias como las normas corporativas vinculantes (BCR – binding corporate rules) o a las cláusulas tipo contractuales (SCC – Standard Contractual Clauses) aunque con muchas dudas entre los juristas.

Ahora, tras tres años de vacío, desde el 10 de julio de 2023 volvemos a tener una decisión de adecuación denominada Marco TransAtlántico de Privacidad que esperemos no vueva a ser anulada por el TJUE, como lo fue el entonces Safe Harbour (caso Schrems I) y luego el Privacy Shield.

El problema fundamental que provocó la anulación de la decisión de adecuación anterior (Privacy Shield) fue, segun las FAQ del EDPB, el siguiente:

«El Tribunal consideró que los requisitos del Derecho nacional estadounidense, y en particular algunos programas que permiten a las autoridades públicas de los Estados Unidos acceder a los datos personales transferidos desde la UE a los EE.UU. con fines de seguridad nacional, imponen limitaciones a la protección de los datos personales que no están circunscritos de un modo que ofrezca garantías sustancialmente equivalentes a las exigidas en el Derecho de la Unión1, y que esta legislación no proporciona ninguna vía de recurso judicial contra las autoridades de los Estados Unidos a los titulares de los datos.
Como consecuencia de tal interferencia con los derechos fundamentales de las personas cuyos datos se transfieren a ese país tercero, el Tribunal declaró inválida la Decisión de adecuación del Escudo de la privacidad.»

La gran novedad ahora es, según indica la propia Comisión Europea, que «La decisión de adecuación sigue a la firma de EE. UU. de una Orden Ejecutiva sobre ‘Mejora de las salvaguardias para las actividades de inteligencia de señales de Estados Unidos’, que introdujo nuevas salvaguardas vinculantes para abordar los puntos planteados por el Tribunal de Justicia de la Unión Europea en su decisión Schrems II de julio de 2020 En particular, las nuevas obligaciones estaban orientadas a garantizar que las agencias de inteligencia de EE. UU. puedan acceder a los datos solo en la medida en que sea necesario y proporcionado, y para establecer un mecanismo de reparación independiente e imparcial para manejar y resolver las quejas de los europeos sobre la recopilación de información. sus datos con fines de seguridad nacional.» Ahora existen principios básicos de protección de datos, derechos individuales (obtener acceso a sus datos u obtener la corrección o eliminación de datos incorrectos o manejados ilegalmente), supervisión independiente y recursos efectivos (ofrece diferentes vías de reparación en caso de que sus datos se manejen incorrectamente, incluso ante mecanismos independientes de resolución de disputas y un panel de arbitraje gratuito), que hacen que, en principio (ya veremos si se vuelve a recurrir por el sr. Schrems que es lo que pasa…) existan garantías suficientes para la protección de este derecho fundamental.

Se ha limitado el acceso por parte de los servicios de intelegencia de EEUU a nuestros datos personales, mediante las siguientes medidas adoptadas en una Orden ejecutiva adoptada por el Presidente Biden:

  • «Garantías vinculantes que limitan el acceso a los datos por parte de las autoridades de inteligencia de EE. UU. a lo que sea necesario y proporcionado para proteger la seguridad nacional;
  • Supervisión mejorada de las actividades de los servicios de inteligencia de EE. UU. para garantizar el cumplimiento de las limitaciones en las actividades de vigilancia; y
  • El establecimiento de un mecanismo de reparación independiente e imparcial, que incluye un nuevo Tribunal de Revisión de Protección de Datos para investigar y resolver quejas sobre el acceso a sus datos por parte de las autoridades de seguridad nacional de EE. UU.«

Al igual que en el Privacy Shield, el Marco de Privacidad funciona mediante un sistema de certificación de empresas estadounidenses a cargo del Departamento de Comercio de EE. UU.. Por tanto, las empresase deberán comprometerse a dar cumplimiento a una serie de derechos como el de limitación de la finalidad del tratamiento de datos, minimización, plazos de conservación, medidas de seguridad y limitaciones a la cesión de datos a terceros, si quieren obtener dicha certificación.

Otra decisión muy relevante es el procedimiento para interponer reclamaciones, ya que ahora cualquier intererado puede presentar una reclamacion ante la Agencia Española de Protección de Datos o ante la Autoridad de Control de su país, que deberá transmitir al Consejo Europeo de Protección de Datos para que este a su vez transmita la reclamación al Oficial de Protección de las Libertades Civiles de EEUU, debiendo obtener información sobre el proceidmiento y una resolución de dicha reclamación. Esta resolución ademas es recurrible ante el Tribunal de Revisión de Protección de Datos (DPRC)

Puedes descargar aquí el nuevo Marco de Privacidad:


Diego Estévez
Consultor Jurídico e IT