¿A la tercera va la vencida? El nuevo marco de protección de datos UE-EE.UU

Esta decisión devino necesaria tras la sentencia Schrems II del Tribunal de Justicia de la Unión Europea (TJUE) de julio de 2020, que invalidó el Privacy Shield UE-EE.UU., predecesor del DPF. Las principales preocupaciones del TJUE en Schrems II eran que el uso y el acceso de las autoridades públicas estadounidenses a los datos de la UE no estaban restringidos por el principio de proporcionalidad, y que no existían mecanismos de recurso efectivos para que los interesados de la UE impugnaran las prácticas de vigilancia. Desde entonces, EE.UU. ha introducido salvaguardias mediante una Orden Ejecutiva de octubre de 2022 y un Reglamento asociado emitido por el Fiscal General de EE.UU. por el que se establece un nuevo Tribunal de Revisión de Protección de Datos. Estos cambios se describen detalladamente en la decisión. La decisión entró en vigor inmediatamente, es decir, el 10 de julio de 2023, y el sitio web oficial del DPF, donde las empresas estadounidenses interesadas en certificarse podrán acudir, estará operativo a partir del 17 de julio.

¿Qué significa esto para las transferencias de datos personales a organizaciones que se autocertifican con arreglo al DPF?

El DPF es una modificación del anterior Escudo de la privacidad UE-EEUU. La decisión de la Comisión Europea significa que los datos personales pueden transferirse desde la UE a empresas que se autocertifiquen con arreglo al DPF sin ningún otro mecanismo de transferencia de datos (como las Cláusulas Contractuales Tipo o las Normas Corporativas Vinculantes). Además, las organizaciones que transfieran datos personales a importadores que participen en el DPF no tendrán que realizar evaluaciones del riesgo de transferencia, ya que el DPF se beneficia de una decisión de adecuación.

¿Qué significa esto para otras transferencias de datos personales a los EE.UU., es decir, utilizando SCC o BCR?

En este caso, las organizaciones están obligadas a seguir realizando una evaluación del impacto de la transferencia (TIA) junto con el uso de las SCC, tal como establece la decisión Schrems II del TJUE. Sin embargo, las secciones de la TIA que consideran la capacidad de las autoridades públicas para acceder y utilizar los datos personales transferidos deben reflejar el contenido de la decisión de adecuación. A la luz de la evaluación positiva de estos cambios por parte de la Comisión, los exportadores de datos deberían poder concluir con confianza que la legislación estadounidense cumple los requisitos de la UE a este respecto.

¿Qué significa esto para las organizaciones que están autocertificadas con arreglo al Privacy Shield o que desean participar en el DPF?

Las empresas que han seguido participando en el marco del Privacy Shield deberían encontrar relativamente fácil convertir su participación en dicho esquema en la nueva participación en el DPF. Dichas organizaciones deberán actualizar las referencias en sus políticas de privacidad a los "Principios del Marco de Privacidad de Datos UE-EE.UU." en un plazo de tres meses. Mientras una empresa siga cumpliendo los principios, la transición es automática. El Departamento de Comercio ("DOC") de EE.UU. afirma que "el proceso de autocertificación y recertificación anual seguirá siendo sustancialmente el mismo".

Las empresas que formen parte del DPF tendrán que cumplir los principios marcados en el mismo. Estos principios son sustancialmente similares a los del Privacy Shield. El DOC ha declarado: "el DPF UE-EE.UU. no creará nuevas obligaciones sustantivas para las organizaciones participantes en lo que respecta a la protección de los datos personales de la UE [en comparación con el Marco del Privacy Shield UE-EE.UU.]. Los principios de privacidad [...] seguirán siendo sustancialmente los mismos".

Aunque los Principios mantienen los epígrafes utilizados en Privacy Shield, hay algunas diferencias menores en los principios complementarios. Por ejemplo, hay algunas diferencias en la forma en que se pagan las tasas anuales donde se suprime el antiguo tope de 500 USD. También hay algunos cambios menores en la autocertificación. El DPF exige que la organización enumere más datos de contacto y los nombres de cualquier entidad o filial estadounidense. El DPF también introduce un procedimiento más detallado para la salida del Programa, especificando que la organización debe comunicar si tiene intención de conservar, devolver o eliminar los datos en el momento de la retirada. Los participantes también deben dar más detalles cuando se produzca un cambio de estatus corporativo y ofrece opciones más específicas para la participación de la entidad resultante en el DPF.

La Comisión Federal de Comercio (FTC) y el Departamento de Transporte (DoT) siguen siendo los responsables de hacer cumplir el DPF. La Comisión Europea supervisará el DPF mediante controles periódicos y velará por su cumplimiento por parte de las autoridades estadounidenses. También se prevé una revisión periódica conjunta por parte de la UE y Estados Unidos. Si EE.UU. no cumple sus compromisos, el DPF podría ser suspendido por la CE.

El Gobierno de EE.UU. ha puesto en marcha un mecanismo de dos niveles para atender las reclamaciones de particulares del EEE cuyos datos hayan sido transferidos a EE.UU., en relación con el acceso de las agencias de inteligencia estadounidenses. Los particulares pueden presentar reclamaciones ante su autoridad nacional de protección de datos, que luego se transmiten a Estados Unidos a través del Consejo Europeo de Protección de Datos. La investigación inicial de las denuncias corre a cargo del "responsable de protección de las libertades civiles" de la comunidad de inteligencia estadounidense. En caso necesario, los particulares pueden recurrir una denuncia ante el recién creado Tribunal de Revisión de la Protección de Datos (DPRC), una entidad independiente compuesta por personas ajenas al Gobierno estadounidense. El DPRC puede dictar decisiones vinculantes, incluida la capacidad de ordenar la supresión de datos recogidos indebidamente. A lo largo de la investigación, el tribunal nombra a un defensor especial para que represente los intereses del denunciante. Una vez concluida la investigación, se informa al denunciante de que, o bien no se ha detectado ninguna violación de la legislación estadounidense, o bien se ha detectado una violación y se ha puesto remedio a la misma. La decisión motivada del tribunal puede hacerse pública más adelante, una vez que hayan concluido los requisitos de confidencialidad.

¿Y ahora qué?

Extensión al Reino Unido

La decisión sienta las bases para la propuesta de extensión británica del marco de privacidad de datos que facilite los flujos de datos entre el Reino Unido y EE.UU., que se introducirá con arreglo a la legislación británica. Dicho marco requeriría que Estados Unidos designara al Reino Unido como "Estado cualificado" y que el Secretario de Estado británico emitiera una decisión de adecuación. El Departamento de Comercio ha advertido de que, a partir del 17 de julio de 2023, las organizaciones estadounidenses que formen parte del DPF también podrán autocertificarse para la Extensión británica, pero no podrán basarse en ella para las transferencias de datos personales al Reino Unido hasta que entre en vigor la normativa británica de adecuación. No hay un calendario claro para establecer la extensión al Reino Unido, pero se entiende que es una prioridad.

DPF suizo-estadounidense

El 17 de julio también entrará en funcionamiento el DPF suizo-estadounidense. Los miembros certificados en el marco del Escudo de la privacidad suizo-estadounidense pasarán sin problemas al nuevo marco. Sin embargo, al igual que en el caso del Reino Unido, las transferencias no podrán realizarse hasta que Suiza emita una decisión de adecuación.

Impugnación de NOYB

NOYB indicó que recurrirá el marco, señalando que el "tercer intento de la Comisión Europea de conseguir un acuerdo estable sobre las transferencias de datos UE-EE.UU. volverá probablemente al Tribunal de Justicia (de la Unión Europea) en cuestión de meses". NOYB, y Max Schrems creen que esto no aborda cuestiones "fundamentales" de la vigilancia. Alegan que la Orden Ejecutiva no restringe suficientemente la vigilancia estadounidense (hasta el nivel de proporcionalidad que permite la UE) ni ofrece recursos jurídicos efectivos.

Una preocupación particular planteada tanto por NOYB como por EDPB se refiere al secreto que rodea el proceso judicial del DPRC. En particular, los interesados no podrán ser oídos ante el tribunal, sino que el procedimiento será promovido en su nombre por su APD local y defendido por un abogado especial designado, y no podrán acceder a las decisiones motivadas dictadas por los tribunales a menos que sean desclasificadas, sin que los tribunales tengan capacidad para determinar esta clasificación. El Tribunal Europeo de Derechos Humanos (por ejemplo, en el asunto Kennedy contra Reino Unido) y el TJUE (por ejemplo, en el asunto Kadi II) han examinado anteriormente este tipo de situaciones. Estos asuntos señalan que los derechos pertinentes a una vista oral y a una sentencia motivada pueden restringirse en interés de la seguridad nacional, pero que la restricción debe ser limitada y proporcionada. En general, tanto el TEDH como el TJUE sólo han aprobado situaciones en las que el órgano jurisdiccional tiene la facultad discrecional de determinar la apertura del procedimiento y la resolución motivada en función de las circunstancias del caso concreto. Con el DPRC, la apertura de los procedimientos puede atenuarse mediante la disponibilidad de abogados especiales; sin embargo, la única atenuación con respecto a la decisión motivada es que puede hacerse pública más tarde, pero esto no será a discreción de un órgano independiente. Es probable que éste sea un punto central en el inevitable caso Schrems III. Mientras tanto, la decisión de adecuación debería permitir que continúen los flujos de datos y proteger a quienes exportan datos personales a EE.UU., incluso cuando la transferencia se basa en mecanismos como (cláusulas contractuales tipo) y (normas corporativas vinculantes) en lugar de en el propio DPF.