La Unión Europea y Estados Unidos llegan a un acuerdo en relación con las transferencias internacionales de datos a nivel trasatlántico. 

El presidente de los Estados Unidos, Joe Biden, ha firmado el pasado 7 de octubre una norma federal sin rango de ley para amoldarse a aquello que establece la Unión Europea en relación con las transferencias internacionales de datos. El presente acuerdo marca solamente unas líneas generales, por lo que habrá que esperar al texto legal definitivo para poder analizarlo en más profundidad.

Los antecedentes a este acuerdo se remontan a la sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en el asunto C-311/18, o más conocido como el caso “Schrems II”, el cual declaró la invalidez de la Decisión de adecuación del Escudo de privacidad (Privacy Shield), por considerar que la legislación estadounidense no ofrecía las garantías adecuadas a las exigidas en el Derecho de la Unión Europea y que, además, la legislación norteamericana no proporcionaba a los titulares de los datos ninguna vía de recurso judicial contra las autoridades de los Estados Unidos.

La sentencia creó una situación de incertidumbre al invalidar el mecanismo más utilizado por las organizaciones europeas, para transferir datos internacionalmente de forma lícita y segura a los Estados Unidos, produciéndose hasta amenazas de grandes empresas estadounidenses con cerrar sus compañías en Europa, y es que, este flujo de datos entre ambos territorios, permitía la generación de 7,1 billones de dólares en relaciones económicas.

El presente acuerdo pretende establecer 5 principios básicos con el objetivo de dar respuesta a los retos jurídicos señalados por el TJUE. Los principios se podrían resumir en:

  1. Transferencias legítimas y seguras: Serán seguras las transferencias internacionales de datos entre las organizaciones europeas y estadounidenses adheridas a este marco legal.
  2. Restricción de acceso a las Agencias de Inteligencia a los datos personales: Se regulan una serie de restricciones hacia las agencias de inteligencia estadounidenses en cuanto al acceso de datos personales, pudiendo éstas solamente acceder a aquellos que sean necesarios y respetando el principio de proporcionalidad para proteger la seguridad nacional.
  3. Posibilidad de plantear recurso por parte de los titulares de datos: Los interesados podrán interponer un recurso frente a las autoridades estadounidenses con el objetivo de investigar y resolver las reclamaciones de los titulares europeos sobre el acceso a sus datos por parte de las autoridades de inteligencia estadounidenses.
  4. Adhesión al nuevo marco normativo por parte de las empresas estadounidenses: Las empresas estadounidenses deben auto-certificarse de que cumplen con lo establecido en el nuevo acuerdo.
  5. Se establecerán mecanismos de control y revisión de cumplimiento del nuevo marco normativo.

El presente acuerdo acompañado de una aplicación real y práctica de los principios señalados pretende solventar todas las faltas de garantías señaladas por el TJUE. Solventado el problema que provocó la inaplicabilidad de los dos anteriores acuerdos entre ambos organismos, se pretende establecer un marco normativo definitivo entre Estados Unidos y la Unión Europea.

No obstante, y a falta de que salga publicado el texto legal definitivo, hay mucha incertidumbre en relación con este acuerdo y si realmente se podrá lograr el cumplimiento de los objetivos establecidos.

Ahora mismo, la pelota se encuentra en el tejado de la Comisión Europea, la cual a partir de la norma federal firmada por el presidente de los Estados Unidos, debe añadir al Reglamento Europeo de Protección de Datos una adecuación de la norma federal estadounidense. Este añadido deberá ser aprobado por los diferentes países de la UE y revisado por parte del Organismo Europeo de Protección de Datos.

Para cualquier consulta relacionada con este tema, no dude en contactarnos en el 932 000 149 o bien en el correo rgpdnexum@elegalnexum.com. Para que su empresa o su PYME se adapte a la normativa de protección de datos o evite ser sancionado por parte de la AEPD, en ETL NEXUM podemos ayudarle.

Jon Rodríguez Senz
Protección de datos y Nuevas Tecnologías 

Artículo anterior