NUEVO ACUERDO SOBRE TRANSFERENCIAS INTERNACIONALES DE DATOS PERSONALES ENTRE LA UE Y LOS ESTADOS UNIDOS. ¿UN NUEVO CAMBIO DE PARADIGMA?

El pasado 25 de marzo de 2022, la presidenta de la Comisión Europea, Ursula von der Leyen y el presidente de los Estados Unidos, Joe Biden anunciaron que habían llegado a un acuerdo sobre un nuevo marco de privacidad de datos entre la Unión Europea (en adelante, “UE”) y los Estados Unidos (en adelante, “EE. UU.”). El marco fomentaría los flujos de datos transatlánticos y abordaría las inquietudes planteadas por el Tribunal de Justicia de la Unión Europea (en adelante, “TJUE”) en la Sentencia “Schrems II”. 

En esta línea, el pasado 7 de octubre de 2022, la Unión Europea mostró con buena acogida la Orden Ejecutiva (en adelante, “OE”) sobre la mejora de las salvaguardas para las actividades de inteligencia de señales de los Estados Unidos, firmada por el presidente de EE. UU, Joe Biden, para impulsar un nuevo marco de privacidad de datos personales entre la UE y los EE. UU. 

La Orden Ejecutiva introduce nuevas garantías vinculantes para abordar todos los puntos planteados por el TJUE, limitando, a los servicios de inteligencia de EE. UU., el acceso a los datos de la UE, y, estableciendo un Tribunal de Revisión de Protección de Datos

Esta OE representa un paso adelante hacia una mayor protección de los datos personales de los ciudadanos de la UE, así como una mayor seguridad jurídica para las empresas europeas que intercambian datos con los EE. UU. Así pues, tras la recepción de la Orden Ejecutiva, queda ahora en manos de la Comisión Europea decidir si Estados Unidos puede ser considerado como un país con un nivel de protección adecuado. Esta será la decisión clave que habilitará el intercambio de datos entre ambos territorios.

A título sumario, a continuación, se relacionan brevemente los elementos clave que forman parte del contenido de la Orden Ejecutiva. En primer lugar, es importante indicar que la OE y las distintas normas reglamentarias que la acompañan implementan los compromisos asumidos previamente por EE. UU. con la Comisión en los acuerdos anteriores.

En relación con los datos personales de los ciudadanos europeos que se transfieran a los EE. UU., la nueva Orden Ejecutiva, establece:

  • Garantías vinculantes que limiten el acceso a los datos por parte de las autoridades de inteligencia de EE. UU., a aquellos que resulten necesarios y proporcionados para la protección de la seguridad nacional.

  • La implementación de un mecanismo de tutela independiente e imparcial que incluye un nuevo Tribunal de Revisión de Protección de Datos, el cual investigará y resolverá la quejas relativas al acceso a datos de europeos por parte de las autoridades de seguridad nacional de Estados Unidos.

  • Respecto el mecanismo referenciado, las personas de la UE podrán presentar una queja ante el “Oficial de Protección de las Libertades Civiles” de la comunidad de inteligencia de EE. UU. Este Oficial será el responsable de garantizar el cumplimiento de la privacidad y los derechos fundamentales por parte de las agencias de inteligencia de los Estados Unidos.

  • Las decisiones de este Oficial podrán ser apeladas ante el Tribunal de Revisión de Protección de Datos. Este Tribunal tendrá poderes para investigar las denuncias de ciudadanos europeos y podrá obtener información relevante de las agencias de inteligencia, además, de poder tomar decisiones correctivas vinculantes. 

  • Por último, la Orden Ejecutiva prevé que las agencias de inteligencia de EE. UU. revisen sus políticas y procedimientos para implementar estas nuevas salvaguardas. Las nuevas garantías previstas en el ámbito del acceso gubernamental a los datos complementarán las obligaciones que tendrán que suscribir las empresas estadounidenses que importen datos de la UE.

Teniendo en cuenta lo anterior, por el momento, resultaría oportuno que las organizaciones que transfieren datos personales a los Estados Unidos lleven a cabo las siguientes actuaciones:

  • Actualizar las Evaluaciones de Impacto sobre las transferencias (comúnmente conocidas como, “TIA”) que se hayan efectuado para evaluar el movimiento de datos personales de ciudadanos de la Unión a los EE. UU., ya que la Orden Ejecutiva afectará de inmediato al riesgo de acceso a dichos datos por parte de las agencias de inteligencia de los EE. UU.;
  • Vigilen como reaccionan y se posicionan las autoridades europeas de protección de datos ante la OE hasta que se adopte una decisión de adecuación -previsiblemente para finales del primer trimestre de 2023, según fuentes consultadas-;
  • Al respecto, conviene recordar que una decisión de adecuación no es la única herramienta para las transferencias internacionales. Las cláusulas contractuales tipo, que las empresas pueden introducir en sus respectivos contratos, son el mecanismo más utilizado para transferir datos desde la UE. El año pasado, la Comisión adoptó las "Cláusulas contractuales tipo" para adecuarlas a las nuevas realidades tecnológicas.

Como veníamos anticipando al inicio de este comunicado, con la adopción de la Orden Ejecutiva y sus respectivas normas complementarias, la Comisión propondrá un proyecto de decisión de adecuación y lanzará su procedimiento de adopción. Se espera que la Comisión tarde seis meses en emitir la determinación de idoneidad. A partir de ese momento, los datos intercambiarse sin tantos obstáculos entre ambos territorios.