Datos tratados por proveedores de EE.UU

El 10 de julio de 2023, la Comisión Europea ha adoptado la decisión de adecuación de un nuevo Marco de Privacidad de Datos entre Europa y Estados Unidos, es decir, la regulación de un nuevo marco para la transferencia de datos personales de ciudadanos europeos a Estados Unidos, conocido anteriormente como Escudo de Privacidad o Privacy Shield.

Este importante movimiento implica un gran paso garantista de los datos personales a nivel internacional, desde que en julio de 2020, apenas hace 3 años, el Tribunal de Justicia de la Unión Europea, en su Sentencia Facebook Ireland vs Schrems, declaraba nulo el Escudo de Privacidad con Estados Unidos para la transferencia de datos, por considerar que no existía un nivel adecuado de protección en relación con el marco legal europeo en materia de protección de datos,  es decir, que incumplia el Reglamento Europeo de Protección de Datos (RGPD).

En palabras de la Presidente de la Comisión Europea, Ursula von der Leyen:

«El nuevo Marco de Privacidad de Datos UE-EE.UU. asegurará a los europeos la circulación segura de sus datos y establecerá seguridad jurídica para las empresas a ambos lados del Atlántico. Desde que alcancé el acuerdo de principio con el presidente Biden el año pasado, los Estados Unidos han cumplido unos compromisos sin precedentes al objeto de establecer el nuevo marco. Hoy damos un paso importante con el objetivo de ofrecer a los ciudadanos la confianza en que sus datos estarán seguros, de profundizar la vinculación económica entre la UE y los Estados Unidos, y, de forma simultánea, de reafirmar nuestros valores compartidos. Demuestra que, cuando trabajamos juntos, somos capaces de abordar las cuestiones más complejas».

Del mismo modo, Didier Reynders, Comisario Responsable de Justicia señalaba:

“La adopción de esta decisión de adecuación es el último paso para garantizar la seguridad y libertad en la transferencia transatlántica de datos. Asegura la protección de los derechos individuales en nuestro mundo digital intangible e interconectado, donde las fronteras físicas ya importan poco. Desde que se dictó la sentencia «Schrems II» hace unos años, he trabajado infatigablemente con mis homólogos estadounidenses para dar respuesta a las reservas manifestadas por el Tribunal de Justicia y garantizar que el desarrollo tecnológico no sea a costa de la confianza de los europeos. Siendo socios cercanos de perspectivas afines, la UE y los Estados Unidos han podido encontrar soluciones, basadas en sus valores compartidos, que se ajustan a la ley y son practicables en sus respectivos ordenamientos”.

Novedades en este nuevo marco con Estados Unidos

Primero

Las empresas estadounidenses que así lo consideren deberán adherirse a este nuevo marco de adecuación, denominado: Data Privacy Framework List, para que se puedan realizar la transferencia de datos personales cumpliendo con la normativa europea. Algo que ya sucedía en el pasado con el listado de entidades inscritas en el Privacy Shield.

Segundo

Se ha reforzado el sistema de garantías para los ciudadanos europeos, cuyos datos sean tratados por empresas estadounidenses, como por ejemplo:

1- Eliminar los datos personales cuando ya no sean necesarios de acuerdo con las finalidades por las cuales fueron recabados

2- Garantizar la continuidad de la protección en caso de compartir los datos de carácter personal con terceros.

3- Nuevas vías de reparación, con posibilidad de obtener una resolución independiente y gratuita.

4- Creación de un Tribunal específico de revisión de las resoluciones sobre manejo indebido de los datos personales de los ciudadanos europeos (Tribunal de Revisión de protección de datos)

Funcionamiento del nuevo marco de adecuación con Estados Unidos

Por lo que sabemos, quién recibirá y supervisará las solicitudes de adhesión a este nuevo marco de autorización será el Departamento de Comercio de los Estados Unidos.

Por otro lado, quién se encargará de supervisar que las empresas cumplen con las obligaciones establecidas en dicho marco, es la Comisión Federal de Comercio de Estados Unidos.

Los ciudadanos europeos podrán presentar sus reclamaciones en sus países de origen, redactadas en su idioma y presentadas ante las autoridades competentes en protección de datos, las cuales serán turnadas al Comité Europeo de Derechos Humanos, quien a su vez, las transmitirá a Estados Unidos.

Una vez allí, existe una nueva figura de Oficial de protección de las libertades civiles, perteneciente la comunidad de inteligencia de los Estados Unidos, quien garantizará el cumplimiento por parte de las agencias de inteligencia estadounidenses de la privacidad y los derechos fundamentales.

Si la decisión de este Oficial no convence al interesado de los datos personales, se podrá acudir al Tribunal de Revisión de Protección de Datos (órgano de nueva creación), el cual es independiente en la emisión de sus resoluciones, mismas que pueden imponer medidas correctivas vinculantes.

Especial mención al acceso de los servicios de inteligencia estadounidenses

El acceso a los datos personales por parte de los servicios de inteligencia estadounidenses ha sido un punto muy controvertido, según lo dispuesto en la Orden Ejecutiva emitida por el Presidente Biden «Mejora de las salvaguardias para las actividades de inteligencia de los Estados Unidos» en octubre de 2022.

Los europeos podrán acceder a las siguientes garantías, cuando se hayan transferido datos personales de su titularidad a Estados Unidos:

1- Limitación del acceso a los datos personales por parte de los servicios de inteligencia, cuando sea necesario y proporcionado para proteger la seguridad nacional;

2- Mayor supervisión de la actividad de vigilancia de los servicios de inteligencia

3- Creación de un Tribunal de Revisión de Protección de Datos para revisar los casos en los que los servicios de inteligencia hayan tenido acceso a los datos personales.

Revisión del marco de adecuación

La primera revisión sobre la eficiencia de este nuevo marco de adecuación se llevará a cabo en un año contado a partir de su entrada en vigor, es decir, en julio de 2024.

Después de esta primera revisión, y con acuerdos previos entre Europa y Estados Unidos, podrán revisarse la eficacia de este marco al menos cada cuatro años.

¿Cómo deben actuar las empresas españolas?

En primer lugar, las empresas españolas deberán identificar el lugar geográfico en el que los proveedores tratarán los datos personales de su responsabilidad y dicho lugar será legalmente aceptable, siempre que esté dentro de la Unión Europea (UE) o en el Espacio Económico Europeo (EEE). Antes de contratar los servicios, solicitar esta información al proveedor. Los proveedores americanos más comunes con los que se suele trabajar son: MailChimp, DropBox, Microsoft o Google, entre otras muchas. 

En el caso de que el proveedor trate los datos en Estados Unidos, se debe verificará si este se ha acogido al Data Privacy Framework List. En esa web se podrá realizar una busqueda para verificar este punto.

En caso de que el proveedor no esté incluido en esa lista de empresas adheridas, para cumplir con el RGPD tendremos que acordar con el proveedor unas cláusulas contractuales tipo, según lo establecido en el artículo 46 del RGPD, de modo que la transferencia internacional de esos datos personales cuenten con las garantías suficientes para los derechos y libertades de los ciudadanos europeos, cuyo contenido se adecuará a la Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con los artículos 28.1 y 46.2 c), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.

Business Adapter® a tu servicio 

Si eres cliente y necesitas contar con los servicios de un proveedor americano, contacta con tu consultor para recibir documentación e instrucciones al respecto.

Si aún no eres cliente y necesitas nuestra ayuda, contáctanos en el email: info@businessadapter.es,  también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario: