El pasado 10 de julio de 2023, la Comisión Europea adoptó una nueva decisión de adecuación para habilitar las transferencias internacionales de datos personales entre entidades de la Unión Europea (UE) y de los Estados Unidos (EE.UU.) que tengan lugar bajo el marco de privacidad EU-U.S. Data Privacy Framework.
Tras la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) de 16 de julio de 2020, conocida como Sentencia Schrems II, las transferencias internacionales de datos personales a los EE.UU. fueron cuestionadas debido a los problemas identificados por el TJUE, relacionados con las prácticas de vigilancia de los EE.UU. y la falta de mecanismos para que los ciudadanos europeos pudieran hacer frente a las injerencias sobre sus derechos.
Para las empresas europeas, esta situación conllevó la necesidad de modificar la forma de relacionarse con las entidades norteamericanas, con un impacto en ocasiones significativo para sus actividades de negocio, incluyendo la dedicación de recursos destinados a buscar alternativas que permitieran salvar la situación de forma temporal o definitiva.
Por ejemplo, mediante la contratación de un proveedor de servicios con servidores alojados en la Unión Europea.
Con la presente decisión de adecuación, la Comisión Europea reconoce que EE.UU. garantiza un nivel de protección equivalente al que ofrece la UE, aunque solamente cuando las transferencias internacionales se produzcan con las entidades certificadas por el nuevo marco de privacidad, el EU-U.S. Data Privacy Framework, tal y como explicamos a continuación.
Antecedentes de la decisión de adecuación de la Comisión Europea
Para conocer el contexto en el que se enmarca la decisión de adecuación, es necesario tener en cuenta que este es el tercer intento realizado por la Comisión Europea para facilitar las transferencias internacionales a los Estados Unidos, tras las sentencias del Tribunal de Justicia de la Unión Europea (TJUE) por las que se declararon inválidas las anteriores decisiones de adecuación basadas en el régimen del “Puerto Seguro” (Safe Harbour) (Asunto C-362/14) o el “Escudo de Privacidad” (Privacy Shield) (Asunto C-311/18).
Mediante esas sentencias, conocidas Schrems I y Schrems II respectivamente, el TJUE determinó que no existía una protección legal efectiva para los derechos y libertades de los ciudadanos europeos frente a la potencial injerencia de las agencias de inteligencia norteamericanas, tal y como desarrollamos en publicaciones anteriores del Periscopio Legal y Fiscal de PwC, al comentar las consecuencias que tenían la sentencia Schrems I y Schrems II para las empresas europeas.
No obstante, la llegada de la nueva decisión de adecuación, con el EU-U.S. Data Privacy Framework, afianza las relaciones entre la UE y los EE.UU. y permite desencallar las transferencias internacionales de datos entre ambas jurisdicciones, tras el compromiso adoptado entre la UE y los EE.UU. para garantizar un marco transatlántico, en fecha 25 de marzo de 2022, y las acciones llevadas a cabo por la administración norteamericana destinadas a remediar las cuestiones identificadas por el Tribunal de Justicia de la Unión Europea (TJUE) en la decisión Schrems II, entre las que destacan:
- La incorporación de los principios de necesidad y proporcionalidad en las prácticas relacionadas con las actividades de vigilancia gubernamental llevadas a cabo con intereses de seguridad nacional, mediante la implementación, por los organismos de inteligencia norteamericanos, de las previsiones incluidas en la Executive Order (EO) 14086 on Enhancing Safeguards for United States Signals Intelligence Activities, emitida por la Casa Blanca el 7 de octubre de 2022.
- La declaración de los Estados Miembros de la UE y el Espacio Económico Europeo (EEE) como “estados cualificados”, supeditada a la adopción de la decisión de adecuación de la Comisión Europea, para que sus ciudadanos puedan beneficiarse del mecanismo de reparación (redress mechanism, por su denominación en inglés) identificado en la EO 14086, para impugnar las violaciones cometidas por agencias de inteligencia norteamericanas ante el Civil Liberties Protection Officer (CLPO) de la Office of the Director of National Intelligence (ODNI), en primera instancia, y ante el Data Protection Review Court, en segunda instancia.
Con la implementación de estas salvaguardas, el borrador de la decisión de adecuación emitido por la Comisión Europea, que en una versión previa había sido rechazado sin carácter vinculante por el Parlamento Europeo –haciendo hincapié en las deficiencias identificadas por el Comité Europeo de Protección de Datos (European Data Protection Board, por su denominación en inglés) y concluyendo que el EU-U.S. Data Privacy Framework no ofrecía un nivel de protección equivalente al de la Unión Europea–, recibió, el día 6 de julio de 2023, la aprobación por mayoría cualificada del comité formado por los representantes de los Estados Miembros, con únicamente tres abstenciones.
El último paso para que el EU-U.S. Data Privacy Framework viera la luz, era la adopción formal de la decisión de adecuación por parte de la Comisión Europea, que tuvo lugar el pasado 10 de julio de 2023.
Comienzo de una nueva etapa para las transferencias a los EE.UU.
Con la decisión de adecuación ya adoptada, la Comisión Europea concluye que el país norteamericano garantiza un nivel de protección para las transferencias internacionales que tengan lugar en el marco del EU-U.S. Data Privacy Framework que es esencialmente equivalente al ofrecido por la normativa europea en materia de protección de datos de carácter personal.
De este modo, sin perjuicio de que la decisión de adecuación entró en vigor de forma inmediata desde el momento de su adopción, ésta únicamente podrá ser empleada para legitimar una transferencia internacional a los EE.UU. cuando la entidad receptora esté certificada en el EU-U.S. Data Privacy Framework y aparezca en la EU-U.S. Data Privacy Framework List, que incluirá a las entidades que mantienen activa la certificación bajo este nuevo marco de privacidad.
El EU-U.S. Data Privacy Framework, de forma parecida a sus predecesores Safe Harbour y Privacy Shield, es un mecanismo de autocertificación por el cual las empresas norteamericanas se comprometen al cumplimiento de unos principios (los EU-U.S. Data Privacy Framework Principles emitidos por el Departamento de Comercio de los EE.UU. [U.S. Department of Commerce]) para el tratamiento de los datos personales que reciben de la UE haciendo uso del nuevo marco de privacidad, esto es, empleando la decisión de adecuación adoptada por la Comisión Europea.
Para ser elegible para la certificación del EU-U.S. Data Privacy Framework, una entidad debe estar sujeta a los poderes de investigación y ejecución de la Comisión Federal de Comercio (Federal Trade Commission) o el Departamento de Transporte de EE.UU. (U.S. Department of Transportation), lo que excluye la posibilidad de ser aplicable, por ejemplo, para algunas entidades del sector bancario, aéreo, asegurador o de telecomunicaciones.
¿Qué ocurre con el resto de transferencias internacionales a los EE.UU.?
La Comisión está habilitada por el Artículo 45 RGPD para decidir si un tercer país como Estados Unidos proporciona un nivel de protección equivalente al de la UE tras considerar, entre otros elementos, el respeto por los derechos humanos y las libertades fundamentales, las normas de protección de datos, la legislación de seguridad pública, defensa y seguridad nacional, así como el acceso de las autoridades públicas a los datos personales o la existencia y el funcionamiento efectivo de una o varias autoridades de control independientes en el tercer país.
No obstante, atendiendo a las clarificaciones de la Comisión Europea publicadas mediante un apartado de Questions & Answers sobre el EU-U.S. Data Privacy Framework, los esfuerzos llevados a cabo por la administración norteamericana para agilizar la adopción de la decisión de adecuación pueden tener implicaciones para todas las transferencias internacionales que se realicen entre la UE y los EE.UU., independientemente del mecanismo empleado.
De forma particular, las salvaguardas adoptadas y los cambios legislativos producidos en EE.UU. podrían facilitar el uso de otras garantías, como las cláusulas contractuales tipo o las normas corporativas vinculantes, sin perjuicio de que la realización de un análisis de impacto sobre la transferencia (Transfer Impact Assessment, por su denominación en inglés) seguirá resultando necesario para aquellas transferencias que tengan lugar al margen del EU-U.S. Data Privacy Framework. Por ejemplo, cuando una compañía no esté certificada por este marco o deje de estarlo en algún momento.
¿Qué futuro le espera al EU-U.S. Data Privacy Framework?
A pesar de que el EU-U.S. Data Privacy Framework nace sin una limitación temporal definida, la Comisión Europea llevará a cabo la revisión de la decisión de adecuación en el plazo de un año desde su entrada en vigor, con el objetivo de verificar que las salvaguardas adoptadas por el sistema legal norteamericano funcionan de forma efectiva.
Tras la realización de ese primer análisis, la Comisión podrá decidir, en consulta con los Estados Miembros y las autoridades de protección de datos, sobre la periocidad de futuras revisiones sobre la decisión de adecuación, que en cualquier caso deberán tener lugar dentro de un período de cuatro años.
En esta línea, es importante destacar que la decisión de adecuación podría ser retirada en caso de que el nivel de protección que ofrecen los EE.UU. con el mecanismo del EU-U.S. Data Privacy Framework se vea afectado o resulte ineficiente, sin perjuicio de que no sería el destino esperado per este nuevo marco de privacidad, teniendo en cuenta el compromiso adoptado por la UE y los EE.UU. para salvaguardar y potenciar la actividad económica transatlántica.
Sin perjuicio de lo anterior, el EU-U.S. Data Privacy Framework podría correr la misma suerte que sus precedesores Safe Harbour y Privacy Shield, tras un nuevo pronunciamiento del TJUE que estableciera que las salvaguardas adoptadas por los EE.UU. no resultan suficientes para proteger los derechos y libertades de los ciudadanos europeos.
En este camino, la organización sin ánimo de lucro noyb, liderada por el activista Max Schrems, ya ha manifestado su intención de cuestionar la decisión de adecuación adoptada por la Comisión Europea ante los tribunales.
No obstante, hasta la llegada de una hipotética sentencia “Schrems III” del TJUE, las transferencias internacionales a los EE.UU. disponen de un nuevo escenario para beneficio de las entidades que mantienen relaciones transatlánticas.