El Parlamento Europeo propone las reformas jurídicas para las transferencias internacionales de datos entre la UE y los EE. UU.

 

16-07-2021 — AR/2021/109

El Parlamento Europeo ha presentado un estudio que examina las reformas del marco jurídico para el intercambio de datos personales y de otro tipo entre la UE y los EE. UU. de manera que cumplan con los requisitos de las normas comunitarias y respeten los derechos de los ciudadanos de la UE.

Tras la Sentencia «Schrems II» del Tribunal de Justicia de la UE, que invalidaba el «Escudo de privacidad» entre los EE. UU. y la UE, la Comisión de Libertades Civiles y Asuntos Constitucionales del Parlamento Europeo solicitó un estudio que examinara las reformas del marco jurídico para que los intercambios de datos personales y de otro tipo entre la UE y los EE. UU. cumplan con los requisitos de las normas de la UE y respeten los derechos de sus ciudadanos.

A resultas de ese encargo, el Parlamento Europeo ha publicado, en julio de 2021, el estudio sobre la reforma del marco jurídico para las transferencias internacionales de datos (TID) entre la UE y los EE. UU. (ver el documento adjunto a esta alerta).

Resumimos los aspectos más relevantes.

Visión general del estudio

El estudio apunta soluciones que pasan por un régimen de autocertificación que permite a la Federal Trade Commission norteamericana (FTC):

  • imponer sanciones por infracción del Reglamento General de Protección de Datos (RGPD),
  • interponer acciones colectivas sobre privacidad, y
  • modificar leyes y prácticas de vigilancia americanas.

Repasa también la situación legislativa actual en los EE. UU, los errores cometidos en el pasado con la aprobación de mecanismos que de origen estaban mal diseñados, y concluye con una interesante serie de recomendaciones y prioridades que deben abordarse lo antes posible para asegurar unas TDI lo más ajustadas posible a la legislación europea.

De aplicarse las cuatro recomendaciones del estudio, las TDI de datos personales de la UE a los EE. UU. podrían volver a realizarse en el marco de un nuevo sistema de autocertificación, con una nueva decisión de adecuación emitida por la Comisión Europea que, desde su punto de vista, no sería invalidada por el Tribunal.

Hasta que esto no se consiga, esas TDI deben basarse en «garantías adecuadas», pero en todos los casos se requerirán «medidas complementarias» que, en algunos casos, seguirán siendo insuficientes.

Recomendaciones del estudio

Son las siguientes:

Lograr la adecuación general

La UE y los EE. UU. deberían negociar el establecimiento de un régimen de autocertificación mucho más amplio y reforzado para las empresas estadounidenses.

Dado que ninguna ley de privacidad federal o estatal de los EE. UU. puede proporcionar protección «esencialmente equivalente» a la del RGPD en un futuro previsible, la adecuación general solo puede lograrse mediante un nuevo sistema de autocertificación aplicado a través de la FTC y otras agencias americanas de apoyo, otorgándoles mayores poderes de manera que los interesados de la UE puedan ejercer su legitimación ante las posibles infracciones del RGPD que se produzcan.

Acceso indebido a los datos por los EE. UU.

Entiende que se debe instar a los EE. UU. a reformar su legislación federal de vigilancia con carácter urgente, de forma que limite:

  • la recolección masiva;
  • la reducción de la definición de información de inteligencia extranjera; y
  • el establecimiento de normas más estrictas para justificar los objetivos de la vigilancia, la información recopilada de cinco a tres años y aumentar la transparencia de las actividades de vigilancia.

Además, se debería proporcionar a los titulares de datos de la UE «un recurso efectivo ante un tribunal independiente e imparcial».

No espiar a los aliados

Las instituciones de la UE y, en particular, el Parlamento Europeo deberían defender el estado de derecho y exigir que tanto los Estados miembros como los terceros países adapten sus prácticas de inteligencia, y que sus marcos jurídicos nacionales estén en plena consonancia con la normativa internacional sobre los derechos humanos.

Deberían promover, como punto de partida pragmático, la elaboración y ratificación urgentes de un tratado «minilateral» que cubra las actividades de inteligencia de los 30 Estados de la UE y el espacio económico europeo (EEE), y los de Estados Unidos, Reino Unido, Australia, Canadá y Nueva Zelanda.

Como medida provisional, estos 35 Estados acordarían no espiar a los ciudadanos de los demás (ni sus datos) sin la notificación y el acuerdo del Estado de origen del ciudadano.

Class action a la americana para infracciones del RGPD

La UE debería ofrecer a los EE. UU. (y al resto del mundo) la introducción de un auténtico recurso de acción colectiva al estilo de los EE. UU. sobre cualquier violación del RGPD, a la que cualquier persona que haya sufrido daños materiales o no materiales como resultado de una violación pueda unirse, independientemente de su nacionalidad, estatus o lugar de residencia.

Prioridades de estas recomendaciones

El Parlamento sugiere las siguientes prioridades para estas propuestas:

  1. La UE y, en concreto, el Comité Europeo de Protección de Datos debería identificar medidas provisionales como auditorias, registros y mecanismos de información en las diversas orientaciones que publiquen y que puedan utilizarse para permitir las transferencias de datos entre la UE y los EE. UU.
  2. El Parlamento debería instar a la UE y a los EE. UU., Reino Unido, Australia, Canadá y Nueva Zelanda a aprobar con urgencia un acuerdo provisional de «no espiar a los aliados».
  3. Los EE. UU. deben iniciar las reformas de sus leyes de vigilancia y de la FTC que se han detallado antes y sugiere crear un grupo de trabajo con representantes del Parlamento sobre esta cuestión para intercambiar opiniones e informar sobre los avances.