La Comisión Europea aprueba la decisión de adecuación entre los Estados Unidos y la Unión Europea

12-07-2023 — AR/2023/097

Esta decisión, que llega después de polémicas sentencias judiciales y tres intentos de tomarla, permitirá las transferencias de datos personales entre la Unión Europea y los Estados Unidos sin tener que reforzarlas con salvaguardias adicionales.

La Comisión Europea ha aprobado, el 10-7-2023, la decisión de adecuación entre los Estados Unidos y la Unión Europea relativa al nivel adecuado de protección de los datos personales en el ámbito de la privacidad de datos.¹

Esta decisión recoge que los Estados Unidos (EE. UU.) aseguran un nivel adecuado de protección comparable al de la Unión Europea (UE) para los datos personales transferidos desde la UE a empresas estadounidenses.

Basándose en esta nueva decisión, se podrán transferir datos sin tener que recabar salvaguardias adicionales de protección de datos.

Base para la decisión de adecuación

Orden ejecutiva del Presidente de los EE. UU.

Esta decisión tiene su origen en la Orden Ejecutiva 14086 del Presidente de los EE. UU. sobre la mejora de las salvaguardias para las actividades de inteligencia de señales, de 7-10-2022, que incorporó a la legislación estadounidense un nuevo esquema de privacidad de datos entre ambos territorios.

En marzo de 2022, la presidenta de la Comisión Europea, Ursula von der Leyen, y el presidente de los EE. UU., Joe Biden, ya habían anunciado el desarrollo de este esquema de privacidad en una declaración conjunta.

Esa orden ejecutiva y el reglamento que la acompaña introducen una serie de salvaguardias vinculantes para resolver los problemas que determinó el Tribunal de Justicia de la Unión Europea en su sentencia conocida como Schrems II, como:

limitar el acceso a los datos por las autoridades estadounidenses al mínimo necesario y proporcionado para proteger la seguridad nacional;
aumentar la supervisión de la actividad de los servicios de inteligencia, y
crear un mecanismo de recurso independiente e imparcial para tramitar y resolver las reclamaciones de los ciudadanos europeos sobre el uso de sus datos con fines de seguridad nacional

Trámite del proyecto de decisión de adecuación

Antes de que la Comisión lo aprobara, el Comité Europeo de Protección de Datos revisó el proyecto de decisión en el Dictamen 5/2023² y lo han asumido los Estados miembros y el Parlamento Europeo.

Es este el tercer intento de regularizar el tráfico de datos entre ambos territorios, después de que Tribunal de Justicia de la Unión Europea anulase los dos convenios de transferencia de datos anteriores (Safe Harbor y Privacy Shield) en los asuntos conocidos como Schrems I y Schrems II.

En estas dos sentencias, el Tribunal de Justicia declaró que las garantías que proporcionaban los convenios frente al acceso por las autoridades norteamericanas con fines de seguridad nacional no satisfacían suficientemente los requisitos esenciales que recoge el Derecho de la Unión.

Propósito de la decisión de adecuación

Esta decisión permitirá la libre circulación de datos entre la UE (más Noruega, Liechtenstein e Islandia) y las empresas estadounidenses con arreglo a la nueva normativa.

De forma similar a los convenios anulados, la decisión de adecuación autoriza un sistema que da cobertura a las transferencias de datos desde la UE a las organizaciones en los Estados Unidos que se hayan adherido a la «Data Privacy Framework List».

Es decir, no se declara la adecuación de los Estados Unidos como país, sino de las entidades estadounidenses que, tras acreditar que cumplen los requisitos del sistema de protección, se adhieran a esta lista.

Mediante esta adhesión, en caso de infracción de los principios que asegura el sistema, las entidades se someten a la supervisión y jurisdicción de la Comisión Federal de Comercio o del Departamento de Transportes de los Estados Unidos, además otras autoridades adicionales.

Acceso a los datos por autoridades estadounidenses

El sistema de protección, dado que los datos están transferidos al territorio de los EE. UU., regula las condiciones para que las autoridades de este país accedan a los datos transferidos en el ejercicio de sus competencias con fines de:

investigación criminal: necesita que un juez dicte una orden de registro o incautación o un requerimiento de aportación de información, o
seguridad nacional: las agencias de inteligencia solo podrán acceder a los datos para atender fines de seguridad nacional y únicamente en los casos en que así lo autorice la ley o una orden ejecutiva del presidente de los Estados Unidos.

Principios del acuerdo sobre privacidad de los datos

Los «Principios del Acuerdo de Privacidad de Datos UE-EE. UU.» («EU-US Data Privacy Framework Principles») los recoge el anexo I de la decisión, del que destacamos las siguientes cuestiones:

Lista de entidades adheridas

Para entrar en este marco jurídico, las organizaciones deben:

someterse a la autoridad de investigación y ejecución de la Comisión Federal de Comercio, del Departamento de Transporte de los Estados Unidos u otro organismo legal (según el ámbito de su actividad), que asegure efectivamente el cumplimiento de los principios;
declarar públicamente su compromiso de cumplir con los principios;
divulgar sus políticas de privacidad en línea con estos principios, e
implantar las políticas.

Las organizaciones deben, pues:

hacer pública su participación en el Acuerdo de Privacidad y su compromiso con los principios,
proporcionar sistemas de verificación de las declaraciones sobre sus prácticas de privacidad, e
informar sobre los tipos de datos que recogen, la finalidad de la recogida de datos, posible comunicación de los datos a terceros, el derecho de los individuos a acceder a sus datos y el sistema de resolución de conflictos a disposición de los interesados.

**Prohibición expresa de las transferencias ulteriores (onward transfers)**

Para realizarlas, será necesario suscribir un contrato con el exportador de los datos.

Para las transferencias a responsables del tratamiento, tendrán que asegurarse al interesado los principios de notificación y opción.

Queda fuera de esta limitación contratar con encargados del tratamiento adheridos al Acuerdo de Privacidad, que no requieren de una autorización previa.

Para contratar un encargado del tratamiento, las organizaciones deben:

transferir los datos solo para fines limitados y especificados;
asegurarse de que el agente está obligado a proporcionar al menos el mismo nivel de protección de la privacidad que exigen los principios;
tomar medidas razonables y adecuadas para asegurar que el agente procesa efectivamente la información personal transferida de forma coherente con las obligaciones de la organización;
exigir al agente que notifique a la entidad si llega a la conclusión de que ya no puede cumplir su obligación de proporcionar el mismo nivel de protección que exigen los principios;
tomar medidas razonables y adecuadas para detener y corregir el tratamiento no autorizado;
proporcionar al exportador de los datos, previa solicitud, un resumen o una copia representativa de las disposiciones sobre privacidad de su contrato con el agente.

Seguridad y limitación

Asimismo, las organizaciones deben tomar medidas de seguridad razonables y adecuadas para evitar la pérdida o el uso indebido de los datos, así como el acceso, la divulgación, la alteración y la destrucción no autorizados de ellos.

Otros principios

Resumimos otros principios:

Acceso a los datos: permite a los interesados verificar la exactitud de los datos que se tiene sobre ellos. Solo podrá restringirse este derecho en circunstancias excepcionales.
Recurso, ejecución y responsabilidad: se han de implantar mecanismos para asegurar el cumplimiento de los principios, los recursos ante su incumplimiento y las consecuencias para las organizaciones por ello.
Diligencia debida y auditorías: se pueden tratar los datos sin consentimiento por auditores y bancas de inversión.
Datos sensibles: pueden tratarse sin consentimiento, pero se prohíbe expresamente la transferencia ulterior o destinarlos a un fin distinto del principal.
Información sobre empleados: la transferencia de estos datos queda cubierta por la decisión de adecuación. Se podrá revelar a terceros o utilizarlos para fines distintos únicamente de conformidad con los principios de notificación y opción.
Principio de elección: declara que la información personal se utilice y divulgue de forma coherente con las expectativas y elecciones del interesado. En consecuencia, debe asegurarse la opción de «exclusión voluntaria» de la utilización de datos personales para mercadotecnia directa en cualquier momento.

Autoridades competentes de protección de datos

Las organizaciones adheridas a los principios deben comprometerse a:

cooperar con las autoridades de protección de datos tanto en el principio de recurso, ejecución y responsabilidad como en la investigación y resolución de reclamaciones, y
cumplir los consejos dados por esas autoridades para tomar medidas correctoras de los principios.

Asesoramiento de las autoridades europeas de protección de datos

Un grupo informal de autoridades europeas de protección de datos prestarán asesoramiento para lograr un enfoque armonizado y coherente.

Este grupo asesorará a las organizaciones estadounidenses afectadas sobre las reclamaciones no resueltas de particulares acerca del tratamiento de datos personales transferidos desde la UE.

Este asesoramiento asegurará la correcta aplicación de los principios e incluirá las soluciones que las autoridades europeas consideren adecuadas para las personas afectadas.

Las organizaciones que elijan esta opción deberán pagar una cuota anual, que estará destinada a cubrir los costes de funcionamiento del grupo.

Resolución de conflictos

Mecanismos de resolución

La decisión recoge una lista de mecanismos de resolución de conflictos. Esta lista no está cerrada, sino que pueden diseñarse mecanismos adicionales por el sector privado para asegurar el cumplimiento, siempre que cumplan los principios, en especial los de recurso, cumplimiento y responsabilidad,

Las características más reseñables de estos mecanismos son:

Antes de acudir a mecanismos de recurso independientes, los interesados pueden plantear cualquier queja que tengan ante la organización afectada. Esta debe responder en un plazo de 45 días desde que reciban la denuncia.
Los mecanismos de resolución independientes son gratuitos.
El interesado tiene a su disposición, como recoge el anexo I, una opción de arbitraje de reclamaciones no resueltas para determinar si la organización adherida ha incumplido sus obligaciones respecto a los principios y si sigue incumpliéndolas. Esta opción solo está disponible para estos fines.
Solo podrán imponerse medidas de reparación equitativas, no monetarias y específicas para el interesado (como el acceso, la rectificación, la supresión o la devolución de los datos de la persona en cuestión), que sean necesarias para cesar en la infracción de los principios.
La Comisión Federal del Comercio (FCT, en siglas inglesas) revisará las denuncias que reciba de organismos de autorregulación de la privacidad y otros independientes de resolución de litigios de los Estados miembros de la UE, de la propia Comisión Federal de Comercio o del Departamento de Transportes, para determinar si se han infringido los principios.
Los ciudadanos europeos podrán acudir al Tribunal de Revisión de Protección de Datos (DRPC, por sus siglas en inglés) como mecanismo de recurso independiente e imparcial sobre la recogida y uso de datos. Este tribunal investigará y resolverá las denuncias de forma independiente incluso con medidas correctoras vinculantes.

Resoluciones y sanciones

Las sanciones deben incluir tanto la publicidad de los incumplimientos constatados como la obligación de suprimir los datos en determinadas circunstancias.

Otras sanciones podrían incluir la suspensión y la retirada del certificado de adhesión, la indemnización al interesado y la imposición de medidas cautelares.

Seguimiento de la aplicación del acuerdo

La Comisión Europea, junto con representantes de las autoridades europeas de protección de datos y de las autoridades estadounidenses competentes revisarán periódicamente la operativa del Acuerdo de Privacidad de Datos UE-EE. UU.

La primera revisión la realizarán en el plazo de un año a partir de la entrada en vigor de la decisión de adecuación, para comprobar la plena aplicación y su funcionamiento práctico.

Si la Comisión tuviera indicios de que no se presta el nivel de protección adecuado o si hubiera una resistencia a la colaboración por el Gobierno estadounidense, informará de ello a las autoridades competentes de los Estados Unidos y, en caso necesario, podrá suspender, modificar o derogar la decisión de adecuación o limitar su ámbito de aplicación.

¹ COMMISSION IMPLEMENTING DECISION, of 10.7.2023, pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework. Bruselas, 10-7-2023, C(2023) 4745 final.

² Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework, Adopted on 28 February 2023.

Iniciativas relacionadas

Protección de datos (RGPD) [histórico]

Alertas Relacionadas

La Autoridad de Protección de Datos de Irlanda multa a Meta por transferir datos a los EE. UU. y suspende esas transferencias

23-05-2023—AR/2023/057
El Tribunal de Justicia de la Unión Europea invalida el Privacy Shield

17-07-2020—AR/2020/121
La Comisión LIBE del Parlamento Europeo pide a la Comisión que no apruebe el acuerdo de protección de datos entre los EE.UU. y la UE

20-02-2023—AR/2023/013
Los EE. UU. avanzan para alcanzar un nuevo acuerdo con la UE para las transferencias internacionales de datos

10-10-2022—AR/2022/117