La Comisión Europea da a conocer el proyecto de decisión de adecuación para las transferencias de datos entre la UE y los EE. UU.

La Comisión Europea ha puesto en marcha, el 13-12-2022, el proceso para decidir si la legislación estadounidense se adecua al nivel de protección exigido para las transferencias internacionales de datos entre la Unión Europea y los Estados Unidos.

El proyecto de decisión de adecuación publicado por la Comisión concluye que los Estados Unidos garantizan un nivel adecuado de protección de los datos con las obligaciones para las empresas y las limitaciones y salvaguardas para el acceso de las autoridades públicas a los datos, que constituyen su nueva normativa de privacidad.

Origen del proyecto de decisión

Este proyecto de decisión es consecuencia de la Orden Ejecutiva del Presidente de los Estados Unidos, del 7-10-2022, que incorporó a la legislación estadounidense un nuevo esquema de privacidad de datos entre ambos territorios, como habían anunciado en marzo de 2022 la presidenta de la Comisión Europea, Ursula von der Leyen, y el presidente Biden.

Esa orden ejecutiva y el reglamento que la acompaña introducen nuevas salvaguardas vinculantes, para resolver los problemas que determinó el Tribunal de Justicia de la Unión Europea en su sentencia conocida como Schrems II (ver la alerta relacionada para más detalle), como:

• limitar el acceso a los datos por las autoridades estadounidenses al mínimo necesario y proporcionado para proteger la seguridad nacional,
• aumentar la supervisión de la actividad de los servicios de inteligencia, y
• crear un mecanismo de recurso independiente e imparcial para tramitar y resolver las reclamaciones de los ciudadanos europeos sobre la recogida de sus datos con fines de seguridad nacional.

El nuevo marco de privacidad

La Comisión Europea subraya en el proyecto de decisión las principales diferencias del nuevo marco de privacidad con los anteriores mecanismos.

En concreto, describe un sistema de salvaguardas de dos niveles:

Primer nivel

Los ciudadanos de la Unión Europea podrán presentar una denuncia ante el denominado Civil Liberties Protection Officer, responsable de la protección de las libertades civiles.

Esta figura será responsable de asegurar que las agencias de inteligencia estadounidenses cumplen con los derechos fundamentales y de privacidad.

Segundo nivel

En este nivel, los particulares de la Unión Europea tendrán la posibilidad de recurrir la decisión de dicho responsable ante el recién creado Data Protection Review Court o Tribunal de Revisión de la Protección de Datos. Este tribunal:

• estará compuesto por miembros ajenos al Gobierno de los Estados Unidos, que serán nombrados en función de cualificaciones específicas y no podrán recibir instrucciones del Gobierno, y
• tendrá competencias para investigar denuncias de ciudadanos de la Unión Europea y obtener información pertinente de agencias de inteligencia, y
• podrá tomar decisiones vinculantes.

Pasos para la aprobación

El proyecto de decisión de adecuación lo ha revisado ya el Comité Europeo de Protección de Datos, que ha emitido su dictamen.

También se deben pronunciar los Estados miembros y el Parlamento Europeo.

Solo después de la aceptación de estos organismos, la Comisión Europea podrá adoptar la decisión final de adecuación, que permitirá la libre circulación de datos entre la Unión Europea y las empresas estadounidenses con arreglo a la nueva normativa.

Anuncio de None of Your Business

None of Your Business (NOYB) es la plataforma creada por el activista austriaco de defensa de la privacidad Max Schrems, que impulsó la invalidación del «Privacy Shield» y del «Safe Harbor», los anteriores acuerdos con los Estados Unidos, en las dos sentencias del Tribunal de Justicia de la Unión Europea (TJUE).

Esta plataforma publicó, el 13-12-2022, una declaración en la que daba a conocer su primera impresión sobre este proyecto de decisión de adecuación de la Comisión Europea, y anunció que cualquier decisión de adecuación que se base en la orden ejecutiva estadounidense citada no satisfará probablemente al TJUE, pues los cambios parecen más bien mínimos.