Los EE. UU. avanzan para alcanzar un nuevo acuerdo con la UE para las transferencias internacionales de datos

En octubre de 2015, el Tribunal de Justicia de la Unión Europea (TJUE) invalidó el acuerdo conocido como de «puerto seguro» («Safe Harbor») entre la Unión Europea (UE) y los Estados Unidos (EE. UU.), debido a la ausencia de garantías reales ante las investigaciones de las agencias norteamericanas, que podían acceder indiscriminadamente a los datos personales obtenidos.

En 2016, la Comisión Europea y los EE. UU. firmaron el acuerdo de privacidad conocido como «escudo de privacidad» («Privacy Shield»), que, en julio de 2020, fue invalidado por el TJUE por el mismo motivo que el acuerdo anterior.

El 25-3-2022, la Comisión Europea y los EE. UU. anunciaron su firme compromiso de alcanzar un nuevo acuerdo de protección de datos para solventar el grave problema que suponen las transferencias internacionales de datos sin esa protección.

Orden ejecutiva del presidente estadounidense

El presidente Joe Biden firmó, el 7-10-2022, una orden ejecutiva para mejorar las salvaguardias de los datos personales ante las actividades de inteligencia, como un paso más para alcanzar el nuevo acuerdo entre la UE y los EE. UU.

Principales cuestiones tratadas

Esta orden trata las siguientes cuestiones:

1. Nuevas salvaguardias para limitar el acceso a datos personales, independientemente del origen de los datos, por las agencias de investigación a lo estrictamente necesario y proporcional y siempre que se persigan objetivos de seguridad nacional definidos.
2. Nuevos requisitos para llevar a cabo el tratamiento de datos recogidos por las actividades de inteligencia y ampliación de las responsabilidades de los funcionarios en caso de incumplimiento.
3. Exigencia de adaptación de las políticas y procedimientos de las instituciones que forman la comunidad de inteligencia de los EE. UU. al nuevo marco de privacidad de datos personales.
4. Creación de un nuevo mecanismo independiente, cuyas decisiones son vinculantes, con la misión de atender y reparar las reclamaciones sobre el incumplimiento de la ley estadounidense aplicable, incluida esta nueva orden ejecutiva. El mecanismo consta de dos niveles de revisión:
   • El Delegado de Protección de las Libertades Civiles, en la Oficina del Director de Inteligencia Nacional, que se encargará de determinar, tras la recepción de una queja, si ha habido incumplimiento o no y de decidir una solución concreta que será vinculante, aunque está sujeta a una segunda revisión.
   • El Tribunal de Revisión de Protección de Datos, que ha de regular el Fiscal General, cuya función será revisar, en segunda instancia, y de forma independiente y vinculante, la decisión del Delegado de Protección de las Libertades Civiles. Con dos características más:
     • los jueces que formarán este tribunal serán nombrados fuera de los EE. UU. y, además,
     • se nombrará un defensor especial en cada caso que vele por los intereses del demandante.

Envío a la Comisión Europea

Los EE. UU. remitirán formalmente esta orden ejecutiva a la Comisión Europea para que la valore e inicie el procedimiento formal para la decisión de adecuación a los requisitos procedimentales del artículo 45 del RGPD.¹

Reacciones a la orden

Tras publicarse esta orden, la asociación NYOB, que preside Max Schrems, cuyas demandas originaron las invalidaciones citadas al principio, ya ha publicado: «Es improbable que la Orden Ejecutiva sobre la vigilancia de EE.UU. satisfaga la legislación de la UE».

Exponen esta opinión, sobre todo, por entender que el término «proporcional» es dispar y por considerar que el Tribunal de Revisión de Protección de Datos es solo un órgano dentro del poder ejecutivo del gobierno estadounidense.