La Comisión Europea aprueba el nuevo borrador del EU-US Data Privacy Framework

El martes 13 de diciembre la Comisión Europea publicaba el borrador de decisión del nuevo “Privacy Framework“, que pretende sustituir y mejorar el derogado “Privacy Shield“.

A lo largo de 208 considerandos, la Comisión hace un detallado análisis de la situación en la que se encuentra actualmente el tratamiento de datos personales de ciudadanos europeos, cuando los mismos son tratados por entidades sometidas a la legislación americana. Una parte importante de este análisis gira en torno al tratamiento de datos y, más concretamente, las agencias de inteligencia de dicho país.

Si bien no es posible hacer un resumen exhaustivo de las valoraciones que ha hecho la Comisión, creemos importante destacar algunos de los puntos clave de su análisis:

1.Las Autoridades de Estados Unidos podrán tratar los datos con fines de investigación y aplicación de la normativa penal nacional, pero dicha aplicación estará sometida a limitaciones:

-Los procedimientos serán siempre los mismos, con independencia de la nacionalidad de la persona cuyos datos vayan a ser tratados.

-Generalmente se requerirá una orden judicial o una citación del gran jurado, aunque puede haber excepciones con base en la “Stored Communications Act”.

-Los proveedores de comunicaciones podrán, voluntariamente, notificar a los usuarios los accesos con base a esta última ley, salvo que las autoridades judiciales o policiales obtengan una orden que impida dicha comunicación.

-Estas autoridades estarán sometidas a controles por parte de los Responsables de privacidad y libertades civiles y los inspectores generales, figuras que gozan de independencia y que supervisan las actividades de estos organismos. Por último, las actividades de estas autoridades están sometidas a supervisión de comités específicos del Congreso de los Estados Unidos, así como a Comités del Senado.

2. Las Agencias de Inteligencia de Estados Unidos podrán tratar los datos personales de cara a garantizar la seguridad nacional, pero también sujetos a nuevas limitaciones, especialmente las incorporadas en la Orden Ejecutiva 14086:

-El acceso de las agencias de inteligencia estadounidenses a los datos europeos se limitará a lo necesario y proporcionado para proteger la seguridad nacional.

-Los ciudadanos europeos podrán reclamar los posibles incumplimientos ante las Autoridades de Control de su propio país, reclamación que requiere de pocos requisitos, y sin tener que demostrar el acceso de las agencias de inteligencia a los datos del usuario.

-Se debe priorizar la recogida selectiva de datos sobre la recogida en masa.

-Las agencias de inteligencia estarán sometidas al control de supervisores con experiencia legal y en seguridad nacional, a los Responsables de privacidad y libertades civiles y los inspectores generales y, finalmente, al Tribunal de Vigilancia de Inteligencia Extranjera.

3. Al igual que ocurría con el “Privacy Shield“, será decisión de las empresas estadounidenses que así lo deseen, el adherirse al “Privacy Framework. Dicha adhesión conllevará obligatoriamente el sometimiento de estas empresas a unas estrictas normas de privacidad equivalentes a las establecidas en el Reglamento General de Protección de Datos, de forma que se garantice la protección de los datos personales de los ciudadanos europeos.

Con base en lo anterior, la Comisión Europea establece que es posible considerar que Estados Unidos ha solucionado los problemas detectados en cuanto a la amplia capacidad de las entidades de inteligencia americanas de acceder a datos de ciudadanos europeos, así como la falta de capacidad del usuario para reclamar estas posibles injerencias. En consecuencia, asegura que es posible considerar Estados Unidos como un destino seguro de los datos personales procedentes de Europa.

Por supuesto, esta decisión todavía debe ser sometida a la valoración de diversos organismos de la Unión Europea, por lo que no se espera su aprobación definitiva hasta Julio de 2023. Es a partir de entonces cuando las entidades dedicadas a la protección de datos de los usuarios podrán presentar sus reclamaciones ante el Tribunal de Justicia de la Unión Europea, en caso de considerar que este nuevo “Framework“ no es suficiente para garantizar la protección de datos de los usuarios, reclamaciones que se presentarán con toda seguridad.

Enrique Extremera Maestro, Head of Privacy, Legal Army

Read more

Related posts that might interest you

All our news