El pasado 25 de marzo de 2022, durante una rueda de prensa conjunta de la presidenta de la Comisión Europea, Úrsula Von der Leyen y el presidente de los Estados Unidos, Joe Biden, han anunciado su compromiso de establecer un nuevo Marco Transatlántico de Privacidad de Datos, que fomentará los flujos transatlánticos de datos y a su vez, abordará las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea (TJUE) cuando dictó el 16 de julio de 2020, la sentencia en el caso Data Protection Commissioner v Facebook Ireland Ltd and Maximillian Schrems (C-311/18), también conocida como Schrems II.
Recordemos que en dicha sentencia el TJUE declaró la invalidez de la decisión de adecuación relativa al Privacy Shield (Escudo de Privacidad) y por otro lado el Tribunal legitimó las transferencias al amparo de las cláusulas contractuales tipo (Standard Contractual Clauses) aprobadas por la Comisión Europea. El fallo de esta sentencia ha tenido especial impacto en las transferencias de datos desde los Estados miembros de la Unión Europea a países fuera del bloque comunitario, entre los que se encuentra Estados Unidos.
Los antecedentes que llevaron a esta decisión fueron que la Unión Europea cuenta con un sistema de regularización horizontal a través del cual se aprobaron normas en materia de protección de datos personales que alcanzan a todas las actividades e industrias. Ejemplo de ello fue la Directiva 95/46 y su posterior sucesor el cual se encuentra vigente en la actualidad, el Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés).
Esta normativa comunitaria recoge restricciones a las transferencias internacionales de datos a países que no cuenten con normativa considerada adecuada, y este es el caso de Estados Unidos, dado que carece de una norma federal en materia de protección de datos personales, únicamente cuenta con algunas regulaciones sectoriales que tratan esta materia y algunos estados Estados como el caso de California han adaptado su propia normativa en el ámbito de protección de datos personales.
El nuevo marco fomentará los flujos transatlánticos de datos y a su vez, abordará las preocupaciones planteadas por el Tribunal de Justicia de la Unión Europea
De esta forma, esta ausencia de normativa federal por parte de Estados Unidos ha sido el motivo por la que ambas partes tuvieran que negociar acuerdos de transferencia de datos como fue el primero denominado Safe Harbor o Puerto Seguro o el anteriormente indicado Privacy Shield o Escudo de Privacidad.
Pero en el caso Schrems II, el activista y abogado Maximilian Scherems inició una reclamación contra Facebook Irlanda indicando que esta plataforma vulneraba sus derechos a la intimidad y protección de datos, dado que estos datos eran transferidos a los servidores de la compañía localizados en Estados Unidos y ahí podían estar sujetos a un control estatal por parte de las agencias de investigación gubernamentales como son la National Security Agency (NSA) y la Federal Bureau of Investigation (FBI), de esta forma, ello podía afectar a los derechos de los titulares de datos europeos.
Las empresas y organizaciones que deseen adherirse seguirán estando obligadas a adherirse a los Principios del Escudo de Privacidad, inclusive la certificación de esta adhesión mediante el Departamento de Comercio de Estados Unidos
Ahora bien, tras explicar brevemente los antecedentes de hecho en la relación entre Estados Unidos y la Unión Europea en materia de protección de datos personales y su transferencia entre estos. El nuevo Marco Transatlántico de Privacidad de Datos tendrá como objetivo restablecer un mecanismo jurídico para la transferencia de datos personales entre Estados Unidos y la Unión Europea, así según el comunicado de la Casa Blanca FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework | The White House.
Este mecanismo jurídico tendrá los siguientes objetivos:
- Reforzar las garantías de privacidad y libertades civiles que rigen las actividades de inteligencia de señales de Estados Unidos.
- Establecer un nuevo mecanismo de reparación con autoridad independiente y vinculante.
- Mejorar la actual supervisión rigurosa y estratificada de las actividades de inteligencia de señales.
¿Qué garantiza este nuevo mecanismo jurídico?
- La recopilación de datos de inteligencia de señales sólo puede llevarse a cabo cuando sea necesario para avanzar en los objetivos legítimos de seguridad nacional, y no debe tener un impacto desproporcionado en la protección de la privacidad individual y las libertades civiles de los ciudadanos.
- Los ciudadanos de la Unión Europea cuyos datos sean transferidos y tratados en Estados Unidos, podrán recurrir a un nuevo mecanismo de recurso de varios niveles que incluirá un Tribunal de Revisión de la Protección de Datos, organismo independiente, formado por personas elegidas fuera del Gobierno de los Estados Unidos, el cual tendrá plena autoridad para resolver las reclamaciones y dirigir las medidas de reparación que sean necesarias.
- Las agencias gubernamentales de inteligencia como NSA y FBI adoptarán así también procedimientos que garanticen la supervisión efectiva de las nuevas normas de privacidad y libertades civiles.
El Gobierno de los Estados Unidos en su comunicado ha indicado que las empresas y organizaciones que deseen adherirse seguirán estando obligadas a adherirse a los Principios del Escudo de Privacidad, inclusive la certificación de esta adhesión mediante el Departamento de Comercio de Estados Unidos
En cuanto a los requisitos para la adhesión a este mecanismo jurídico, el Gobierno de los Estados Unidos en su comunicado ha indicado que las empresas y organizaciones que deseen adherirse seguirán estando obligadas a adherirse a los Principios del Escudo de Privacidad, inclusive la certificación de esta adhesión mediante el Departamento de Comercio de Estados Unidos. De esta forma los ciudadanos de la Unión Europea, seguirán contando con diferentes vías para plantear sus quejas, incluso a través de la resolución alternativa de conflictos y el arbitraje vinculante.
Ahora solo nos queda esperar, que ambas partes desarrollen esta normativa común para la transferencia de datos personales entre Estados Unidos y la Unión Europea. Por el momento, han aparecido las primeras críticas, entre ellos el celebre activista y abogado Maximilian Scherems al cual mencionamos al principio, ha indicado que esta nueva normativa fracasará como las anteriores.
Por otro lado, las empresas tecnológicas han celebrado la noticia de esta normativa, dado que la mayoría de los gigantes tecnológicos transfieren datos personales a sus servidores de Estados Unidos. Recordemos, que el pasado mes de febrero, Meta (antigua Facebook) amenazó con cerrar la mayoría de sus servicios en la Unión Europea, si no se le permitía gestionar los datos de los usuarios como anteriormente iba haciendo con el Privacy Shield, y es que la transferencia de datos entre ambas partes sustenta un comercio transfronterizo de más de un billón de dólares cada año.