La Comisión Europea ha aprobado el acuerdo político alcanzado con los Estados Unidos sobre un nuevo marco sobre transferencia internacional de datos personales (EU-US Privacy Shield).
Este acuerdo responde a los requerimientos establecidos por el TJUE en su sentencia de 6 de octubre de 2015, que declaró la invalidez de la Decisión de la Comisión de 26 de julio de 2000. Por ello, la transferencia de datos de ciudadanos europeos hacia compañías radicadas en Estados Unidos, donde la legislación permite un acceso a los datos de sus ciudadanos más amplia que la prevista por la legislación europea, había quedado sin cobertura legal.
A falta de la plasmación del acuerdo en un documento jurídico vinculante, sus principales contenidos son los siguientes
Nuevas obligaciones y medidas de control sobre las empresas que transfieran datos de ciudadanos europeo
El nuevo acuerdo establece condiciones más estrictas para las compañías radicadas en Estados Unidos respeto de la protección de los datos personales de los ciudadanos europeos objeto de transferencia, incluyendo un control más riguroso de la gestión de los mismos.
Se prevé que el Departamento de Comercio de los EEUU controle que las empresas americanas hagan públicos sus compromisos al respecto, que serán de obligado cumplimiento conforme a la ley norteamericana y cuyo incumplimiento será sancionable por la Comisión Federal de Comercio (FTC),
Se prevé también que toda compañía que transfiera datos desde Europa a Estados Unidos se debe comprometer a cumplir las decisiones de las autoridades europeas de protección de datos.
Obligaciones de protección y transparencia de las autoridades americanas
Por vez primera, los EEUU han dado garantías por escrito a la UE de que el acceso por sus autoridades a los datos transferidos de los ciudadanos europeos, para el cumplimiento de su normativa interna y su seguridad nacional, estará sujeto a claras limitaciones, garantías y mecanismos de supervisión.
Los EEUU han descartado una vigilancia masiva e indiscriminada sobre estos datos. Por el contrario, este acceso se realizará solo en la medida necesaria y de forma proporcionada.
Se prevé una reunión anual de seguimiento del acuerdo, que incluirá también los aspectos de seguridad nacional. Para ello, la Comisión y el Departamento de Comercio de los EEUU, invitarán a la misma a los expertos en seguridad nacional de los EEUU y a las autoridades europeas de protección de datos.
Protección efectiva de los derechos de los ciudadanos europeos, incluyendo medidas reales de salvaguarda
Todo ciudadano europeo que considere que sus datos personales han sido objeto de un uso incorrecto conforme al contenido de este acuerdo, tendrá posibilidad real de protección. Las empresas objeto de la reclamación tendrán obligación de responder a la misma en un plazo establecido.
Las autoridades europeas de protección de datos podrán dirigir reclamaciones al Departamento de Comercio y a la Comisión Federal de Comercio (FTC).
Se instaurarán sistemas alternativos y gratuitos de resolución de conflictos
Los ciudadanos europeos tendrán igualmente la posibilidad de formular consultas o reclamaciones a este respecto a través de la figura de un nuevo Defensor del ciudadano en esta materia.
Próximos pasos
Este acuerdo político deberá ser objeto de plasmación en un documento jurídicamente vinculante, por lo que, según apunta Xavier Ribas en su blog, “se prevé que el acuerdo jurídico esté preparado en las próximas semanas y, si no hay oposición en cuanto a su contenido, pueda estar en vigor en un plazo de aproximadamente 3 meses, por lo que probablemente exista solución antes de verano.”
Para ello, la Comisión Europea ha mandatado al Vicepresidente Ansip y a la comisaria Jourová la preparación de un borrador de decisión que sea aprobada en las próximas semanas, tras recibir la opinión del Grupo de Trabajo del artículo 29 y tras ser consultado un comité integrado por representantes de los Estados miembros.
Por su parte, los Estados Unidos seguirán los pasos necesarios para la puesta en marcha del nuevo marco, sus mecanismos de control y el nuevo Defensor del ciudadano.