La Unión Europea y Estados Unidos anuncian un nuevo acuerdo para regularizar las transferencias de datos personales entre ambos territorios
El día 25 de marzo de 2022 la Comisión europea y el Gobierno estadounidense proclamaron la inminente puesta en marcha de un acuerdo entre ambos para regular y facilitar la transferencia internacional de datos personales desde la Unión Europea al país americano, un asunto que lleva tiempo generando constantes quebraderos de cabeza a las empresas tanto del viejo como del nuevo continente.
Como ya hemos señalado en artículos previos de nuestro blog, la normativa europea de protección de datos impone rigurosas condiciones a aquellas entidades que pretendan enviar datos personales fuera del territorio de la Unión. En consecuencia, desde la entrada en vigor del Reglamento General de Protección de Datos, las empresas europeas y americanas se han topado con una incesante carrera de obstáculos a la hora de desarrollar con normalidad sus actividades, actividades que en el mundo globalizado tienden a depender cada vez más de servicios provistos por prestadores localizados por todo el mundo, particularmente las grandes tecnológicas estadounidenses. No son pocas las sanciones impuestas por las autoridades europeas de protección de datos con ocasión de la transmisión de información personal a empresas americanas como Google o Facebook, siendo especialmente relevante la reciente polémica sobre el uso de Google Analytics por empresas europeas y la posibilidad de que Facebook cese algunos de sus servicios en Europa ante la dificultad que le supone el envió de datos a su sede en Silicon Valley.
¿Un nuevo Privacy Shield?
A finales de los noventa, Estados Unidos desarrolló unas políticas conocidas como los “Principios Internacionales de Puerto Seguro”. Las organizaciones americanas que decidieran adscribirse a estos principios cumplirían, al menos en teoría, unas mínimas garantías equivalentes a las que la normativa europea sobre protección de datos imponía en el viejo continente. En 2015, como consecuencia del caso Snowden, este acuerdo fue invalidado por el Tribunal de Justicia de la Unión Europea, concluyendo que no ofrecía una eficaz protección en la práctica.
En los años siguientes, ante la inminente aprobación del RGPD, la Comisión Europea y la Administración americana negociaron un mecanismo que permitieran las transferencias de datos personales sin necesidad de someterlas a procesos más estrictos que cualquier transferencia entre países europeos. El fruto de esta negociación fue el conocido como Privacy Shield Framework, un acuerdo informal por el que Estados Unidos se comprometía a establecer ciertas garantías sobre protección de datos y la Comisión Europea declaraba al país americano como “adecuado” a estos efectos, eximiendo a las empresas de cualquier requisito adicional. Sin embargo, como sucedió con su antecesor, el acuerdo fue posteriormente anulado por el Tribunal de Justicia de la Unión Europea en su célebre decisión Schrems II, al determinar que el Privacy Shield no ofrecía una protección de derechos fundamentales equivalente a la que rige en territorio europeo.
Con el anuncio emitido por la Comisión europea el pasado mes, parece que estemos ante un nuevo acuerdo dirigido a facilitar el tráfico de datos personales entre la Unión Europea y Estados Unidos que, idealmente, permitirá a las entidades europeas emplear servicios americanos fácilmente y conforme a la normativa. No obstante, debe recordarse que estamos ante un acuerdo de naturaleza política que bien puede ser anulado por los tribunales si éstos determinan que su contenido no resulta conforme a derecho, algo que, como ya hemos expuesto, ha ocurrido en los dos intentos anteriores.
¿Qué supone este nuevo acuerdo?
Debe quedar meridianamente claro que, a fecha de hoy, no existe ningún acuerdo que valide las transferencias de datos entre Estados y la Unión Europea con carácter general. El anuncio emitido sólo sierve para constatar la existencia de unas negociaciones que parecen avanzar a buen ritmo y que podrían dar lugar a un acuerdo formal para 2023. Tal y como ha expresado el Comité Europeo de Protección de Datos – que agrupa a todas las autoridades europeas de control –
“Por el momento, este anuncio no constituye un marco jurídico en el que los exportadores de datos puedan basar sus transferencias de datos a Estados Unidos. Por lo tanto, los exportadores de datos deben seguir tomando las acciones necesarias para cumplir con la jurisprudencia del TJUE, y en particular su decisión Schrems II de 16 de julio de 2020”.
En consecuencia, mientras el acuerdo no quede efectivamente aprobado, las empresas europeas deben:
-
Comprobar si sus procesos incluyen algún tipo de transmisión de datos personales al extranjero y, particularmente, a Estados Unidos.
-
Si estas transferencias tienen lugar o van a tenerlo, evaluar su conveniencia y adecuación a la normativa.
En el blog de Caberseg podrán encontrar todas las noticias relativas al desarrollo de este acuerdo en los meses venideros.
