El pasado 10 de julio la Comisión Europea adoptó su decisión de adecuación del Programa Marco de Privacidad de Datos UE-EE.UU. La decisión de adecuación, que entró en vigor el mismo día 10, concluye que Estados Unidos garantiza un nivel de protección adecuado -en comparación con el de la UE- de los datos personales transferidos desde la Unión Europea a las empresas estadounidenses que participan en el Marco de Privacidad de Datos UE-EE.UU.
Las relaciones entre empresas de la UE y de los EE.UU. en materia de protección de datos llevan sufriendo un alto grado de incertidumbre sobre la manera más adecuada de transferir datos personales de ciudadanos europeos a empresas ubicadas en los EE.UU. y todo ello en un periodo de tiempo relativamente corto desde la entrada en vigor del Reglamento General de Protección de Datos.
En un principio, estas relaciones tenían protección bajo el llamado Privacy Shield que fue derogado por el Tribunal de Justicia de la UE (Sentencia Schrems II) al considerar que no se ofrecían garantías suficientes sobre todo por la utilización de los datos por parte de las agencias de inteligencia estadounidenses escudándose en motivos de seguridad nacional.
Desde entonces (año 2020) hasta la firma por parte del Presidente Biden de la Orden Ejecutiva para la mejora de la salvaguardia en las actividades de inteligencia de los EEUU en octubre del año pasado, las empresas de la UE que transferían sus datos a empresas estadounidenses tan sólo contaban con las llamadas Cláusulas Contractuales Tipo, como elemento de garantía de un nivel de protección de la privacidad adecuado, cláusulas que, en no pocas ocasiones, también han resultado cuestionadas.
Este ambiente de incertidumbre, parece que culmina con el presente Acuerdo Marco que recoge las cuestiones sugeridas por la Sentencia del TJUE relativas a las nuevas obligaciones orientadas a garantizar que las agencias de inteligencia estadounidenses sólo puedan acceder a los datos en la medida de lo necesario y proporcionado, y a establecer un mecanismo de recurso independiente e imparcial para tramitar y resolver las quejas de los europeos relativas a la recopilación de sus datos con fines de seguridad nacional.
Como resultado de las decisiones de adecuación, los datos personales pueden circular libremente y con seguridad desde el Espacio Económico Europeo (EEE), que incluye los 27 Estados miembros de la UE, así como Noruega, Islandia y Liechtenstein, a un tercer país, sin estar sujetos a ninguna otra condición o autorización. En otras palabras, las transferencias al tercer país pueden tratarse del mismo modo que las transmisiones de datos dentro de la UE.
Las empresas estadounidenses pueden certificar su participación en el Programa Marco de Privacidad de Datos UE-EE.UU. comprometiéndose a cumplir una serie detallada de obligaciones en materia de privacidad. Esto podría incluir, por ejemplo, principios de privacidad como la limitación de la finalidad, la minimización de datos y la retención de datos, así como obligaciones específicas relativas a la seguridad de los datos y el intercambio de datos con terceros.
El Programa Marco será administrado por el Departamento de Comercio de EE.UU., que tramitará las solicitudes de certificación y supervisará si las empresas participantes siguen cumpliendo los requisitos de certificación.