La Comisión Europea ha adoptado una decisión que marca un hito en la protección de datos personales transferidos entre la Unión Europea (UE) y los Estados Unidos (EE.UU.). Esta decisión de adecuación concluye que EE.UU. proporciona un nivel de protección de datos equivalente al de la UE bajo el Marco de Privacidad de Datos UE-EE.UU.
El marco establece una serie de obligaciones y salvaguardias para las empresas estadounidenses que reciben datos personales de la UE. Estas incluyen limitaciones sobre el uso de datos, la necesidad de obtener consentimiento para cambios en el propósito del uso de los datos, y la responsabilidad en casos de transferencias posteriores a terceros.
Además, la decisión de adecuación se basa en una serie de mejoras significativas en la protección de la privacidad en EE.UU. En particular, la Orden Ejecutiva 14086 de EE.UU. ha introducido nuevas salvaguardias vinculantes para abordar los puntos planteados por el Tribunal de Justicia de la Unión Europea en su decisión Schrems II de julio de 2020. Estas salvaguardias garantizan que los datos solo pueden ser accedidos por las agencias de inteligencia de EE.UU. en la medida de lo que es necesario y proporcional.
Además, se ha establecido un mecanismo de recurso independiente e imparcial para manejar y resolver las quejas de los europeos sobre la recopilación de sus datos para fines de seguridad nacional. Este mecanismo de dos niveles tiene autoridad vinculante y cubre todas las transferencias de datos bajo el Reglamento General de Protección de Datos (GDPR) a las empresas en EE.UU., independientemente de los mecanismos de transferencia utilizados.
La decisión de adecuación entró en vigor con su adopción el 10 de julio de 2023. No tiene un límite de tiempo, pero la Comisión supervisará continuamente los desarrollos relevantes en EE.UU. y revisará regularmente la decisión de adecuación. La primera revisión tendrá lugar dentro de un año después de la entrada en vigor de la decisión de adecuación.
Es importante destacar que la decisión de adecuación podría enfrentar desafíos legales ante el TJUE, como ocurrió con el caso Schrems II. Max Schrems, un activista de la privacidad de datos, ha llevado dos casos al TJUE que han resultado en cambios significativos en la transferencia de datos entre la UE y EE.UU. Si se presenta un desafío similar, el TJUE podría tener que evaluar si las salvaguardias y mecanismos de recurso establecidos en la decisión de adecuación son suficientes para proteger los derechos de los ciudadanos de la UE.