La firma de la nueva Orden Ejecutiva sobre “Mejora de las Garantías para las Señales de Actividades de Inteligencia de Estados Unidos” del 7 de octubre de 2022 implica la posible aplicación de garantías vinculantes adicionales para los datos que se transfieran entre Europa y Estados Unidos. Estas garantías vinculantes abordan todos los elementos señalados por el Tribunal de Justicia de la UE para la protección de los datos personales sujetos al RGPD del acceso indiscriminado por parte de los servicios de Inteligencia de Estados Unidos. Los cambios asociados incluyen el establecimiento de un Tribunal de Protección de Datos de Revisión. Mientras que la Comisión Europea redacta la propuesta y el procedimiento de adopción, se ha publicado un comunicado donde se aclara este Marco de Privacidad entre Europa y Estados Unidos.
La Orden Ejecutiva y sus Reglamentos implementan los compromisos anunciados por Estados Unidos en el acuerdo que se anunció en marzo de 2022.
La Orden Ejecutiva va a implementar garantías vinculantes que limitan el acceso a los datos por parte de las agencias de inteligencia estadounidenses a únicamente aquello que se considera necesario y proporcionado para proteger la seguridad nacional. Además, se establecerá un mecanismo independiente e imparcial de control que incluirá un nuevo Tribunal de Protección de Datos de Revisión (“DPRC”), con el objetivo de investigar y resolver las quejas relacionadas con el acceso a datos europeos por parte de las autoridades nacionales de seguridad de Estados Unidos. La Orden Ejecutiva requiere que las agencias de inteligencia de Estados Unidos revisen sus políticas y procedimientos para implementar estas nuevas garantías.
Con la adopción de la Orden Ejecutiva y sus Reglamentos, la Comisión propone ahora un borrador de decisión de adecuación y lanza el procedimiento de adopción.
El procedimiento de adopción requiere de la implementación de una serie de pasos para alcanzar la decisión de adecuación. En consecuencia, deberá obtenerse una opinión del CEPD y la aprobación de un comité compuesto por representantes de los Estados Miembro. El Parlamento Europeo también tiene el derecho a escrutar las decisiones de adecuación. Tan sólo después será cuando la Comisión Europea pueda adoptar la adecuación de decisión final en relación a Estados Unidos. Una vez que esto suceda, los datos podrán transferirse libremente y de manera segura entre las empresas europeas y estadounidenses certificadas por el Departamento de Comercio bajo el nuevo marco. Las empresas de Estados Unidos podrán adherirse al mismo bajo el compromiso de cumplir con un conjunto detallado de obligaciones de privacidad. Mientras tanto, es importante que las empresas tengan en cuenta que una decisión de adecuación no es la única herramienta disponible para llevar a cabo transferencias internacionales. También se pueden utilizar, por ejemplo, Cláusulas Contractuales Tipo sujeto a la realización de una Evaluación de Impacto de Transferencia de Datos y la implementación de las medidas adicionales de seguridad que sean necesarias. Las Cláusulas Contractuales Tipo son uno de los mecanismos más empleados para transferir datos personales sujetos al RGPD.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.