La Comisión Europea ha adoptado su decisión de adecuación para el Acuerdo de Privacidad de Datos entre la UE y EE.UU., permitiendo a las organizaciones participar en el libre flujo de datos personales entre las dos regiones sin salvaguardias adicionales.

El anuncio del 10 de julio de 2023 confirma un acuerdo preliminar entre el gobierno de EE.UU. y la UE para un nuevo Marco de Privacidad de Datos en marzo de 2022. Este modelo sustituye al anterior acuerdo Privacy Shield entre las dos regiones, que fue declarado ilegal por el Tribunal de Justicia de la Unión Europea (TJUE) en virtud de las normas del GDPR en el caso Schrems II en 2020.

Esta sentencia se debió a la preocupación de que las fuerzas y cuerpos de seguridad estadounidenses pudieran acceder a los datos transferidos de la UE a Estados Unidos. Como resultado, el proceso de transferencia de datos personales de la UE a EE.UU. se ha vuelto mucho más complejo, y las organizaciones tienen que utilizar mecanismos alternativos como las cláusulas contractuales tipo.

En relación con el nuevo marco, la Presidenta de la Comisión Europea, Ursula von der Leyen, ha declarado lo siguiente: «El nuevo Marco de Privacidad de Datos UE-EE.UU. garantizará la seguridad de los flujos de datos para los europeos y aportará seguridad jurídica a las empresas de ambos lados del Atlántico.

«Tras el acuerdo de principio que alcancé con el Presidente Biden el año pasado, EE.UU. ha aplicado compromisos sin precedentes para establecer el nuevo marco. Hoy damos un paso importante para dar confianza a los ciudadanos de que sus datos están seguros, para profundizar nuestros lazos económicos entre la UE y EE.UU. y, al mismo tiempo, para reafirmar nuestros valores compartidos. Demuestra que trabajando juntos podemos abordar los problemas más complejos».

Para llegar a esta decisión, la Comisión Europea concluyó que EE.UU. tiene un nivel adecuado de protección de datos comparable al de la UE, lo que permite que los datos personales se transfieran con seguridad a través del Atlántico. La UE dijo que el marco actualizado aborda las preocupaciones planteadas en la decisión del TJUE en Schrems II. Esto incluye «limitar el acceso de los servicios de inteligencia de EE.UU. a los datos de la UE a lo que sea necesario y proporcionado» para proteger la seguridad nacional.

Además, los ciudadanos de la UE tendrán acceso a un mecanismo de recurso independiente e imparcial en relación con la recopilación y el uso de sus datos por parte de los servicios de inteligencia de EE.UU. en forma de un Tribunal de Revisión de la Protección de Datos (DPRC) de nueva creación.

Este tribunal tendrá competencias para hacer frente a las violaciones del Marco de Protección de Datos, como ordenar la supresión de los datos recogidos contraviniendo el acuerdo.
La UE dijo que habrá revisiones periódicas del funcionamiento del Marco de Privacidad de Datos UE-EE.UU. llevadas a cabo por la Comisión conjuntamente con otras autoridades de datos europeas y autoridades competentes de EE.UU.. La primera tendrá lugar en el plazo de un año a partir de la entrada en vigor de la decisión de adecuación, que fue el 10 de julio de 2023.