Todo esto suena bastante familiar, ¿no? Hace solo siete años, el mundo de la privacidad puso el foco en el Tribunal de Justicia de la Unión Europea (TJUE) y su resolución sobre el caso Schrems I. Esta decisión provocó la supresión del marco de puerto seguro y dio lugar al Escudo de privacidad UE-EE. UU.
Sin embargo, el Escudo de privacidad UE-EE. UU. solo duraría cuatro años antes de que una segunda queja presentada por Max Schrems llevara al TJUE a invalidar el nuevo marco en julio de 2020. En los 12 meses posteriores a la decisión, las organizaciones tuvieron que enfrentarse a la incertidumbre sobre la legalidad de sus transferencias de datos desde la UE a los EE. UU. Algunas APD europeas dictaminaron que el uso de servicios de análisis con base en los EE. UU. se había vuelto ilegal como consecuencia de dicha resolución.
Aunque la Comisión Europea emitió cláusulas contractuales tipo (CCT) revisadas y el Comité Europeo de Protección de Datos (CEPD) publicó directrices sobre las medidas de transferencia complementarias, los esfuerzos por acordar un nuevo marco de transferencia de datos transatlántico que cumpliera los criterios del TJUE continuaron.
A finales de 2022, la Comisión Europea adoptó el borrador de la decisión de adecuación sobre el Marco de Privacidad de Datos UE-EE. UU., lo que desembocó en más de seis meses de deliberaciones.
Entonces, ¿en qué se diferencia este nuevo marco de los anteriores? ¿Y qué sucedió a continuación de esto?
Acuerdo de puerto seguro
Retrocedamos en el tiempo. Nos encontramos en el año 2000 y la Comisión Europea está llegando a un acuerdo con sus homólogos estadounidenses sobre un mecanismo para proteger los datos personales de los ciudadanos de la UE que se transfieren a los EE. UU. por empresas que tienen su sede en este país. El acuerdo se basó en un método de autocertificación que permitió que las empresas pudieran declarar que están protegiendo los datos personales de los ciudadanos de la UE en virtud de las condiciones del acuerdo.
Durante más de una década, las organizaciones confiaron en el acuerdo de puerto seguro a la hora de transferir datos de la UE a los EE. UU. sin tener que depender de CCT u otras obligaciones contractuales. Sin embargo, en 2013 Edward Snowden reveló documentos clasificados de la NSA a los que tuvo acceso todo el mundo, lo que puso de manifiesto las prácticas de vigilancia que realizaba el gobierno de los EE. UU.
Max Schrems emitió una reclamación sobre dicho acceso a la Comisión Irlandesa de Protección de Datos en relación con las prácticas de intercambio de datos por parte de Facebook desde su oficina europea a su sede central en los EE. UU.
Tras elevarse este asunto de la Comisión Irlandesa de Protección de Datos al TJUE, se desestimó el acuerdo de puerto seguro, lo que significó que las organizaciones que se basaban en este acuerdo necesitaban implementar otras medidas contractuales para garantizar que los datos personales estaban protegidos según el mismo estándar que estaba dispuesto por la directiva de protección de datos.
Escudo de privacidad UE-EE. UU.
En menos de seis meses tras la invalidación del acuerdo de puerto seguro, representantes de la UE y los EE. UU. comenzaron negociaciones sobre un nuevo marco que ofreciera protecciones más robustas para los datos personales de los ciudadanos de la UE. En julio de 2016, la Comisión Europea adoptó formalmente el Escudo de privacidad UE-EE. UU., lo que permitió que las organizaciones pudieran volver a transferir los datos personales de los ciudadanos de la UE a los EE. UU. con ayuda de este mecanismo.
Durante este tiempo, Max Schrems ya había presentado una segunda reclamación ante la Comisión Irlandesa de Protección de Datos. En esta ocasión, el foco estaba en el uso de las CCT por parte de Facebook a la hora de transferir datos personales de la UE a los EE. UU. De nuevo, la demanda se elevó al TJUE junto con 11 preguntas que tenía que abordar el tribunal. Una de estas preguntas era si el Escudo de privacidad que se había adoptado recientemente era un mecanismo adecuado para proteger los datos personales de la UE de las agencias gubernamentales de los EE. UU.
Y no lo era. El 16 de julio de 2020, el TJUE por fin emitió su veredicto sobre el caso Schrems II, que declaraba inválido el Escudo de privacidad UE-EE. UU. El tribunal defendió el uso de las CCT, pero mostró serias dudas sobre su efectividad debido al modo en que se usaban.
Consecuencias del caso Schrems II
Aunque la invalidación del marco de transferencia UE-EE. UU. no fue un nuevo escenario al que tuvieron que enfrentarse las organizaciones, sí que lo fueron las consecuencias negativas y la incertidumbre en torno a la validez de las CCT y otros mecanismos de transferencia.
El 12 de noviembre de 2020, la Comisión Europea publicó el conjunto de CCT revisadas que se adoptaron en junio de 2021 para su consulta pública. A los pocos días, el CEPD adoptó sus recomendaciones finales en cuanto a medidas de transferencia complementarias que destacaban una hoja de ruta de seis pasos que incluía la necesidad de realizar una evaluación del impacto de las transferencias e identificar e implementar medidas complementarias adecuadas a la hora de transferir datos personales a un tercer país.
Al igual que en 2015, una vez más las organizaciones tuvieron que replantearse la forma en que abordaban las transferencias de datos personales. Con la diferencia de que esta vez también se les exigió actualizar los contratos existentes con las nuevas CCT en un periodo de transición de 18 meses y garantizar que se implementaban medidas complementarias para asegurar un nivel equivalente en lo esencial de protección de datos.
Adopción del Marco de Privacidad de Datos UE-EE. UU.
En marzo de 2022, la Comisión Europea anunció que en principio se había alcanzado un acuerdo con los EE. UU. sobre un nuevo Marco de privacidad de datos UE-EE. UU., lo que dio comienzo a las deliberaciones sobre los detalles del marco.
Como parte del borrador del marco, las agencias de seguridad nacional cumplirían normas más estrictas sobre a qué datos personales pueden acceder y cómo pueden acceder a ellos. Una definición más clara de lo que se considera «necesario y proporcionado» ayudaría a establecer las garantías de cara al acceso gubernamental y los interesados también tendrían acceso a un mecanismo de reclamación a diferentes niveles para casos de incumplimiento normativo (un factor clave a la hora de que el TJUE invalidara el Escudo de privacidad UE-EE. UU.).
En octubre de 2022, el presidente Biden emitió una orden ejecutiva para reforzar las garantías frente a las actividades de inteligencia de señales. En diciembre, la Comisión Europea adoptó el borrador de su decisión de adecuación, lo que dio inicio al proceso de adopción formal en la UE. A medida que el marco iba pasando por las diferentes partes involucradas en el proceso, comenzó a recibir diferentes tipos de críticas. En febrero de 2023, el CEPD emitió su opinión, que acogía en gran medida las mejoras efectuadas por el marco. Sin embargo, el CEPD solicitó a la Comisión Europea que abordara varios aspectos del marco, incluidos los derechos de los interesados y las transferencias ulteriores. Además, el Parlamento Europeo adoptó una resolución en la que afirmaba que el marco «es una mejora, pero no lo suficiente como para justificar una decisión de adecuación sobre transferencias de datos personales».
En EE. UU., el Secretario de Comercio emitió una declaración que recalcaba que los EE. UU. habían cumplido sus compromisos para implementar el Marco de privacidad de datos UE-EE. UU., lo que a su vez permitía a la UE finalizar el acuerdo.
Tras esta declaración, el 4 de julio de 2023, el comité de comitología de la Comisión Europea emitió un voto por escrito sobre el borrador revisado de la decisión de adecuación, donde la aprobación del Comité era un requisito esencial para que la Comisión adoptara su decisión de adecuación.
Finalmente, el 10 de julio de 2023, la Comisión Europea anunció que consideraba adecuado el Marco de Privacidad de Datos UE-EE. UU. La decisión restableció un importante mecanismo de transferencia de datos para su uso entre la UE y los EE. UU., así como la introducción de limitaciones al acceso por parte de las agencias de seguridad estadounidenses a los datos personales de la UE y un mecanismo de reclamación para los interesados. La reacción inicial con respecto a la decisión fue diversa, con partes a ambos lados del Atlántico que se congratulaban por el impacto que este marco tendría en el comercio entre la UE y los EE. UU., mientras que algunas organizaciones como el NOYB resaltaban que el marco volvería al TJUE antes de finales de año. En respuesta, el Comisario Europeo de Justicia, Didier Reynders, recomendó esperar algo de tiempo para evaluar la eficacia del marco en la práctica antes de volver a llevar el asunto a los tribunales.
El marco entró en vigor el 11 de julio de 2023 y las organizaciones participantes deben cumplir los principios de privacidad en virtud del Marco de Privacidad de Datos UE-EE. UU., incluido el requisito de autocertificación a través del Departamento de Comercio de los EE. UU.
