El passat 10 de juliol es va adoptar el nou acord Data Privacy Framework (DPF) que facilita les transferències internacionals de dades personals entre la Unió Europea i els Estats Units, així com estableix l’article 45 del Reglament General de Protecció de Dades (RGPD).
Aquest acord era un dels més esperats, després de dos anys d’incertesa en l’àmbit de les transferències internacionals, i que ha deixat moltes sancions per incompliments en la protecció de dades.
Després de la sentència del Tribunal de Justícia de la UE (TJUE) del 16 de juliol del 2020, les transferències internacionals de dades personals van ser qüestionades degut a pràctiques de vigilància dels EE.UU i per manca de mecanismes perquè els ciutadans europeus poguessin denunciar la intromissió de la seva privacitat i la manca de drets.
Context anterior
A causa de la sentència anunciada, les empreses europees van tenir la necessitat de modificar la forma de relacionar-se amb les entitats o empreses nord-americanes.
Això va afectar moltes empreses europees que van intentar salvar la seva activitat buscant altres alternatives amb proveïdors de serveis que tinguessin els seus servidors allotjats a la UE.
Anteriorment a aquest nou acord va haver-hi altres com el Safe Harbour i el Privacy Shield que van acabar fracassant, ja que no acabaven de complir amb la normativa europea del RGPD.
Nou acord Data Privacy Framework
Data Privacy Framework és un mecanisme d’auto certificació en el qual les empreses nord-americanes es comprometen a complir amb els principis emesos pel Departament de Comerços dels EE.UU pel tractament de les dades personals que reben de la UE.
La Comissió Europea ha reconegut que EE.UU garanteix un nivell de protecció equivalent al que estableix el RGPD de la UE, però només es podrà garantir en el cas de les entitats o empreses que estiguin certificades per aquest nou marc de privacitat.
Aquest acord té garanties com:
- Limitar l’accés dels serveis d’intel·ligència nord-americans a les dades de la UE.
- Establir un Tribunal de Recurs en Matèria de Protecció de Dades (DPRC) al que els ciutadans europeus tindran accés.
- Millorar els mecanismes de reparació en cas de tractament indegut de les dades.
- El DPRC pot ordenar l’eliminació de dades recopilades en violació de les garanties.
Les empreses nord-americanes poden adherir-se si compleixen:
- L’eliminació de dades personals quan ja no siguin necessàries per a la finalitat per la qual varen ser recollides.
- Garanteixen la protecció en compartir les dades amb tercers.
Per les empreses europees aquest acord permet:
- Estalvi enorme de temps i esforços per analitzar el nivell de compliment del país de destí.
- Garantir que protegeixen les dades dels ciutadans europeus.
El marc inclou sistemes de revisió obligatoris, la primera després d’un any. En aquest moment sabrem si és un acord que perdurarà més temps que els anteriors i si compleix amb l’efectivitat necessària.
Si el teu negoci realitza transferències internacionals, els nostres advocats t’ajudaran a garantir la privacitat de les dades de la teva empresa.
L’equip de PymeLegal.