El pasado 10 de julio se adoptó el nuevo acuerdo Data Privacy Framework (DPF) que facilita las transferencias internacionales de datos personales entre la Unión Europea y Estados Unidos, así como establece el artículo 45 del Reglamento General de Protección de Datos (RGPD).
Este acuerdo era uno de los más esperados, después de dos años de incertidumbre en el ámbito de las transferencias internacionales, y que ha dejado muchas sanciones por incumplimientos en la protección de datos.
Después de la sentencia del Tribunal de Justicia de la UE (TJUE) del 16 de julio de 2020, las transferencias internacionales de datos personales fueron cuestionadas debido a prácticas de vigilancia de los EE.UU y por falta de mecanismos para que los ciudadanos europeos pudiesen denunciar la intromisión de su privacidad y la falta de derechos.
Contexto anterior
Debido a la sentencia anunciada, las empresas europeas tuvieron la necesidad de modificar la forma de relacionarse con las entidades o empresas norteamericanas.
Esto afectó a muchas empresas europeas que intentaron salvar su actividad buscando otras alternativas con proveedores de servicios que tuviesen sus servidores alojados en la UE.
Anteriormente a este nuevo acuerdo hubo otros como Safe Harbour y Privacy Shield que acabaron fracasando, ya que no acababan de cumplir con la normativa europea del RGPD.
Nuevo acuerdo Data Privacy Framework
Data Privacy Framework es un mecanismo de autocertificación en el cual las empresas norteamericanas se comprometen a cumplir con los principios emitidos por el Departamento de Comercios de los EE.UU para el tratamiento de los datos personales que reciben de la UE.
La Comisión Europea ha reconocido que EE.UU garantiza un nivel de protección equivalente al que establece el RGPD de la UE, pero solamente se podrá garantizar en el caso de las entidades o empresas que estén certificadas por este nuevo marco de privacidad.
Este acuerdo tiene garantías como:
- Limitar el acceso de los servicios de inteligencia estadounidenses a los datos de la UE.
- Establecer un Tribunal de Recurso en Materia de Protección de Datos (DPRC) al que los ciudadanos europeos tendrán acceso.
- Mejorar los mecanismos de reparación en caso de tratamiento indebido de los datos.
- El DPRC puede ordenar la eliminación de datos recopilados en violación de las garantías.
Las empresas estadounidenses pueden adherirse si cumplen:
- La eliminación de datos personales cuando ya no sean necesarios para la finalidad por la cual fueron recabados.
- Garanticen la protección al compartir los datos con terceros.
Para las empresas europeas este acuerdo permite:
- Ahorro enorme de tiempo y esfuerzos para analizar el nivel de cumplimiento del país de destino.
- Garantizar que protegen los datos de los ciudadanos europeos.
El marco incluye sistemas de revisión obligatorios, la primera será después de un año. En ese momento sabremos si es un acuerdo que va a perdurar más tiempo que los anteriores y si cumple con la efectividad necesaria.
Si tu negocio realiza transferencias internacionales, nuestros abogados te ayudarán a garantizar la privacidad de los datos de tu empresa.
El equipo de PymeLegal.
