Según comentamos en una entrada anterior, el pasado 2 de febrero la Comisión Europea y el Departamento de Comercio de los Estados Unidos alcanzaron un acuerdo político para establecer un nuevo marco para regular las transferencias transatlánticas de datos de carácter personal en el ámbito comercial: el denominado EU-U.S. Privacy Shield o Escudo de Privacidad UE-EE.UU.

El 29 de febrero, la Comisión publicó los textos jurídicos que establecerán el Escudo de Privacidad, así como una comunicación resumiendo las acciones tomadas en los últimos años para restaurar la confianza en los flujos de datos transatlánticos.

Entre los documentos publicados por la Comisión destaca el borrador de la decisión sobre la adecuación de la protección del Escudo de Privacidad UE-EE.UU., que da respuesta a los problemas señalados por el Tribunal de Justicia de la Unión Europea en su sentencia de 6 de octubre de 2015 (la cual analizamos en el blog).

Tras su adopción, esta decisión establecerá que las garantías de las transferencias realizadas al amparo del Escudo de Privacidad son equivalentes a los estándares de protección de datos europeos.

Las salvaguardias de este nuevo marco para las transferencias transatlánticas de datos incluyen:

  • Obligaciones estrictas para las empresas y aplicación rigurosa: El nuevo sistema será más transparente e incluirá mecanismos efectivos de supervisión para garantizar que las empresas adheridas al mismo cumplen las obligaciones en materia de tratamiento de datos y garantizan derechos de los ciudadanos, previéndose sanciones severas en caso de incumplimiento.
  • Salvaguardias claras en cuanto al acceso por parte de la administración estadounidense: Existe un compromiso formal por parte del gobierno estadounidense de que el acceso a los datos por motivos de seguridad nacional e interés público estará sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros, evitándose así el acceso indiscriminado a la información.
  • Protección eficaz de los derechos de los ciudadanos europeos con varias posibilidades de recurso: Las empresas tendrán que resolver las reclamaciones que reciban de los ciudadanos en 45 días. También se implementará un sistema extrajudicial gratuito de resolución de conflictos. A su vez, los ciudadanos  podrán recurrir a sus respectivas autoridades de protección de datos, que colaborarán con el Departamento de Comercio de los Estados Unidos y la Comisión Federal de Comercio. Si el conflicto no se resuelve a través de ninguno de esos recursos, se prevé adicionalmente un mecanismo de arbitraje. Además, cualquier empresa que trate datos de recursos humanos deberá cumplir las decisiones adoptadas por las autoridad de protección de datos europea competente (para el resto de empresas, este compromiso será voluntario). Respecto de las reclamaciones en las que el acceso a los datos se produzca por parte de agencias de inteligencia, se podrá acudir a la figura independiente del "Ombudsperson" (Defensor o Mediador).
  • Mecanismo de revisión conjunta anual: La Comisión Europea y el Departamento de Comercio de los Estados Unidos monitorizarán el funcionamiento del EU-U.S. Privacy Shield, contando para ello con la colaboración de las autoridades europeas de protección de datos, expertos en inteligencia de los Estados Unidos y el Defensor. La Comisión utilizará todas las fuentes de información disponibles, incluyendo informes de transparencia provenientes de las empresas, y celebrará asimismo una cumbre anual sobre privacidad para debatir las novedades en materia de privacidad en los Estados Unidos y sus efectos en Europa.

A finales de marzo, el Grupo de Trabajo del Artículo 29 se reunirá para emitir su dictamen y también se consultará a un comité de representantes de los Estados miembros. Después, el Colegio de Comisarios tomará una decisión definitiva. Al mismo tiempo, las autoridades estadounidenses se prepararán para la implementación de este nuevo marco legal.