Nuevo marco para las transferencias de datos a EE.UU.
El pasado mes de julio la Comisión Europea adoptó una decisión de adecuación para posibilitar las transferencias internacionales de datos entre organizaciones de los Estados Unidos y de la Unión Europea, supeditadas al marco de privacidad “EU-U.S. Data Privacy Framework”. Este marco permite a las entidades estadounidenses adheridas realizar transferencias internacionales de datos sin adoptar garantías adicionales, facilitando así las relaciones entre las empresas europeas y norteamericanas.
De esta manera se finaliza un difícil periodo transitorio desde que el pasado julio de 2020 el Tribunal de Justicia de la Unión Europea declaró inválido el Escudo de Privacidad para la realización de transferencias internacionales de datos a EE. UU.
¿Cómo funciona el EU-U.S. Data Privacy Framework?
Desde el 10 de julio de 2023 las transferencias de datos a organizaciones situadas en EEUU pueden basarse en esta decisión de adecuación, siempre que la organización receptora de los datos esté incluida en la lista del marco de protección de datos o Data Privacy Framework List. Para garantizar un nivel de protección de datos adecuado, las entidades adheridas deben estar sujetas a los poderes de investigación y ejecución de la Comisión Federal de Comercio o el Departamento de Transporte de EE.UU.
Las entidades adheridas garantizan un nivel de protección equivalente al que ofrece la UE, por lo que la transferencia internacional no deberá dotarse de garantías adicionales. Sin perjuicio de lo anterior, seguirá siendo necesario informar a los interesados de la transferencia internacional de sus datos personales, así como de las garantías adoptadas en dicha transferencia.
En caso de que el importador de datos no esté incluido en la Data Privacy Framework List, se deberá basar la transferencia internacional en otras garantías de las recogidas en Reglamento General de Protección de Datos, como las cláusulas contractuales tipo de la Comisión Europea o normas corporativas vinculantes.
El EU-U.S. Data Privacy Framework será revisado por la Comisión Europea en el plazo de un año desde su entrada en vigor, con la finalidad de revisar las garantías de este sistema. Tras este primer análisis, la Comisión podrá decidir la periodicidad de las siguientes revisiones, que podrá ser de hasta cuatro años. Así, y como ha pasado con los acuerdos anteriores, el EU-U.S. Data Privacy Framework podrá ser invalidado si resulta insuficiente para garantizar un nivel de protección de datos equivalente al del Espacio Económico Europeo.
La designación de un Delegado de Protección de Datos Microlab será fundamental para las empresas en la medida que su labor será tan importante como velar por cumplimiento de la LOPD en todos los procedimientos de la entidad. Si no cuentas con este profesional en tu empresa, lo mejor que puedes hacer es contactar con nuestros expertos en protección de datos para recibir asesoramiento personalizado. Nosotros te guiaremos en la implantación de estrategias dirigidas a garantizar la máxima seguridad de tus procedimientos.