La Comision Europea adopto una decision de adecuacion para Estados Unidos en julio de 2023, completando la implementacion del Marco Transatlantico de Privacidad de Datos (DPF). Este es el tercer intento de establecer un mecanismo legal para las transferencias de datos UE-EE.UU., despues de que el Tribunal de Justicia invalidara tanto el marco Safe Harbor como el Privacy Shield.

Que es el DPF?

El marco consta de dos componentes. Por el lado europeo, la decision de adecuacion de la Comision efectivamente autoriza las transferencias de datos a organizaciones estadounidenses que cumplan los requisitos. Por el lado americano, la Orden Ejecutiva 14086 impone reglas que limitan la vigilancia de las agencias de inteligencia sobre datos de paises de la UE/EEE y establece un mecanismo de reparacion para las personas afectadas.

El DPF no es universal. Las organizaciones europeas solo pueden basarse en la decision de adecuacion cuando transfieren datos a empresas estadounidenses que autocertifican su adhesion a los principios del marco ante el Departamento de Comercio. Las transferencias a organizaciones no certificadas aun requieren clausulas contractuales tipo (CCT) u otras salvaguardas.

La historia: Schrems I y II

Las revelaciones de Snowden en 2013 desencadenaron una batalla legal de una decada sobre las transferencias de datos UE-EE.UU. El activista de privacidad austriaco Max Schrems impugno las transferencias transatlanticas de datos, argumentando que la vigilancia estadounidense exponia los datos europeos a riesgos inaceptables. El Tribunal de Justicia estuvo de acuerdo dos veces, invalidando Safe Harbor en Schrems I y Privacy Shield en Schrems II.

Estas sentencias establecieron dos principios importantes: las decisiones de adecuacion deben reflejar estandares genuinos de proteccion de datos en lugar de conveniencia politica, y las organizaciones pueden necesitar salvaguardas adicionales mas alla de las CCT al transferir datos a paises con capacidades de vigilancia extensivas.

Impacto de Schrems II

Tras la sentencia de 2020, muchas empresas continuaron transfiriendo datos a EE.UU. sin salvaguardas adecuadas. Las organizaciones de privacidad respondieron presentando denuncias que llevaron a las autoridades nacionales a tomar medidas de aplicacion contra herramientas de analytics y publicidad con sede en EE.UU. en Francia, Italia, Austria y otros mercados clave.

Sobrevivira el DPF a una impugnacion legal?

Los defensores de la privacidad ya han anunciado planes para impugnar la decision de adecuacion ante el Tribunal de Justicia. El marco representa una mejora respecto al Privacy Shield, pero persisten dudas sobre si las limitaciones de la orden ejecutiva a la vigilancia son suficientes.

El Parlamento Europeo emitio una opinion negativa sobre el marco, lo que podria influir en la postura del tribunal. Los factores geopoliticos, incluida la relacion estrategica UE-EE.UU., podrian empujar en la direccion opuesta. Si el DPF es invalidado en una posible sentencia "Schrems III", las empresas europeas enfrentaran nuevamente una incertidumbre legal fundamental en torno al uso de servicios en la nube y procesadores de datos con sede en EE.UU.

Las organizaciones deberian mantener planes de contingencia para sus transferencias de datos a EE.UU., incluyendo la evaluacion de alternativas alojadas en Europa para servicios criticos.