El 10 de julio de 2023, la Comisión Europea anunció que había adoptado una decisión de adecuación con arreglo al Marco de Privacidad de Datos UE-EE.UU. (DPF).
Ahora puede realizar transferencias legales de datos de la UE a EE.UU., siempre que su empresa se autocertifique con las medidas de protección de datos que marca el programa.
Pero sigue existiendo cierta incertidumbre sobre el futuro a largo plazo y la sostenibilidad del Programa UE-EE.UU. de DPF.
En esta guía, le enseñaré todo lo que necesita saber sobre el Programa DPF, le guiaré a través del proceso de cumplimiento y le explicaré la interesante historia de las transferencias internacionales de datos entre Estados Unidos y la Unión Europea.
- ¿Qué es el Programa Marco de Privacidad de Datos (DPF)?
- ¿A quién afecta el Programa Marco de Privacidad de Datos?
- ¿Qué deben saber las empresas sobre el DPF?
- ¿Cuáles son los requisitos clave del marco de protección de datos?
- ¿Quién hace cumplir el Programa Marco de Protección de Datos?
- Breve historia del marco de protección de datos UE-EE.UU.
- Cómo ayuda Termly al cumplimiento de la protección de datos
- Resumen
¿Qué es el Programa Marco de Privacidad de Datos (DPF)?
El programa Marco de Privacidad de Datos (DPF) es una decisión de adecuación desarrollada para facilitar el comercio transatlántico y proporcionar un mecanismo fiable para la transferencia de datos personales desde la UE, el Espacio Económico Europeo (EEE), el Reino Unido (RU), Gibraltar y Suiza a Estados Unidos.
Garantiza que los procesadores de datos estadounidenses cumplan adecuadamente las leyes de protección de datos de la UE, el Reino Unido y Suiza, como la rgpd, la rgpd del Reino Unido y la Ley Federal de Protección de Datos (FDPA).
Técnicamente consta de los tres marcos clave siguientes para dar cuenta de cada lugar:
- Marco de protección de datos entre la UE y EE.UU.
- Ampliación en el Reino Unido del marco de protección de datos UE-EE.UU. (U.K. Extension to the EU-U.S. DPF)
- Marco suizo-estadounidense para la protección de datos (Swiss-U.S. DPF)
¿Qué es una decisión de adecuación?
Una decisión de adecuación es un proceso formal de la Comisión Europea que indica que un tercer país u organización internacional puede proteger adecuadamente la información personal de las personas en la UE, el EEE, el Reino Unido y Suiza.
El Reglamento General de Protección de Datos (rgpd ) exige una decisión de adecuación para que las transferencias internacionales puedan llevarse a cabo sin necesidad de la aprobación de una autoridad competente.
Los legisladores de la UE lo adoptaron en 2023 y se creó un sitio web para el marco DPF en el que figuran todas las empresas que forman parte del programa.
¿A quién afecta el Programa Marco de Privacidad de Datos?
El programa DPF afecta a las entidades de Estados Unidos que deseen transferir datos personales de particulares de la UE, el EEE, el Reino Unido, Gibraltar y Suiza a servidores con sede en Estados Unidos.
En la siguiente sección, trataré brevemente algunos detalles más sobre a quién afectan los tres marcos de privacidad creados por este programa.
DPF UE-EE.UU.
El Marco de Privacidad de Datos UE-EE.UU. se aplica a la transferencia de datos personales de particulares de la UE y el EEE a organizaciones participantes de Estados Unidos que tienen prácticas de tratamiento de datos coherentes con la legislación de la UE - en este caso, la rgpd.
Los principios DPF UE-EE.UU. entraron en vigor el 10 de julio de 2023.
Extensión al Reino Unido del DPF UE-EE.UU.
La Extensión del Reino Unido al Marco de Protección de Datos UE-EE.UU. se refiere a las entidades estadounidenses que deseen transferir datos personales de particulares desde el Reino Unido o Gibraltar a servidores situados en Estados Unidos. Permite a esas organizaciones estadounidenses autocertificar el cumplimiento del DPF.
La extensión del Reino Unido al DPF UE-EE.UU. se adoptó el 17 de julio de 2023 y entró en vigor el 12 de octubre de ese mismo año.
DPF suizo-estadounidense
El marco suizo-estadounidense de protección de datos se aplica a las entidades estadounidenses que desean transferir información personal de particulares en Suiza a servidores con sede en Estados Unidos.
Los Principios DPF Suiza-EE.UU. se adoptaron el 14 de agosto de 2024 y entraron en vigor el 15 de septiembre del mismo año.
"Las empresas estadounidenses que operan en el mercado de la UE obtendrán grandes beneficios del Marco de Privacidad de Datos. El MPD permitirá a las empresas estadounidenses acceder a los datos de la UE y tratarlos sin tener que realizar evaluaciones de impacto de las transferencias, incorporar CSC ni adoptar ninguna medida adicional." - Ali Talip Pınarbaşı, CIPP/E, & LLM
¿Qué deben saber las empresas sobre el DPF?
Hay varias consideraciones esenciales que las empresas deben tener en cuenta en este nuevo Programa Marco de Privacidad de Datos.
Programa DPF UE-EE.UU. y participación
En el marco del Programa DPF, las organizaciones estadounidenses pueden optar por autocertificar su cumplimiento de marcos específicos.
Pero es importante tener en cuenta que la participación en la ampliación del Reino Unido al DPF UE-EE.UU. requiere específicamente la participación previa en el DPF UE-EE.UU..
Cumplimiento del programa DFP UE-EE.UU.
Las organizaciones que anteriormente autocertificaban su conformidad con el Escudo de la privacidad UE-EE.UU. o el Escudo de la privacidad Suiza-EE.UU. deben ahora cumplir los Principios DPF pertinentes para seguir disfrutando de las ventajas de los respectivos marcos.
Lista marco de protección de datos
Para basarse en los Principios DPF para los marcos de datos, las organizaciones deben estar en la Lista Marco de Privacidad de Datos.
La Administración de Comercio Internacional(ITA) actualiza esta lista basándose en los envíos anuales de recertificación y puede eliminar organizaciones que no cumplan los requisitos.
Recursos para el marco DPF UE-EE.UU.
La ATI proporciona recursos y preguntas frecuentes para ayudar a las organizaciones interesadas en autocertificar su cumplimiento de los marcos DPF.
"Las empresas deben incluir en su política de privacidad una declaración pública de su compromiso de cumplir los Principios del Marco de Privacidad de Datos e informar a las personas sobre los derechos que les otorga el Marco. También es importante que las empresas sólo traten los datos personales que sean pertinentes para la finalidad del tratamiento y cumplan las disposiciones sobre conservación de datos." - Teodor Stanciu, CIPP/E, CIPM
¿Cuáles son los requisitos clave del marco de protección de datos?
Para autocertificar el cumplimiento del Programa DPF UE-EE.UU., debe cumplir unos requisitos específicos, así que vamos a repasarlos juntos.
Información a los particulares sobre el tratamiento de datos
En virtud del Programa DPF UE-EE.UU., debe informar a los particulares sobre sus actividades de tratamiento de datos mediante una política de privacidad exhaustiva.
Su política de privacidad debe declarar el compromiso de su organización con el cumplimiento de los Principios DPF y ser exigible conforme a la legislación estadounidense.
También debe incluir enlaces al sitio web del programa DPF y a mecanismos de recurso independientes para que las personas puedan presentar quejas para su investigación.
Además, el contenido de su política de privacidad debe informar a los usuarios individuales de sus derechos de acceso a los datos, los requisitos de divulgación a las autoridades públicas, la jurisdicción de aplicación y la responsabilidad de transferencia de datos posterior.
Resolución de litigios gratuita y accesible
Para autocertificarse en el Programa DPF UE-EE.UU., debe ofrecer resolución de litigios gratuita y responder a las reclamaciones individuales de los usuarios en un plazo de 45 días.
Debe ofrecer un mecanismo de recurso independiente para resolver quejas y disputas sin coste alguno.
La ATI facilita el proceso de resolución de las reclamaciones presentadas ante las autoridades de protección de datos en un plazo de 90 días.
También debe poner a su disposición un arbitraje vinculante si las reclamaciones no se resuelven a través de otros mecanismos.
Cooperación con el Departamento de Comercio de EE.UU.
Otro de los requisitos del programa DPF UE-EE.UU. es cooperar con el Departamento de Comercio de EE.UU. en relación con las consultas o solicitudes enviadas a la ATI.
En concreto, debe responder con prontitud a todas las solicitudes relacionadas con el programa DPF.
Mantenimiento de la integridad de los datos y limitación de su finalidad
De acuerdo con el Programa DPF UE-EE.UU., debe limitar la recopilación de información personal únicamente a lo que sea relevante para los fines que describió para el tratamiento de los datos.
En virtud de la rgpd, esto también se conoce como su base jurídica.
Además, también debe cumplir todas las disposiciones sobre conservación de datos de rgpd . Este requisito significa que sólo puede conservar los datos durante el tiempo necesario para alcanzar los fines descritos para el tratamiento de la información.
Garantizar la responsabilidad de los datos transferidos a terceros
Para transferir datos a un controlador externo, las organizaciones deben cumplir lo que se conoce como los Principios de Notificación y Elección y firmar un contrato que garantice unos fines y niveles de protección limitados y especificados.
Los "principios de notificación y elección" consisten básicamente en notificar a las personas qué datos personales se recopilan y darles la posibilidad de elegir cómo se procesan o utilizan.
Las organizaciones deben garantizar fines limitados y la protección de la privacidad para transferir datos a un agente externo y tomar medidas para un tratamiento adecuado.
Transparencia en relación con las medidas de ejecución
Otro requisito clave del Programa Marco de Privacidad de Datos UE-EE.UU. es la transparencia en los informes de cumplimiento.
Las organizaciones deben hacer públicas las secciones pertinentes relacionadas con el DPF de sus informes de cumplimiento si están sujetas a órdenes de la Comisión Federal de Comercio(FTC) o de un tribunal basadas en el incumplimiento de la normativa de protección de datos.
Garantizar el cumplimiento de los compromisos mientras se conserven los datos
Las entidades están sujetas a ciertos compromisos de privacidad si abandonan el Programa DPF pero desean conservar los datos personales recogidos.
En particular, tras la salida, las organizaciones deben afirmar anualmente su compromiso de aplicar todos los principios del DPF a los datos conservados o proporcionar una protección adecuada a través de otros medios autorizados.
¿Quién hace cumplir el Programa Marco de Protección de Datos?
La Administración de Comercio Internacional o ITA, dependiente del Departamento de Comercio de EE.UU., administra el programa DPF.
Las organizaciones con sede en EE.UU. que reúnan los requisitos pueden autocertificar su cumplimiento del DPF UE-EE.UU., la Extensión del DPF UE-EE.UU. al Reino Unido o el DPF Suiza-EE.UU. a través del sitio web del programa Marco de Privacidad de Datos (DPF) de la ATI.
Una vez que una organización autocertifica su cumplimiento, debe adherirse a los Principios DPF, que son de obligado cumplimiento en virtud de la legislación estadounidense.
Breve historia del marco de protección de datos UE-EE.UU.
Como prometí, voy a repasar la historia de las transferencias de datos personales entre Estados Unidos y Europa para ayudarle a entender cómo hemos llegado al Programa Marco de Privacidad de Datos UE-EE.UU. - y arrojar algo de luz sobre por qué la gente ya está discutiendo un posible caso Schrems III.
El marco de puerto seguro y Schrems I
En 2000, el Marco de Puerto Seguro dictaminó las transferencias internacionales de datos entre Estados Unidos y Europa. Este acuerdo estuvo en vigor durante más de una década y permitió que los datos cruzaran entre fronteras sin depender de las Cláusulas Contractuales Tipo o CEC.
En él se esbozan siete principios clave, entre los que se incluyen:
- Aviso
- Elección
- Traslado
- Seguridad
- Integridad de los datos
- Acceda a
- Ejecución
Pero el 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea (TJUE) dictó una sentencia que invalidaba el Acuerdo de Puerto Seguro.
¿Su razonamiento?
Max Schrems, un activista austriaco de la privacidad y abogado que en aquel momento era estudiante de Derecho, presentó una denuncia ante el Comisario de Datos irlandés afirmando que Facebook Irlanda compartía ilegalmente su información personal con el gobierno estadounidense.
Conocido como Schrems I, este caso se produjo después de que las revelaciones de Edward Snowden sacaran a la luz el programa de vigilancia de la Agencia de Seguridad Nacional (NSA).
Dado que rgpd sólo permite el acceso a datos personales cuando es estrictamente necesario, y que las leyes estadounidenses permiten a las agencias gubernamentales un acceso más amplio a esa información, el TJUE anuló el Programa de Puerto Seguro.
El Escudo de la privacidad UE-EE.UU. y Schrems II
El 12 de julio de 2016, la Comisión Europea sustituyó el Marco de Puerto Seguro por el Escudo de Privacidad UE-EE. UU.
Diseñado en colaboración entre el Departamento de Comercio de EE.UU. y la Comisión Europea, el Escudo de Privacidad UE-EE.UU. fue anulado por el TJUE el 16 de julio de 2020, alegando que las leyes estadounidenses no protegían los datos personales procedentes de la UE tras la rgpd.
De nuevo, esto fue el resultado de un caso entre Schrems y Facebook Ireland, conocido como Schrems II.
Schrems actualizó su denuncia original, alegando que Facebook seguía transfiriendo ilegalmente sus datos personales a Estados Unidos.
Este caso confirmó el uso de cláusulas contractuales tipo o CEC para proporcionar niveles adecuados de protección.
Fueron necesarios tres años de debate, redacción y reformulación para que la Comisión Europea y el gobierno de Estados Unidos llegaran a un acuerdo sobre el actual Programa Marco de Privacidad de Datos entre la UE y Estados Unidos.
El futuro del programa DPF
¿Cómo será el futuro del Programa Marco de Privacidad de Datos?
En este punto, las cosas parecen estar en el aire.
El DPF UE-EE.UU. es muy prometedor para salvaguardar los datos de los consumidores europeos, ya que permite la transferencia de información personal del EEE a EE.UU.
Sin embargo, en el horizonte se vislumbran posibles retos, por lo que es vital que las empresas se mantengan informadas y sean prudentes a la hora de transferir datos personales.
¿Un posible Schrems III en el horizonte?
En mi opinión, el DPF es un avance bienvenido, cuyo objetivo es equilibrar la protección de los derechos de privacidad y facilitar las transferencias de datos necesarias.
Aunque los expertos consideran sólido el nuevo mecanismo de recurso, cabe mencionar que Max Schrems (y su grupo NOYB) tienen intención de impugnar legalmente el marco.
Como consumidores conscientes de su privacidad, debemos entender que el DPF será objeto de revisiones anuales.
Las evaluaciones periódicas ponen de manifiesto la inquebrantable dedicación de las autoridades a la hora de abordar de forma proactiva las posibles amenazas a la privacidad de los consumidores.
Para proteger eficazmente nuestros datos, debemos considerar la posibilidad de complementar nuestras transferencias de datos a Estados Unidos con medidas adicionales. Es fundamental ser cauteloso cuando se trate de transferencias no incluidas en la "Lista Marco de Privacidad de Datos" oficial.
Para estos casos, el uso de medidas complementarias, como cláusulas estándar de protección de datos o normas corporativas vinculantes, puede proporcionar una capa adicional de seguridad.
Si un consumidor cree que se ha violado su derecho a la intimidad, tiene la opción de presentar una denuncia ante la autoridad nacional de protección de datos y acogerse al mecanismo de reparación recientemente introducido.
La posibilidad de colaboración a nivel estatal dentro de Estados Unidos, en particular con los marcos de privacidad de California, abre vías para medidas de protección de datos aún más sólidas que demuestran que las autoridades están explorando activamente formas de mejorar la privacidad de los consumidores, pero también pone de relieve la compleja naturaleza de la protección de datos transfronteriza.
En conclusión, el Marco de Privacidad de Datos UE-EE.UU. supone un importante paso adelante en la protección de los datos personales durante las transferencias transfronterizas.
Complementar las transferencias de datos con salvaguardias adicionales, especialmente las no cubiertas por el marco, es una medida inteligente para proteger su empresa.
Recuerde que su intimidad está en sus manos.
"El marco de protección de datos ha aportado una claridad largamente esperada por las empresas a ambos lados del Atlántico y simplifica en gran medida los procedimientos necesarios para las transferencias UE-EE.UU. Sin embargo, es poco probable que este sea el último giro de la historia. Sin embargo, es poco probable que este sea el último giro de la historia, y se vislumbran en el horizonte nuevos desafíos legales. Teniendo en cuenta las similitudes del Marco con el anterior "Escudo de la privacidad", es clave que los nuevos mecanismos de supervisión y aplicación establecidos en el Marco demuestren su eficacia para garantizar su viabilidad a largo plazo." - James Ó Nuanáin, CIPP/E, CIPM, CIPT
Cómo ayuda Termly al cumplimiento de la protección de datos
Si necesita cumplir leyes como la rgpd, Termly es su ventanilla única.
Con el respaldo de nuestro equipo jurídico y de nuestros expertos en privacidad de datos, tenemos todo lo que necesita, desde una plataforma que cumple la legislación vigente hasta una plataforma personalizable de (CMP) que puede configurar para cumplir los requisitos de consentimiento de inclusión y exclusión. Generador de Política de Privacidad hasta una plataforma personalizable gestión del consentimiento (CMP) que puede configurar para cumplir los requisitos de consentimiento de inclusión y exclusión.
También proporcionamos políticas legales y de sitios web adicionales necesarias para ayudar a empresas de todo tipo a agilizar los servicios de atención al cliente y protegerse mejor a sí mismas y a sus consumidores en línea, como nuestro Generador de Términos y Condiciones y el generador de devoluciones y política de devoluciones .
Ofrecemos opciones gratuitas y de pago. Los usuarios de Termly Pro+ tienen acceso a todo lo que ofrecemos.
Resumen
El programa Marco de Privacidad de Datos entre la UE y Estados Unidos afecta a empresas y consumidores de todo el mundo que desean transferir datos de forma segura desde la UE/EEE y Estados Unidos.
Pero la conversación en torno a las transferencias internacionales de datos de Europa a Estados Unidos probablemente no se detendrá aquí.
Puede confiar en que Termly estará aquí para mantenerse al día de las noticias sobre esta decisión de adecuación y de cualquier posible cambio si se produce una actualización en el futuro.
