El passat 10 de juliol la Comissió Europea va adoptar una decisió d’adequació normativa per habilitar fluxos de dades segurs i fiables entre la UE i els EUA. Aquesta iniciativa es produeix tres anys després que el Tribunal de Justícia de la Unió Europea (TJUE) anul·lés la decisió d’adequació precedent, la Privacy Shield.
Tal i com estableix el Reglament General de Protecció de Dades, la Comissió Europea és la responsable per determinar el nivell adient sobre protecció de dades que ofereixen estats tercers. Entre els factors principals s’hi compten aspectes sobre drets humans i les llibertats fonamentals, lleis relatives a la seguretat pública, la defensa i la seguretat nacional.
En aquest sentit es considera que els EUA garanteixen un nivell adequat de protecció equiparable al de la UE, fet que implica la lliure circulació de les dades entre ambdós territoris. D’aquesta manera, des de l’Espai Econòmic Europeu (EEE) es podran realitzar transferències de dades a les entitats americanes adherides al Data Privacy Framework List, sense la necessitat d’establir garanties addicionals de protecció de dades.
Aquest fet esdevé un pas essencial en les transferències internacionals de dades. Aquest nou marc de privadesa estableix un seguit de criteris per garantir límits legals als serveis d’intel·ligència americans des del TJUE per limitar l’accés a dades de la UE.
En paral·lel es posa a disposició dels ciutadans europeus diversos òrgans imparcials d’impugnació, entre els quals s’inclou un Tribunal de Revisió de Protecció de Dades (DPRC), que durà a terme la tasca d’investigació per tal de resoldre les reclamacions presentades. També habilita circuits per imposar mesures reparatòries vinculants en cas que es dictamini la obtenció de dades vulnerant mesures de seguretat.
Aquest marc de privadesa comptarà amb mesures fiables per als ciutadans europeus proporcionant seguretat jurídica tant a les entitats europees com a les nord-americanes. Les entitats d’EUA hauran de complir amb les següents obligacions:
– Esborrar les dades personals quan deixin de ser necessàries per la finalitat per la qual es van recollir.
– Garantir el seguiment de la protecció de les dades quan aquestes es transfereixin a tercers.
– Assegurar els principis recollits en la normativa de protecció de dades.
– Realitzar aquelles obligacions necessàries per tal de garantir la seguretat de les dades.
La decisió d’adequació no es dirigeix als EUA com a estat sinó a les entitats nord-americanes que acreditin el compliment dels requisits de protecció. Les garanties fixades pels EUA afavoriran igualment els fluxos de dades de forma genèrica atès que s’apliquen quan es produeixen transferències de dades per mitjà d’altres mecanismes, com les clàusules contractuals i les normes corporatives vinculants.
Finalment, la CE haurà de realitzar la supervisió pel que fa als progressos dels EUA. La primera revisió tindrà lloc un any després de l’adopció i entrada en vigor de la decisió, el pròxim 10 de juliol de 2024, per tal de comprovar si el marc nord-americà funciona correctament. A partir d’aquest moment la CE podrà decidir amb quina freqüència es realitzaran les següents verificacions.
Subscriu-te i rep cada mes novetats i notícies al teu email