La Unión Europea ha adoptado finalmente una decisión de adecuación sobre el Marco de privacidad de datos UE-EE.UU. (DPF), lo que significa que la UE ha llegado a la conclusión de que Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos desde la UE a empresas estadounidenses en virtud de dicho marco. Esta decisión se produce tras años de negociaciones entre la UE y EE.UU., después de que el Tribunal de Justicia de la UE invalidara en 2020 la anterior decisión de adecuación del Escudo de Privacidad UE-EE.UU.
El nuevo marco incluye una serie de salvaguardias para proteger la privacidad de los ciudadanos de la UE, entre ellas:
- Un requisito para que las empresas estadounidenses cuenten con sólidas prácticas de protección de datos.
- Un mecanismo para que las personas puedan acceder a sus datos personales, corregirlos y oponerse a su tratamiento.
- Un nuevo mecanismo de recurso para las personas que consideren que se han vulnerado sus derechos.
La adopción de la Decisión de Adecuación supone un importante paso adelante en el tan esperado esfuerzo por garantizar que los datos puedan seguir circulando entre la UE y Estados Unidos, protegiendo al mismo tiempo la intimidad de las personas.
Sin embargo, la decisión de adecuación no está exenta de críticas. Algunos sostienen que las salvaguardias del marco no son suficientemente sólidas y que el acceso del Gobierno de EE.UU. a los datos personales sigue siendo demasiado amplio.
Seguridad para las empresas de la UE
En general, la adopción de la decisión de adecuación es positiva para las empresas europeas que están utilizando diversas herramientas estadounidenses.
Una de las principales preocupaciones de las empresas europeas tras la invalidación del Escudo de Privacidad UE-EE.UU. era que ya no podían estar seguras de que sus datos estarían protegidos si se transferían a Estados Unidos. El nuevo marco ofrece mayores garantías de que los datos estarán protegidos frente a los servicios de la administración estadounidense y, en consecuencia, las empresas europeas pueden sentirse ahora más seguras a la hora de utilizar herramientas estadounidenses. No obstante, las empresas estadounidenses que procesen datos deberán estar certificadas con arreglo al DPF.
¿Pueden ahora las empresas de la UE utilizar «legalmente» herramientas como Google Analytics?
El nuevo Marco de Privacidad de Datos entró en vigor el 10 de julio de 2023v, el mismo día en que fue adoptado por la Comisión Europea. Esto significa que las empresas europeas ya pueden utilizar legalmente herramientas estadounidenses, siempre que las empresas que las proporcionan cumplan los requisitos del marco. Empresas como Google o Meta ya han sido certificadas anteriormente y se espera que vuelvan a certificarse con el nuevo marco en breve.