El marco de privacidad de datos (DPF) UE-EE. UU. se anunció el 10 de julio de 2023 [1] y reemplaza al Escudo de privacidad, que fue declarado ilegal por el Tribunal de Justicia de la Unión Europea en julio de 2020 [2] . Por lo tanto, parece que la decisión de la corte Meta es algo académica. Estoy seguro de que Meta se registrará con la Comisión Federal de Comercio según los estándares del DPF lo más rápido posible y luego los datos personales se transferirán libremente de la UE (de hecho, del EEE) a los EE. UU.
La decisión de adecuación del DPF concluye que Estados Unidos garantiza un nivel adecuado de protección, comparable al de la Unión Europea, para los datos personales transferidos desde la UE a empresas estadounidenses bajo el nuevo marco. Sobre la base de la nueva decisión de adecuación, los datos personales pueden fluir de forma segura desde la UE a las empresas estadounidenses que participan en el DPF, sin tener que establecer medidas de protección de datos adicionales.
El DPF introduce nuevas garantías vinculantes para abordar todas las inquietudes planteadas por el Tribunal de Justicia de la Unión Europea, incluida la limitación del acceso a los datos de la UE por parte de los servicios de inteligencia de los EE. tendrán acceso los particulares. El nuevo marco introduce mejoras significativas en comparación con el mecanismo que existía bajo el Escudo de Privacidad. Por ejemplo, si la DPRC determina que los datos se recopilaron en violación de las nuevas salvaguardas, podrá ordenar la eliminación de los datos. Las nuevas salvaguardas en el ámbito del acceso gubernamental a los datos complementarán las obligaciones que tendrán que suscribir las empresas estadounidenses que importen datos de la UE. Las empresas estadounidenses podrán unirse al DPF comprometiéndose a cumplir con un conjunto detallado de obligaciones de privacidad,
Las personas de la UE se beneficiarán de varias vías de reparación en caso de que las empresas estadounidenses manejen incorrectamente sus datos. Esto incluye mecanismos de resolución de disputas independientes y gratuitos y un panel de arbitraje.
Sin embargo, el DPF no está disponible para todas las empresas estadounidenses. Las organizaciones de los sectores bancario y de telecomunicaciones no están reguladas por la Comisión Federal de Comercio y no pueden confiar en el DPF. Tienen que utilizar otras soluciones como los SCC.
Las salvaguardas implementadas por los EE. UU. también facilitarán los flujos de datos transatlánticos de manera más general, ya que se aplican cuando los datos se transfieren mediante el uso de otras herramientas, como SCC y BCR, y dado que el DPF es una decisión de adecuación de la UE con respecto a los datos. régimen de privacidad en los EE. UU., esto puede simplificar los requisitos de evaluación del impacto de transferencia de la UE.
El 10 de julio de 2023, Max Schrems y NOYB anunciaron rápidamente que presentarían otro caso ante el Tribunal de Justicia de las Comunidades Europeas. [3] El marco de privacidad de datos UE-EE. UU. puede ser una solución temporal.
El DPF y los SCC de la UE están destinados a proporcionar soluciones de transferencia de datos para los datos personales que se transfieren de la UE/EEE a los EE. UU. Muchas multinacionales operan en otros países y, por lo tanto, el DPF no ayuda cuando los datos personales se transfieren de China a los EE. UU. o de Sudáfrica a los EE. UU. Esto significa que una multinacional con oficinas en muchos países del mundo tiene que sortear diferentes requisitos y restricciones de transferencia de datos.
Actualizaciones operativas importantes sobre el marco de privacidad de datos UE-EE. UU. del Departamento de Comercio de EE. UU.
Algunos elementos clave a continuación.
Las organizaciones con sede en los EE. UU. que autocertificaron su compromiso de cumplir con los principios del marco del Escudo de la privacidad entre la UE y los EE. UU. deben cumplir con los principios del DPF entre la UE y los EE. UU., lo que incluye actualizar sus políticas de privacidad antes del 10 de octubre de 2023.
Esas organizaciones no necesitan realizar una presentación de autocertificación inicial por separado para participar en el DPF UE-EE. UU. y pueden comenzar a confiar inmediatamente en la decisión de adecuación del DPF UE-EE. UU. para recibir transferencias de datos personales de la Unión Europea/Espacio Económico Europeo.
La actualización y el cambio de nombre de los principios de privacidad bajo el DPF UE-EE. UU. no cambia la fecha de vencimiento de la recertificación de dicha organización.
Las organizaciones que autocertificaron su compromiso de cumplir con los Principios del Marco del Escudo de Privacidad UE-EE. UU., pero que no deseen participar en el DPF UE-EE. UU. deben completar, de acuerdo con los procedimientos de la Administración de Comercio Internacional (ITA), el proceso de retiro mencionado (f) del Principio Suplementario de Autocertificación.
A partir del 17 de julio de 2023, las organizaciones elegibles en los Estados Unidos que deseen autocertificar su cumplimiento de conformidad con la Extensión del Reino Unido al DPF UE-EE. UU. pueden hacerlo; sin embargo, no pueden comenzar a depender de la Extensión del Reino Unido al DPF UE-EE. Entrada en vigor del DPF UE-EE.UU.
El 17 de julio de 2023 entrarán en vigor los Principios del marco de privacidad de datos de Suiza y EE. UU. (DPF de Suiza y EE. UU.). Las organizaciones que autocertificaron su compromiso de cumplir con los Principios del marco del Escudo de privacidad de Suiza y EE. UU. deben cumplir con los Principios del DPF de Suiza y EE. UU., lo que incluye actualizar sus políticas de privacidad antes del 17 de octubre de 2023.
El 17 de julio de 2023, la ITA lanzará el sitio web del programa Marco de privacidad de datos (DPF) ( https://lnkd.in/eng9mbNc ) para permitir que las organizaciones con sede en los EE. UU. realicen presentaciones iniciales de autocertificación para participar en el EU-US DPF y, según corresponda, la Extensión del Reino Unido al DPF UE-EE. UU. y/o al DPF Suiza-EE. Extensión al DPF UE-EE.UU. y/o al DPF Suiza-EE.UU. El sitio web del programa DPF también proporcionará una variedad de materiales de orientación y recursos relacionados.
Por Robert Bond, abogado sénior, Ley de Sociedades de Privacidad
Fuente: complianceandethics.org