Transferencias internacionales de datos de carácter personal y el nuevo marco de privacidad de datos UE-EE.UU
El nuevo Marco de Privacidad de Datos UE-EE.UU introduce nuevas garantías vinculantes al objeto de dar respuesta a cada uno de los motivos de inquietud puestos de manifiesto por el TJUE, en su día, en las Sentencias «Schrems I» y «Schrems II». Entre estas garantías se encuentran la limitación del acceso por parte de los servicios de inteligencia estadounidenses a los datos de la UE y el establecimiento de un Tribunal de Recurso en Materia de Protección de Datos, al que los ciudadanos de la UE tendrán acceso.
Esperemos que con la aprobación de este nuevo Marco de Privacidad de Datos se pueda no sólo «cerrar», definitivamente, la falta de garantías señalada por el TJUE y que provocó la invalidez de los dos marcos de privacidad anteriores (Safe Harbor y Privacy Shield) sino, sobre todo, establecer un nuevo marco seguro y duradero, mediante el que se puedan realizar las transferencias de datos personales necesarias UE-EE.UU.
Este trabajo se centra, tras abordar lo que podríamos denominar «cuestiones generales en materia de transferencias internacionales de datos de carácter personal», en el estudio de los diferentes esfuerzos llevados a cabo a nivel jurídico para establecer un marco regulatorio satisfactorio para las transferencias internacionales de datos de carácter personal UE-EE.UU., haciendo especial hincapié en el nuevo Marco transatlántico de Privacidad de Datos, recientemente aprobado.
Nota sobre el autor
PARTE I
TRANSFERENCIAS INTERNACIONALES DE DATOS DE CARÁCTER PERSONAL: CUESTIONES GENERALES
I. Planteamiento: el crecimiento exponencial, hoy día, de las transferencias internacionales de datos de carácter personal
II. Concepto de transferencia internacional de datos de carácter personal
III. Sujetos de una transferencia internacional de datos de carácter personal
IV. Tipología de transferencias internacionales de datos de carácter personal
IV.1. Atendiendo al criterio del país de destino de la transferencia internacional de datos
IV.2. Atendiendo a su objeto
IV.3. Atendiendo a los sujetos intervinientes
IV.4. Atendiendo a la finalidad o marco jurídico en el que se realizan
V. Decisiones de aplicación de la comisión relativas a las cláusulas contractuales tipo
V.1. Características principales de las Decisiones relativas a las cláusulas contractuales tipo
a) Función de las cláusulas contractuales tipo
b) Los subencargados
c) Las transferencias posteriores
d) Derechos de los interesados y garantías
e) Evaluación y diligencia
f) Medidas técnicas y organizativas
V.2. Derecho aplicable y competencia judicial internacional relativas a las cláusulas contractuales tipo
V.3. Cambios relevantes de las cláusulas contractuales tipo
V.4. Obligaciones para los importadores
PARTE II
TRANSFERENCIAS INTERNACIONALES DE DATOS DE CARÁCTER PERSONAL UE-EE.UU.
I. Antecedentes en la regulación de las transferencias internacionales de datos de carácter personal desde la UE a entidades ubicadas en los EE.UU.
II. Los principios de Safe Harbour o la apuesta por restaurar la confianza en las transferencias internacionales entre los EE.UU. y la UE.: «Scherems I»
III. Un nuevo esfuerzo (baldío) por restaurar la confianza en las transferencias internacionales entre los EE.UU. y la UE.: «Scherems II»
IV. La sentencia «Schrems II»
IV.1. Sobre el ámbito de aplicación del RGPD
IV.2. Sobre el nivel de protección adecuado para la transferencia de datos a terceros países
IV.3. Sobre las obligaciones de control de las autoridades
IV.4. Sobre la validez de la Decisión 2010/87/UE
IV.5. Sobre la validez de la Decisión «Escudo de Privacidad»
V. ¿Y a la tercera va la vencida?: el nuevo marco transatlántico de privacidad de datos
V.1. Contexto
V.2. Rasgos característicos
V.3. Especial atención a las reservas del Comité Europeo de Protección de Datos al nuevo Marco transatlántico de privacidad de datos
V.4. Valoración crítica
V.5. Perspectivas de futuro
Conclusiones
Bibliografía básica consultada y recomendada
Anexo.- Decisión de ejecución de la Comisión de 10 de julio de 2023, de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo al nivel adecuado de protección de los datos personales en el marco de privacidad de datos entre UE y los EE.UU.
Alfonso Ortega Giménez
Profesor Titular de Derecho internacional privado de la Universidad Miguel Hernández de Elche
