Orientaciones del CEPD sobre el Data Privacy Framework EU-EEUU

Como veníamos avanzando en entradas anteriores (1, 2, 3), la Decisión de adecuación de 10 de julio de 2023, entre la Unión Europea y Estados Unidos, que desarrolla el EU-US Data Privacy Framework (“DPF”), pretende facilitar el flujo de datos a empresas norteamericanas situadas fuera del Espacio Económico Europeo (“EEE”) cumpliendo con las garantías previstas en el marco jurídico europeo.

Recientemente, el Comité Europeo de Protección de Datos (“CEPD”) ha publicado dos documentos de preguntas más frecuentes para clarificar a interesados y organizaciones europeas afectadas distintas cuestiones relacionadas con el DPF.

En el primero de los documentos, el CEPD clarifica qué organizaciones de EEUU pueden optar al DPF. Así, sólo aquellas empresas sujetas a los poderes ejecutivos y de investigación de la Comisión Federal de Comercio o del Departamento de Transporte de Estados Unidos pueden auto-certificarse. Paralelamente, la organización del EEE que pretenda exportar datos debe realizar una serie de comprobaciones para verificar que la empresa de los EEUU mantiene un certificado activo, que cubre los datos a transferir. En caso contrario, deberán adoptarse otras de las garantías previstas en el Capítulo V del Reglamento General de Protección de Datos (“RGPD”), por ejemplo, la utilización de Normas Corporativas Vinculantes o la suscripción de las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea.

Para facilitar la comprobación, se ha elaborado un registro de empresas sujetas al DPF, elaborada por la Comisión Federal de Comercio y de acceso público. Además, dicha lista incluye qué organizaciones han sido dadas de baja del DPF, aunque el CEPD recuerda que, mientras sigan tratando con los datos recibidos durante su participación, deben seguir cumpliendo con los principios del DPF.

En cuanto a la aplicación del DPF, el CEPD distingue determinadas situaciones en función de la posición de la organización a la que se van a transmitir los datos. En primer lugar, cuando se trata de una filial de la sociedad estadounidense, se especifica que es necesario verificar que el certificado de la matriz también cubre a las empresas subsidiarias.

A continuación, la nota informativa distingue entre receptores en función de si actúan como responsables o como encargados del tratamiento. En el primer caso, se remarca que la empresa de la UE deberá asegurar el cumplimiento del resto de garantías del RGPD, mientras que en el segundo de los casos se recalca que la pertinencia al DPF no exime la suscripción de un contrato de encargo del tratamiento de conformidad con el artículo 28 del RGPD. Asimismo, en caso de que exista un subencargado del tratamiento, éste también deberá cumplir con los requisitos del DPF.

En un segundo documento, el CEPD ha dado respuesta a algunas de las preguntas frecuentes por parte de los interesados. Es interesante destacar algunos de los derechos que el marco DPF otorga a los interesados cuyos datos personales son transferidos a organizaciones certificadas bajo el DPF. Entre otros, se incluye el derecho a ser informado de la transferencia, así como la identidad de quien los recibe; y a acceder y corregir estos datos, eliminando los incorrectos u obtenidos ilegalmente.

También los interesados pueden acceder al registro de empresas elaborada por el Departamento de Comercio, y así verificar su certificación. Para formular cualquier duda o queja, deberán contactar primero con la organización correspondiente y, subsidiariamente, con la Autoridad de Protección de Datos del país del EEE en que resida o trabaje o desde la que se haya realizado la emisión de datos. Dicha Autoridad tratará la queja directamente o la remitirá a las autoridades de los EEUU en función de la autoridad competente designada por la organización inscrita en el DPF.

Autores: Ramon Baradat, con la colaboración de Adrián Vizuete