Póngase en contacto con
News

30 años del acuerdo UE-EE.UU. sobre transferencia de datos

Category

Nube

Tiempo de lectura

5 minutos

Solución

Nube europea

Debido a la situación actual, en particular en lo que respecta a la vigilancia por parte de las autoridades estadounidenses, muchas empresas tienen problemas para cumplir los requisitos de la Decisión Schrems II y transferir datos personales a Estados Unidos. La dificultad de esta transferencia de datos personales a Estados Unidos radica principalmente en que existen leyes y prácticas en ese país que no garantizan la protección de datos a un nivel equivalente al de la UE. En particular, las agencias de inteligencia estadounidenses tienen amplias facultades para vigilar datos y comunicaciones incompatibles con las normas de protección de datos de la UE.

Los casi 30 años transcurridos desde la publicación en 1995 de la primera Directiva de la UE sobre protección de datos (95/46/CE) se han caracterizado por los desafíos en torno a la transferencia de datos a EE.UU.. Pronto hará 3 años que el TJCE invalidó el segundo acuerdo sobre transferencia de datos personales de la UE a EE.UU. debido a deficiencias manifiestas, y pronto hará un año que la UE y EE.UU. llegaron a un nuevo acuerdo "en principio". No está claro cuándo entrará en vigor este acuerdo. En el centro de todos estos acontecimientos se encuentra una cuestión que ha permanecido prácticamente inalterada desde 1995: ¿cumple la protección de datos personales en EE.UU. los elevados estándares de la UE?

Cronología de los acontecimientos más importantes relacionados con el tratamiento de datos personales de la UE en EE.UU:

24 de octubre de 1995:

La UE aprueba la Directiva 95/46/CE sobre protección de datos, que contiene normas básicas para el tratamiento de datos personales. Las transferencias de datos a terceros países sólo se permiten si se garantiza una protección adecuada de dichos datos durante el proceso de transferencia.

Fuente: EUR-Lex EUR-Lex - 31995L0046 - ES - EUR-Lex (europa.eu)


26 de julio de 2000:

La Comisión Europea introduce el Acuerdo de Puerto Seguro, que permite a las empresas transferir datos personales de ciudadanos de la UE a Estados Unidos siempre que las empresas estadounidenses correspondientes cumplan determinadas normas de protección de datos.

Fuente: EUR-Lex https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32000D0520


9 de junio de 2013:

El ex contratista de inteligencia estadounidense Edward Snowden publica documentos que muestran que el gobierno de Estados Unidos había estado recopilando cantidades masivas de datos de ciudadanos estadounidenses y extranjeros. Esto incluía la vigilancia de ciudadanos y empresas de la UE.

Fuente: The Guardian https://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower-surveillance


6 de octubre de 2015:

El Tribunal de Justicia de la Unión Europea (TJUE) emite una sentencia que invalida el Acuerdo de Puerto Seguro, indicando que no proporcionaba una protección adecuada de los datos personales.

Fuente: Tribunal de Justicia de la Unión Europea EUR-Lex - 62014CJ0362 - ES - EUR-Lex (europa.eu)


12 de julio de 2016:

Entra en vigor el Marco del Escudo de Privacidad UE-EE.UU., que proporciona un mecanismo para que las empresas transfieran los datos personales de los ciudadanos de la UE a EE.UU. siempre que las empresas estadounidenses correspondientes cumplan determinadas normas de protección de datos.

Fuente: Comisión Europea Transferencias de datos UE-EE.UU. (europa.eu)


25 de mayo de 2018:

Entra en vigor el GDPR, también conocido como Reglamento General de Protección de Datos. Es un reglamento de protección de datos dentro de la legislación de la UE destinado a reforzar la protección de los datos personales y establecer normas coherentes de protección de datos en todos los Estados miembros de la UE. El GDPR sustituye a la anterior Directiva de Protección de Datos de la UE de 1995 e introduce cambios y aumentos significativos para adecuar la protección de datos al panorama digital actual.


16 de julio de 2020:

El TJUE declara inválido el Marco del Escudo de Privacidad UE-EE.UU., ya que no ofrece una protección adecuada de los datos personales. Además, el TJUE restringe aún más el uso de cláusulas contractuales tipo.

Fuente: Tribunal de Justicia de la Unión Europea El Tribunal de Justicia invalida la Decisión 2016/1250 sobre la adecuación de la protección proporcionada por el Escudo de Protección de Datos UE-EE.UU. (europa.eu).

Para más detalles, descargue nuestro Whitepaper CLOUD Act.


9 de septiembre de 2020:

La Comisión Irlandesa de Protección de Datos (DPC) emite una medida cautelar contra Facebook Ireland Limited y Facebook Inc. y pide que se suspendan las transferencias de datos personales de la UE a Estados Unidos basadas en cláusulas contractuales estándar.

Fuente: TechCrunch https://techcrunch.com/2020/09/09/facebook-told-it-may-have-to-suspend-eu-data-transfers-after-schrems-ii-ruling/


14 de mayo de 2021:

Facebook pierde su caso en el Tribunal Superior irlandés impugnando la orden provisional de suspender las transferencias de datos.

Fuente: Tribunal Superior de Irlanda https://www.dataprotection.ie/sites/default/files/uploads/2021-08/Facebook%20v.%20DPC%20Judgment%2014.5.21.pdf https://techcrunch.com/2021/05/14/facebook-loses-last-ditch-attempt-to-derail-dpc-decision-on-its-eu-us-data-flows/


4 de junio de 2021:

La Comisión Europea publica nuevas cláusulas contractuales tipo con respecto a la transferencia de datos personales a países fuera de la UE. Estas cláusulas contienen requisitos más estrictos para que las empresas garanticen que el nivel de protección de datos en el país de destino pertinente es adecuado. La utilización de estas cláusulas por sí solas no suele ser suficiente. Deben utilizarse medidas técnicas y organizativas adicionales para garantizar la seguridad de las transferencias de datos.

Fuente: Comisión Europea https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_en


25 de marzo de 2022:

La Comisión Europea y Estados Unidos anuncian que han llegado a un acuerdo de principio sobre un nuevo Marco Transatlántico de Protección de Datos.

Fuente: Comisión Europea https://ec.europa.eu/commission/presscorner/detail/en/IP_22_2087


13 de diciembre de2022:

La Comisión Europea inicia el procedimiento para adoptar una resolución de adecuación relativa al Marco de Protección de Datos UE-EE.UU. y publica un proyecto de decisión de adecuación sobre el "Nuevo Marco Transatlántico de Protección de Datos" de 25 de marzo de 2022.

Fuente: Comisión Europea La Comisión publica un proyecto de decisión de adecuación para la UE-EE.UU. (europa.eu)


27 de diciembre de 2022: Expira el periodo de transición para pasar a las nuevas cláusulas contractuales tipo.

Fuente: Noerr Transferencia internacional de datos: El periodo de transición para las antiguas cláusulas contractuales tipo finaliza el 27 de diciembre de 2022: las empresas deben revisar urgentemente sus contratos (noerr.com)


14 de febrero de 2023:

La Comisión de Libertades Civiles, Justicia y Asuntos de Interior emite un proyecto de propuesta de resolución en el que determina que el sugerido "marco de privacidad de datos UE-EE.UU. no crea una equivalencia real en el nivel de protección" y pide encarecidamente a la Comisión que no adopte ninguna decisión de adecuación.

Fuente: Parlamento Europeo
https://www.europarl.europa.eu/doceo/document/LIBE-RD-740749_EN.pdf


28 de febrero de 2023:

En una declaración relativa al proyecto de un tercer acuerdo de protección de datos entre la UE y EE.UU., el Consejo Europeo de Protección de Datos (CEPD) señala que el TJCE exige una "protección esencialmente equivalente" de los datos, por lo que requiere nuevas modificaciones.
https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf