El 25 de marzo del año 2022, la Comisión Europea informó que la Unión Europea y los Estados Unidos de América (“EE.UU.”) arribaron a un acuerdo preliminar que contiene los lineamientos generales para un nuevo marco regulatorio que posibilite la transferencia internacional de datos personales entre países miembros de la Unión Europea y EE.UU., sin requerimiento de celebrar acuerdos específicos de transferencia conforme con los estándares establecidos por el Reglamento General de Protección de Datos (“RGPD”, o “GPDR” según sus siglas en inglés) de la Comunidad Europea.
Si bien dicho acuerdo preliminar aún no ha sido trasladado a un texto legal vinculante según anunciara la Comisión Europea[1], el entendimiento logrado implica un paso importante para retomar las transferencias directas de datos personales que se encuentra suspendida desde que, en julio de 2020, el Tribunal de Justicia de la Unión Europea (“TJUE”) declarara inválida la Decisión 2016/1250 de la Comisión Europea, que reconocía como adecuado el nivel de protección del esquema del Escudo de Privacidad (Privacy Shield) para las transferencias internacionales de datos a EE.UU. [2]
En aquella oportunidad, entre otras cuestiones, el TJUE entendió que no existía en el sistema de tratamiento de datos personales aplicado en EE.UU. un nivel de limitaciones y garantías acordes a las exigencias de la Unión Europea en lo que respecta a la protección de datos personales[3].
Ahora, mediante su comunicado oficial, la Comisión Europea informó que, a diferencia del acuerdo Privacy Shield, los lineamientos preliminares que se han convenido contienen como novedad un fuerte compromiso por parte de EE.UU. para implementar reformas que refuercen la protección en términos de privacidad y libertades civiles aplicables especialmente respecto de actividades de inteligencia de EE.UU, entre otras cuestiones.
Según el comunicado publicado, la iniciativa de acuerdo transatlántico de protección de datos personales es el resultado de más de un año de negociaciones con la promesa de proporcionar una base sólida para el flujo de datos, a los efectos de encontrar el balance entre la seguridad de los ciudadanos que son sujetos de datos personales y el comercio transatlántico en todos los sectores de la economía, incluidas las pequeñas y medianas empresas.
En ese sentido, se ha hecho referencia a una “economía digital inclusiva” como objetivo principal, en la que todas las personas puedan participar con protección adecuada y en la que las empresas de todos los tamaños de todos los países involucrados puedan prosperar.
Si bien el anuncio permite prever que el acuerdo constituirá un cambio relevante en el marco de la transferencia internacional de datos personales de países miembros de la Comunidad Europea a EE.UU., aún no es posible efectuar un análisis en concreto sobre el nuevo marco que regirá, pues las partes declararon oficialmente que, en lo sucesivo, los equipos del gobierno de los EE.UU. y la Comisión Europea continuarán su cooperación con el fin de traducir este acuerdo en documentos legales que deberán adoptarse en ambos lados para implementar este nuevo marco transatlántico de privacidad de datos [4].
Por ello, cabe señalar que desde el punto de vista fáctico, al presente no ha habido cambio alguno.
No obstante, el entendimiento anunciado permite presumir que ambos bloques se encuentran encaminados a encontrar una unión y restaurar la transferencia internacional de datos bajo un acuerdo a instrumentar en el corto plazo.
En este punto se destaca que, si se compatibilizara la regulación vigente en EE.UU. y a futuro la Comunidad Europea reconociera a dicho país como un destino que cuenta con una protección adecuada bajo el RGPD, sería de esperar que en otros países con estándares acordes a la RGPD -como la Argentina- se replique dicho criterio.
[1] Ver comunicado oficial de la Comisión Europea: https://ec.europa.eu/commission/presscorner/detail/%20en/ip_22_2087
[2][2] Sentencia dictada por el TJUE el 16 de julio de 2020, en la causa C-311/18, “Data Protection Commissioner, vs Facebook Ireland Ltd.”.
[3] Para acceder al fallo completo, según su traducción en español, ingrese a https://eur-lex.europa.eu/legal-content/es/TXT/?uri=CELEX%3A62018CJ0311
[4] Según precisa el anuncio oficial de la Comunidad Europea, “The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission’s assessment in its future adequacy decision.”