Ya es posible adherirse al Data Privacy Framework en EEUU

En relación con la adopción del Data Privacy Framework (“DPF”), la nueva decisión de adecuación entre la Unión Europea (“UE”) y los Estados Unidos (“EEUU”), del pasado 10 de julio (sobre la que publicamos una entrada en este blog), el Departamento de Comercio de EEUU ha publicado una nota de prensa en la que anuncia el lanzamiento de la página web para que las organizaciones estadounidenses que cumplan con determinados requisitos puedan auto-certificarse bajo el DPF.

Con este nuevo marco, las organizaciones estadounidenses tendrán la oportunidad de acceder a un mecanismo que cumple con las garantías adecuadas para facilitar la transferencia de datos personales de Europa a los EEUU, tal como lo establece el artículo 45 del Reglamento General de Protección de Datos (“RGPD”).

 

Asimismo, como indica el Departamento de Comercio estadounidense en su nota de prensa, las organizaciones que ya se encontrasen adheridas al invalidado Privacy Shield (más información al respecto en esta publicación), pueden comenzar a basarse inmediatamente en el nuevo DPF para llevar a cabo transferencias internacionales de datos con la UE, sin perjuicio de que deban auto-certificarse conforme al nuevo marco antes del 10 de octubre de 2023.

A modo enunciativo y no limitativo, algunos de los principales requisitos para adherirse al DPF (desarrollados ampliamente aquí y aquí) consistirían en: (i) disponer de una Política de Privacidad conforme al DPF; (ii) poner al alcance de los interesados un mecanismo independiente y gratuito para recurrir las decisiones adoptadas en relación con sus datos; o (iii) designar a una persona de contacto que se encargue de la gestión de determinadas materias objeto del DPF, entre otras cuestiones.

En paralelo, el Comité Europeo de Protección de Datos (“CEPD”), ha publicado una nota informativa sobre las transferencias de datos en virtud del DPF, con la intención de aclarar algunas cuestiones sobre este nuevo marco. Al respecto, el CEPD ha indicado que las organizaciones que no se encuentren adheridas al DPF no podrán basarse en el mismo para llevar a cabo transferencias internacionales de datos a los EEUU, debiendo estas basarse en otra de las garantías adecuadas establecidas en el artículo 46 del RGPD, que a su vez deberá tener en cuenta la evaluación realizada por la Comisión Europea sobre las medidas establecidas por el Gobierno de los EEUU (ver los considerandos 6 y 7 de la DPF).

Ramon Baradat, con la colaboración de Alexandra Martín