La Autoridad Noruega de Protección de Datos está recibiendo actualmente una serie de preguntas sobre las normas para las transferencias de datos personales a los EE.UU. En este artículo intentamos responder algunas de ellas.
1. ¿Qué normas se aplican a la transferencia de datos personales a los Estados Unidos y qué es una decisión de adecuación?
En principio, no está permitido enviar datos personales fuera del EEE, pero existen una serie de excepciones. Por ejemplo, puede transferir datos personales a países, territorios y sectores que la Comisión Europea haya “aprobado” a través de una denominada decisión de adecuación .
Existe una decisión de adecuación para los Estados Unidos que establece que usted puede transferir datos personales a entidades estadounidenses incluidas en esta lista: Lista del Marco de Privacidad de Datos (dataprivacyframework.gov) .
Puede leer más sobre la decisión de adecuación en un artículo anterior en nuestro sitio web . También explica lo que dicen las reglas sobre la transferencia de datos personales a empresas estadounidenses que no están en la lista.
Aunque las normas de transferencia no establecen límites específicos, por supuesto siempre debes seguir las demás reglas del Reglamento General de Protección de Datos ( RGPD ).
2. Varios miembros de la Junta de Supervisión de Privacidad y Libertades Civiles (PCLOB) han sido destituidos. ¿Qué es la PCLOB y qué significa este avance para la decisión de adecuación en los Estados Unidos?
Cuando la Comisión Europea adopta una decisión de adecuación, analiza muchos factores diferentes para garantizar que los datos personales se procesarán de manera similar en el país en cuestión que en el EEE.
En la decisión de adecuación para Estados Unidos, la Comisión Europea destaca PCLOB (pclob.gov) . PCLOB monitorea las agencias de inteligencia de Estados Unidos para garantizar que no se violen los derechos de los individuos. Este es un elemento importante para garantizar que los datos personales transferidos a los Estados Unidos se procesen de manera satisfactoria.
El Presidente de Estados Unidos ha destituido recientemente a varios de los miembros de la junta directiva del PCLOB y, como resultado, al momento de publicar este artículo solo queda un miembro de la junta. Esto significa que en este momento el PCLOB no tiene quórum.
La Autoridad de Protección de Datos entiende que la intención es nombrar nuevos miembros de la junta directiva del PCLOB. Además, también entendemos que el PCLOB puede realizar algunas de sus tareas mientras tanto incluso si el órgano no está completamente constituido. Por lo tanto, el reemplazo de los miembros de la junta directiva no tiene por qué ser necesariamente un problema. Esto sólo se convertirá en un desafío si lleva mucho tiempo conseguir nuevos miembros en la junta directiva.
La decisión de adecuación para los Estados Unidos todavía se aplica.
De lo contrario, las leyes estadounidenses que se supone que protegen nuestros datos personales en ese país siguen aplicándose.
3. ¿Qué pasa si hay otros cambios en los EE.UU.?
Es la Comisión Europea la que decide si un país debe recibir una decisión de adecuación. La Comisión Europea también supervisa los cambios en las leyes o prácticas en los países que ya tienen una decisión de adecuación y evalúa si los cambios significan que nuestros datos personales ya no están suficientemente protegidos. Si el nivel de protección de los datos personales ya no es suficiente, la Comisión Europea podrá retirar las decisiones de adecuación.
Una decisión de adecuación permanece en vigor hasta que sea revocada por la Comisión Europea o el Tribunal de Justicia de la Unión Europea.
Esto significa que cualquier cambio en los EE.UU. no da lugar automáticamente a la revocación de la decisión de adecuación. Sin embargo, la Comisión Europea supervisará dichos cambios y los evaluará exhaustivamente.
Una decisión de adecuación también vincula a las autoridades de protección de datos. La Autoridad Noruega de Protección de Datos no puede revocar una decisión de adecuación ni prohibir las transferencias que se produzcan de conformidad con una decisión de adecuación.
4. ¿En qué debe pensar tu empresa?
Aunque actualmente contamos con normas que facilitan la transferencia de datos personales a los EE. UU., esperamos que estas normas tarde o temprano sean impugnadas en el Tribunal de Justicia Europeo. La situación en Estados Unidos también ha contribuido a la incertidumbre. Es importante tener esto en cuenta al comprar servicios estadounidenses.
El consejo más importante para su negocio es tener una estrategia de salida de lo que hará si ya no puede transferir datos personales a los EE. UU. de la misma manera que lo hace hoy. También hay que tener en cuenta que el uso de servicios en la nube estadounidenses en suelo europeo podría verse afectado negativamente si se revoca la decisión de adecuación. Lea nuestra guía sobre esto .
Si se revoca una decisión de adecuación, lo más probable es que no haya un período de transición. En ese caso, proporcionaremos más información.
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2025/informasjon-om-overforinger-til-usa