El pasado 7 de octubre el Presidente Biden firmó una Orden Ejecutiva sobre “Mejora de la Protección de las Actividades de Inteligencia de Señales de los Estados Unidos” (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities), una norma que constituye la base legal para implementar los compromisos adquiridos por los Estados Unidos en el contexto del nuevo Marco de Privacidad de Datos alcanzado entre la Unión Europea y los Estados Unidos(Trans-Atlantic Data Privacy Framework) en marzo de este año.
Esta Orden Ejecutiva, junto con el Reglamento sobre el nuevo Tribunal de revisión de protección de datos que la acompaña, aplican los compromisos asumidos por EEUU en el acuerdo de principio anunciado en marzo.
En concreto, para los europeos cuyos datos personales se transfieren a EEUU, la nueva Orden Ejecutiva prevé salvaguardias vinculantes que limitan el acceso a los datos por parte de las autoridades de inteligencia estadounidenses a lo que es necesario y proporcionado para proteger la seguridad nacional.
Además, establece la creación de un mecanismo de recurso independiente e imparcial, para investigar y resolver las quejas relativas al acceso a sus datos por parte de las autoridades de seguridad nacional de EE.UU;
Por otra parte, la Orden Ejecutiva exige a las agencias de inteligencia estadounidenses que revisen sus políticas y procedimientos para aplicar estas nuevas salvaguardias.
En conjunto, destaca la Comisión Europea, se trata de unas mejoras significativas en comparación con el anterior Escudo de la Privacidad, pues las nuevas salvaguardias establecidas en el ámbito del acceso gubernamental a los datos complementarán las obligaciones que tendrán que suscribir las empresas estadounidenses que importen datos de la UE.
Con la adopción de la Orden Ejecutiva y los Reglamentos que la acompañan, la Comisión puede ahora pasar a los siguientes pasos, que incluyen la propuesta de un proyecto de decisión de adecuación y el inicio de su procedimiento de adopción.
Contenido de la Orden Ejecutiva
En concreto, esta Orden Ejecutiva:
- Añade nuevas salvaguardias en relación con los derechos de los ciudadanos ante las actividades de inteligencia de señales de los Estados Unidos, incluyendo la exigencia de que dichas actividades se lleven a cabo sólo en la búsqueda de objetivos de seguridad nacional definidos; que se tenga en cuenta la privacidad y las libertades civiles de todas las personas, independientemente de su nacionalidad o país de residencia; y que se lleven a cabo sólo cuando sea necesario para promover una prioridad de inteligencia validada y sólo en la medida y de una manera proporcional a esa prioridad.
- Regula los requisitos de tratamiento de la información personal recopilada a través de las actividades de inteligencia de señales y amplía las responsabilidades de los funcionarios competentes en relación con la supervisión y el cumplimiento de la normativa para garantizar que se tomen las medidas adecuadas para remediar los supuestos de incumplimiento.
- Requiere que los elementos de la Comunidad de Inteligencia de Estados Unidos actualicen sus políticas y procedimientos para reflejar las nuevas salvaguardias de privacidad y libertades civiles contenidas en la Orden.
- Crea un mecanismo en dos niveles para que las personas de los Estados y organizaciones regionales de integración económica que reúnan los requisitos, designados de conformidad con la Orden, obtengan una revisión independiente y vinculante y una reparación en el supuesto de que la información personal recopilada a través de la inteligencia de señales de Estados Unidos fuese recopilada o tratada en violación de la legislación estadounidense aplicable, incluidas las salvaguardias mejoradas de la Orden.
Este mecanismo consta, en primera instancia, de un Oficial de Protección de las Libertades Civiles de la Oficina del Director de Inteligencia Nacional (Civil Liberties Protection Officer of the Office of the Director of National Intelligence, CLPO), acompañado de un Tribunal de Revisión de Protección de Datos (Data Protection Review Court, o DPRC), competente para revisar de forma independiente las resoluciones emanadas del primero.
- Pide a la Junta de Supervisión de la Privacidad y las Libertades Civiles que revise las políticas y los procedimientos de la Comunidad de Inteligencia para asegurarse de que son coherentes con la Orden Ejecutiva y que lleve a cabo una revisión anual del proceso de gestión de las reclamaciones, incluyendo la revisión de si la Comunidad de Inteligencia ha cumplido plenamente con las determinaciones hechas por la CLPO y el DPRC.
Estas medidas proporcionarán a la Comisión Europea una base para adoptar una nueva determinación de adecuación, que restablecerá un mecanismo de transferencia de datos importante, accesible y asequible en virtud de la legislación de la UE. También proporcionará una mayor seguridad jurídica a las empresas que utilizan las cláusulas contractuales tipo y las normas corporativas vinculantes para transferir datos personales de la UE a los Estados Unidos.
Nuevo mecanismo de supervisión
La nueva Orden Ejecutiva, junto con el Reglamento que la acompaña, establece un nuevo mecanismo de recurso para los ciudadanos de la UE en dos niveles, ante una autoridad independiente y vinculante.
En el primer nivel, los ciudadanos europeos podrán presentar una queja ante el llamado Oficial de Protección de las Libertades Civiles (CLPO) de la comunidad de inteligencia estadounidense. Esta persona es responsable de garantizar el cumplimiento de los derechos fundamentales y de privacidad por parte de las agencias de inteligencia estadounidenses y de gestionar en primera instancia las reclamaciones relacionadas con la posible violación de las salvaguardias reforzadas establecidas por la Orden o cualquier otra ley estadounidense aplicable y, en caso afirmativo, de determinar la solución adecuada.
La Orden Ejecutiva amplía las funciones legales existentes de la CLPO, estableciendo que sus decisiones serán vinculantes para la Comunidad de Inteligencia y estarán sujetas a un segundo nivel de revisión, y proporcionanod nuevas protecciones para garantizar la independencia de las investigaciones y determinaciones de la autoridad.
En el segundo nivel, los particulares tendrán la posibilidad de recurrir la decisión del responsable de la protección de las libertades civiles ante el recién creado Tribunal de Revisión de la Protección de Datos. Este Tribunal estará compuesto por miembros ajenos al Gobierno de los EEUU, nombrados sobre la base de sus cualificaciones específicas en la materia y que sólo podrán ser destituidos por causas graves (como haber sido condenados por un delito, o ser considerados mental o físicamente no aptos para desempeñar las tareas) y no podrán recibir instrucciones del Gobierno.
Este Tribunal de Revisión de la Protección de Datos tendrá competencias para investigar las quejas de los individuos de la UE, incluso para obtener información relevante de las agencias de inteligencia, y podrá tomar decisiones correctivas vinculantes. Por ejemplo, si el Tribunal de Revisión de la Protección de Datos concluyera que los datos se han recogido violando las salvaguardias previstas en el Decreto, podrá ordenar la supresión de los mismos.
Para mejorar aún más el examen del Tribunal, éste seleccionará en cada caso un defensor especial (a special advocate) con experiencia relevante para apoyar al Tribunal, que se asegurará de que los intereses del demandante estén representados ante el Tribunal y de que éste esté bien informado de los aspectos fácticos y jurídicos del caso. Esto asegurará que ambas partes estén representadas, e introduce más garantías en términos de juicio justo, reparación y debido proceso.
El Fiscal General ya publicado las normas pertinentes para la creación del DPRC (Attorney General Order No. 5517-2022).