La protección de datos personales es un pilar fundamental del ordenamiento jurídico europeo, con el Reglamento General de Protección de Datos (“RGPD”) como eje central. Sin embargo, en un contexto globalizado, la seguridad y la privacidad requieren de mecanismos que permitan tanto la cooperación internacional como la salvaguarda de derechos fundamentales. Dos sistemas que reflejan estos desafíos son el Sistema de Información de Schengen (“SIS”) y el Marco de Privacidad de Datos UE-EE.UU. (EU-U.S. Data Privacy Framework o “DPF”). Aunque operan en ámbitos distintos, ambos ilustran la complejidad de equilibrar la protección de datos con la seguridad y la transferencia de información transfronteriza.
El Sistema de Información de Schengen y la protección de datos
El SIS es una base de datos a gran escala utilizada en el Espacio Schengen para la cooperación entre autoridades de fronteras, policía, aduanas y justicia. Su finalidad principal es facilitar la seguridad, permitiendo el intercambio de alertas sobre personas buscadas, desaparecidas o inadmisibles, así como sobre objetos robados o involucrados en delitos.
Desde la perspectiva de la protección de datos, el SIS se rige por principios estrictos de minimización y proporcionalidad. Solo pueden registrarse datos personales esenciales para los fines legítimos del sistema, y estos deben ser exactos y actualizados. Además, los datos solo pueden utilizarse para los propósitos previstos en la normativa Schengen y deben eliminarse una vez expirado el plazo de conservación aplicable (generalmente, tres años para alertas sobre personas y entre cinco y diez años para objetos).
Los ciudadanos afectados por el tratamiento de sus datos en el SIS tienen derechos específicos otorgados por el Reglamento (UE) 2018/1861, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del SIS en el ámbito de las inspecciones fronterizas: derecho de acceso, rectificación de datos que contengan errores y supresión de datos almacenados ilegalmente. Estos derechos pueden ejercerse en cualquier Estado miembro, independientemente de qué país haya introducido la alerta. En caso de negativa, el afectado puede recurrir ante la autoridad nacional de protección de datos o los tribunales.
Dada la naturaleza sensible de la información tratada (datos personales vinculados a seguridad pública, justicia, etc.), el SIS impone estrictas medidas técnicas y organizativas para proteger los datos frente a accesos no autorizados o usos indebidos. Estas medidas incluyen, entre otras: a) la adopción de planes de seguridad, continuidad de las actividades y recuperación en caso de catástrofe; b) la aplicación de obligaciones de confidencialidad a todas las personas y entidades que manejen datos del SIS; c) el registro de los accesos y transferencias de datos; y d) la formación del personal autorizado en seguridad de datos y derechos fundamentales.
Un aspecto clave del SIS es que la normativa prohíbe la transferencia de sus datos a países terceros u organizaciones internacionales, garantizando así que la información personal no salga del espacio jurídico de la UE.
El Marco de Privacidad de Datos UE-EE.UU.: Transferencias internacionales con garantías
Las transferencias de datos personales fuera de la UE representan un desafío, especialmente cuando se dirigen a jurisdicciones con normativas diferentes en materia de privacidad. Para resolver esta cuestión en el contexto de EE.UU., la Comisión Europea aprobó en julio de 2023 el Marco de Privacidad de Datos UE-EE.UU., tras la invalidación del anterior “Privacy Shield” por el Tribunal de Justicia de la UE (Schrems II).
El DPF establece que las empresas estadounidenses pueden autocertificarse ante el Departamento de Comercio de EE.UU., comprometiéndose a cumplir con principios de protección de datos alineados con el RGPD. Entre estos principios destacan:
- Limitación de finalidad y minimización de datos.
- Seguridad y confidencialidad en el tratamiento.
- Derechos de acceso, rectificación y supresión.
- Mecanismos de resolución de disputas y supervisión por la Comisión Federal de Comercio.
Además, el marco incorpora salvaguardas para limitar el acceso de las agencias de inteligencia de EE.UU. a datos de ciudadanos europeos, creando un Tribunal de Recurso en Protección de Datos (Data Protection Review Court) como mecanismo independiente de revisión.
A pesar de estos avances, el DPF ha sido objeto de críticas por parte de organizaciones pro-privacidad, que consideran que EE.UU. no ha reformado completamente su legislación en materia de vigilancia masiva. Muchos expertos anticipan que este marco será objeto de un nuevo recurso ante el Tribunal de Justicia de la UE tan pronto como algún caso concreto llegue a los tribunales.
Conexiones entre el SIS y el Marco de Privacidad UE-EE.UU.
Aunque el SIS y el DPF operan en ámbitos distintos, ambos reflejan la importancia de proteger los datos personales cuando se procesan en entornos transfronterizos. Sin embargo, presentan enfoques contrastantes:
- El SIS restringe la transferencia de datos fuera de la UE para mantener la protección en un espacio jurídico homogéneo.
- El DPF permite la transferencia a EE.UU. bajo la premisa de que existen garantías equivalentes al RGPD.
Ambos sistemas comparten principios como la minimización de datos, la limitación de finalidad y la supervisión rigurosa. No obstante, la diferencia clave radica en el nivel de control sobre los datos: mientras que en el SIS la supervisión es puramente europea, en el DPF la UE debe confiar en los mecanismos de cumplimiento y en la voluntad de las autoridades estadounidenses.
Conclusión: Retos de la protección de datos en un mundo globalizado
El SIS y el Marco de Privacidad UE-EE.UU. ilustran los desafíos de proteger los datos personales en un mundo interconectado. El primero demuestra cómo un sistema centralizado puede operar bajo estrictos controles europeos, mientras que el segundo refleja los esfuerzos por extender las garantías del RGPD a jurisdicciones extranjeras mediante acuerdos diplomáticos.
El éxito del DPF dependerá de su efectividad en la práctica, de su cumplimiento por parte de las empresas estadounidenses y de su resistencia al escrutinio judicial europeo. Mientras tanto, el SIS sigue siendo un referente de cómo gestionar datos personales en un espacio transnacional sin comprometer los derechos fundamentales.
El debate sobre la privacidad y las transferencias internacionales de datos continúa. En este escenario, los abogados especializados en protección de datos juegan un papel clave asesorando a empresas y ciudadanos sobre cómo garantizar el cumplimiento normativo en un entorno en constante evolución.
¡Contacta con nosotros!
Los campos con asterisco (*) son obligatorios.