Archivo por meses: febrero 2016

Dictamen preliminar del Supervisor Europeo de Protección de Datos referido al acuerdo US-UE Privacy Shield

Posted on por

Ante el acuerdo al que llegaron los representantes de EE.UU. y la UE para la rápida aprobación de un marco legal que permita sustituir al anterior Safe-Harbor garantizando el respeto de las normas Europeas acerca de privacidad y protección de datos (US-EU Privacy Shield, en adelante, el Acuerdo), el Supervisor Europeo de Protección de Datos (SEPD) a emitido un Dictamen preliminar en el que analiza el Acuerdo, y emite su opinión acerca de medidas adicionales a tener en cuenta antes de la presentación de dicho Acuerdo al Parlamento y Consejo Europeos.

En este sentido, se han identificado tres puntos clave, o mejoras esenciales, que se recomiendan para dar correcto cumplimiento de la Carta de Derechos Fundamentales de la Unión Europea (la Carta) y el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFEU):

  • Las garantías deberán aplicarse a todas las personas, no sólo a los nacionales de la UE.
  • Las disposiciones de recurso jurisdiccional son eficaces en el sentido de la Carta.
  • Las transferencias de datos sensibles de forma masiva no están autorizadas.

A continuación hacemos un breve extracto de las conclusiones de dicho dictamen, cuyo texto íntegro (en inglés) puede consultarse aquí:

1) Se espera que las disposiciones sustantivas del Acuerdo se correspondan total o parcialmente con las garantías esenciales del derecho a la protección de datos de la UE, como por ejemplo los derechos de los interesados, la supervisión independiente o el derecho a la tutela judicial efectiva. (Recordemos que estos puntos son precisamente de los mas criticados del anterior Safe Harbor, y que por tanto entendemos que si el nuevo marco no los cumple, no prosperará).

2) El Acuerdo de momento no constituye, técnicamente, una decisión de adecuación per se, aunque crea una presunción de cumplimiento acerca de las transferencias soportado por una base jurídica concreta, por lo que es crucial que se refuercen todas las garantías necesarias para evitar nuevas vulneraciones de la Carta.

3) Con el propósito de garantizar la seguridad jurídica, el SEPD recomienda las siguientes mejoras o aclaraciones, que deberán incluirse en el Acuerdo en sí o durante la ejecución del mismo:

  • Deberá respetarse el papel de los supervisores para dar cumplimiento al artículo 8.3 de la Carta.
  • Las bases jurídicas para las transferencias deben cumplir con las garantías del Acuerdo, prevaleciendo éste ante disposiciones contradictorias respecto a una base jurídica concreta.
  • En caso de falta de protección para los datos transferidos a las autoridades a nivel de Estado, deberán incluirse las medidas relativas a los datos que ya se hubieran compartido.
  • Las definiciones acerca de las operaciones de tratamiento e información personal deberán alinearse para su comprensión en virtud de la Unión Europea. En cualquier caso, si no se alinearan totalmente, la aplicación de los conceptos de deberá diferir sustancialmente de lo que entienda la legislación Europea al respecto.
  • Deberá incluirse en la declaración explicativa las condiciones específicas para que los datos puedan ser transferidos de forma masiva.
  • Asimismo, deberá incluirse que las Partes tienen la intención de aplicar todo lo relativo a las notificaciones de violación de información para limitar la omisión o retrasos excesivos de las mismas.
  • En relación a la retención de datos, se complementa con la especificación para los fines específicos para los que fueron transferidos.
  • Las Partes deberán incrementar sus esfuerzos para asegurar que las restricciones al derecho de acceso se limitan a lo indispensable para preservar los intereses públicos y reforzar la obligación de transparencia.
  • Deberá incluirse una declaración explicativa detallada que enumere específicamente:
    • Las autoridades de control que tendrán competencia en materia de protección de datos y el mecanismo mediante el que las Partes se informarán mutuamente acerca de cambios futuros-
    • Los poderes efectivos que éstas pueden ejercer.
    • La identidad y datos del punto de contacto, que ayuden a la identificación del órgano de control competente.

Por último, el SEPD recuerda que cualquier interpretación, aplicación y medida de aplicación del Acuerdo se debe hacer de forma compatible con los principios constitucionales de la UE, independientemente de las mejoras que se puedan incorporar siguiendo las recomendaciones del Dictamen.

Las anteriores recomendaciones y comentarios se han realizado de acuerdo al texto preliminar del Acuerdo US-EU Privacy Shield, disponible aquí.

Marc Rius

Textos referidos:

 

Declaración del WP29 acerca del plan de acción para la implementación del Reglamento General de Protección de Datos

Posted on por

El pasado 2 de febrero, el Grupo de Trabajo del Artículo 29 publicó la citada declaración para orientar la implementación del nuevo Reglamento General de Protección de Datos (RGPD), en vista a su entrada en vigor y plena aplicación el primer semestre de 2018.

En este sentido, se publica el plan de acción para 2016 para marcar las prioridades principales, entre las que destaca un nuevo modelo de gobierno, en el que las Agencias de Protección de Datos tendrán un papel más activo debiendo cooperar entre ellas para garantizar la consistencia del RGPD. El plan de acción consta de los siguientes 4 puntos:

a) Configurar la estructura administrativa del Consejo Europeo de Protección de Datos (CEPD)

Se ha creado un grupo de trabajo formado por Presidente, Vice-Presidentes y el Supervisor Europeo de Protección de Datos (SEPD). El papel principal de dicho grupo de trabajo será el desarrollo de los sistemas de IT para CEPD en el contexto del one-stop shop, así como la supervisión de los recursos humanos, el presupuesto y las futuras normas de funcionamiento del CEPD.

b) Preparar el one stop shop y el mecanismo que le debe dar consistencia

  • Designación de la Autoridad de Protección de Datos principal.
  • Mecanismos para la cooperación en el cumplimiento del one stop shop.
  • Mecanismos de consistencia para el CEPD.

c) Desarrollar guías para Responsables y Encargados del tratamiento

Para ayudar a las empresas a implementar las provisiones del RGPD, se ha establecido como prioridad el desarrollo de guías o procedimientos específicos, especialmente relacionados con los siguientes aspectos:

  • El nuevo derecho de portabilidad.
  • El concepto de riesgo y las Evaluaciones de Impacto.
  • Certificaciones
  • Data Protection Officer.

d) Comunicaciones alrededor del CEPD y el RGPD

Para garantizar la visibilidad e identificación del nuevo marco legal:

  • Se creará una herramienta online de comunicación.
  • Se reforzarán las relaciones entre las Agencias e Instituciones de la UE y otros grupos de supervisión.
  • Se participará en eventos externos para promover el nuevo modelo de gobierno.

Se espera que el plan de acción anterior se revise periódicamente y se complemente en 2017 con nuevos objetivos y material entregable.

Por último, es importante destacar que el WP29 tiene la intención de contar con la opinión de las distintas partes afectadas, tanto de empresas como de organismos representativos de la sociedad civil, a fin de intercambiar opiniones y puntos de vista acerca de la implementación del RGPD.

Marc Rius

Textos referidos:

Nota de prensa del WP29

Posted on por

Como ya comentamos en el artículo anterior, los pasados días 2 y 3 de Febrero se reunión el Grupo de Trabajo del Artículo 29 (WP29), para analizar las consecuencias de la Sentencia del TJUE que derogó el Acuerdo Safe Harbor –Caso Schrems-, en relación con los restantes mecanismos para realizar transferencias internacionales a EE.UU., como son las Cláusulas Modelo de la UE o las Normas Corporativas Vinculantes (Binding Corporate Rules, o BCR).

Al respecto, el WP29 ha analizado la jurisprudencia Europea relacionada con los derechos fundamentales y ha concluido que deben respetarse las siguientes garantías esenciales cuando se transfieren datos a cualquier país terceo, sea o no de la UE:

  • El tratamiento de datos debe ser claro, preciso y basarse en normas accesibles.
  • Debe poder demostrarse la necesidad y proporcionalidad entre el acceso a los datos y los objetivos legítimos perseguidos.
  • Debe existir un mecanismo de control independiente, efectivo e imparcial.
  • Los individuos deben tener a su disposición mecanismos eficaces para defender sus derechos ante organismos independientes.

Asimismo, el WP29 se ha puesto a disposición de la Comisión Europea para analizar el resultado de las negociaciones acerca del “EU-U.S. Privacy Shield”, a fin de comprobar el cumplimiento de las garantías requeridas, y en especial analizar si las preocupaciones acerca del marco legal americano se ven aliviadas mediante el acuerdo sustituto de Safe Harbor, la cobertura que pueda proporcionar a los demás mecanismos de transferencia internacional, y verificar si se respetan las facultades de las Autoridades Europeas de Protección de Datos.

En vista de lo anterior, por el momento el resultado de la reunión ha sido relativamente decepcionante para aquellos que esperaban conocer hoy si el contrato modelo de la UE o las BCR siguen siendo válidas o no, si bien el WP29 ha solicitado a la Comisión Europea que le comuniquen todos los documentos relativos al “EU-U.S. Privacy Shield” antes de finales de Febrero, para poder tener una visión clara del acuerdo y poder completar su opinión acerca de las transferencias de datos a U.S.

Para ello, anuncian que en las próximas semanas se realizará una nueva reunión extraordinaria, en la que se tomará una decisión definitiva acerca de la validez de los contratos modelo de la UE y las BCR en relación con las transferencias a U.S..

Así pues, por el momento siguen siendo válidas, pero cuestionadas, por lo que no hay garantía de que las transferencias declaradas en base a dichos mecanismos sean válidas. Continua por tanto la incertidumbre en el sector, a la espera de que a finales de marzo se pueda tener algo más de información y empezar a ver la luz al final del túnel. Por el momento, todas las transferencias internacionales a EE.UU. siguen en tela de juicio.

Enlace a la nota de prensa (solo inglés): http://bit.ly/NP_WP29

Marc Rius

Aplicación de Compliance adaptada a la Circular 1/2016 de la Fiscalía General del Estado

Posted on por

Tengo el placer de anunciar que hemos finalizado el proceso de adaptación de nuestra aplicación Compliance 3.0 a los criterios establecidos en la Circular 1/2016 de la Fiscalía General del Estado.

No ha sido una labor complicada debido a que había mucha coincidencia con los criterios de nuestra metodología Compliance 3.0.

Esta aplicación utiliza como marco de referencia la ISO 19600 para la implantación de un CMS (Compliance Management System) y la Circular de la Fiscalía para cumplir los requisitos de un modelo de prevención y control de delitos.

Considero que puede ser de gran utilidad tanto para Compliance Officers como para despachos especializados en Compliance penal.

Los interesados pueden solicitar a marc.casado@ribastic.com el acceso a un vídeo de demostración y a un documento descriptivo del contenido y estructura de la aplicación.

Europa y Estados Unidos llegan a un acuerdo para el nuevo Acuerdo de Safe Harbor

Posted on por

Esta misma tarde se ha celebrado la rueda de prensa por parte del Vicepresidente de la Comisión Europea Andrus Ansip y la Comisaria Vera Jourova, comunicando el acuerdo político sobre el nuevo marco jurídico que dé cobertura a las transferencias de datos de carácter personal entre Europa y Estados Unidos.

El nuevo texto, que estará disponible en las próximas semanas (de momento, como hemos indicado, no es más que un acuerdo político sin transposición jurídica), recibe el nombre de EU-US Privacy Shield, y busca proteger los derechos fundamentales de los ciudadanos europeos, así como garantizar la certidumbre jurídica en las transferencias de datos.

En este sentido, se ha recordado que la principal crítica que recibió el anterior acuerdo Safe Harbor fue en relación al acceso masivo a datos personales por parte de los servicios de inteligencia americanos. En este sentido, por primera vez en la historia, se ha conseguido que EE.UU. se comprometa a presentar garantías detalladas y por escrito acerca de las salvaguardias y limitaciones que aplicarán a los programas de vigilancia.

Destacan asimismo las siguientes características o logros conseguidos después de meses de negociaciones:

  • A diferencia de Safe Harbor, el Privacy Shield nace con la intención de ser un instrumento jurídico vivo, que pueda revisarse y modificarse continuamente para adaptarlo a futuras situaciones.
  • Definición de salvaguardias claras y transparentes por parte del acceso de las Agencias de Seguridad de EE.UU. a datos de ciudadanos europeos, así como existencia de garantías vinculantes incluyendo límites y mecanismos de control.
  • Involucración directa por parte del Director de Inteligencia de la Casa Blanca y la Comisión Federal de Comercio.
  • Monitorización continuada sobre el funcionamiento y aplicación del nuevo Acuerdo. La Comisión Federal de Comercio y la Comisión Europea realizarán una revisión anual conjunta para evaluar los compromisos acordados, junto con expertos de EE.UU y la U.E.
  • Marco sancionador para aquellas empresas que incumplan los compromisos asumidos bajo el Privacy Shield, que contempla incluso la expulsión de dicho acuerdo.
  • Acceso a los tribunales de EE.UU. por parte de ciudadanos europeos en aspectos relacionados con sus datos personales.
  • Creación de un mecanismo de resolución de conflictos, y, previsiblemente, sumisión a Arbitraje.
  • Creación de una nueva figura, el Defensor del Pueblo (Ombudsman), independiente de los servicios de inteligencia de EE.UU, que seguirá y responsabilizará de quejas y solicitudes realizadas por individuos o Autoridades de Protección de Datos europeas.
  • Inclusión de nuevas obligaciones que deberán seguir las empresas sujetas al nuevo acuerdo y traten datos de ciudadanos europeos.

Se prevé que el acuerdo jurídico esté preparado en las próximas semanas y, si no hay oposición en cuanto a su contenido, pueda estar en vigor en un plazo de aproximadamente 3 meses, por lo que probablemente exista solución antes de verano.

En cualquier caso, la Comisaria Jourova ha comunicado esta mañana el acuerdo a la presidenta del Grupo de Trabajo del Artículo 29 (Comité de expertos en protección de datos de la Unión Europea) Isabelle Falque-Perrotin, y se comunicará mañana a las Autoridades Europeas de Protección de Datos.

Dichas Autoridades están precisamente reunidas hoy y mañana en Bruselas para discutir sobre el alcance de la Sentencia que anuló la Decisión acerca del Acuerdo Safe Harbor, y las consecuencias que la misma tiene sobre otros mecanismos de transferencia internacional de datos, como las cláusulas modelo o las Binding Corporate Rules (Normas Corporativas Vinculantes).

Por tanto, se espera que mañana se puedan tener ya las primeras conclusiones a nivel jurídico que puedan transmitir tanto el Grupo de Trabajo del Artículo 29 o las Autoridades de Protección de Datos acerca del nuevo acuerdo.

Asimismo, habrá que ver si este acuerdo político tiene algún efecto con las Autoridades de Protección de Datos, y si puede dar una nueva prórroga para declarar o adecuar las transferencias internacionales, cuyo plazo finalizó el pasado viernes 29 de enero.

Como ya hemos dicho anteriormente, de momento no deja de ser un acuerdo político de buenas intenciones entre ambas partes, y faltará ver como se plasma en un documento jurídico para poder valorar hasta que punto será un instrumento válido y efectivo.

Marc Rius

Enlaces de interés:

Vídeos de la rueda de prensa:

http://ec.europa.eu/avservices/video/player.cfm?ref=I115847

http://ec.europa.eu/avservices/video/player.cfm?ref=I115848

http://ec.europa.eu/avservices/video/player.cfm?ref=I115849

Nota de prensa:

http://europa.eu/rapid/press-release_IP-16-216_es.htm

Primera opinión de Max Schrems, quién incitó la anulación del Safe Harbor al denunciar a Facebook:

http://europe-v-facebook.org/PS_update.pdf