Ante el acuerdo al que llegaron los representantes de EE.UU. y la UE para la rápida aprobación de un marco legal que permita sustituir al anterior Safe-Harbor garantizando el respeto de las normas Europeas acerca de privacidad y protección de datos (US-EU Privacy Shield, en adelante, el Acuerdo), el Supervisor Europeo de Protección de Datos (SEPD) a emitido un Dictamen preliminar en el que analiza el Acuerdo, y emite su opinión acerca de medidas adicionales a tener en cuenta antes de la presentación de dicho Acuerdo al Parlamento y Consejo Europeos.
En este sentido, se han identificado tres puntos clave, o mejoras esenciales, que se recomiendan para dar correcto cumplimiento de la Carta de Derechos Fundamentales de la Unión Europea (la Carta) y el artículo 16 del Tratado de Funcionamiento de la Unión Europea (TFEU):
- Las garantías deberán aplicarse a todas las personas, no sólo a los nacionales de la UE.
- Las disposiciones de recurso jurisdiccional son eficaces en el sentido de la Carta.
- Las transferencias de datos sensibles de forma masiva no están autorizadas.
A continuación hacemos un breve extracto de las conclusiones de dicho dictamen, cuyo texto íntegro (en inglés) puede consultarse aquí:
1) Se espera que las disposiciones sustantivas del Acuerdo se correspondan total o parcialmente con las garantías esenciales del derecho a la protección de datos de la UE, como por ejemplo los derechos de los interesados, la supervisión independiente o el derecho a la tutela judicial efectiva. (Recordemos que estos puntos son precisamente de los mas criticados del anterior Safe Harbor, y que por tanto entendemos que si el nuevo marco no los cumple, no prosperará).
2) El Acuerdo de momento no constituye, técnicamente, una decisión de adecuación per se, aunque crea una presunción de cumplimiento acerca de las transferencias soportado por una base jurídica concreta, por lo que es crucial que se refuercen todas las garantías necesarias para evitar nuevas vulneraciones de la Carta.
3) Con el propósito de garantizar la seguridad jurídica, el SEPD recomienda las siguientes mejoras o aclaraciones, que deberán incluirse en el Acuerdo en sí o durante la ejecución del mismo:
- Deberá respetarse el papel de los supervisores para dar cumplimiento al artículo 8.3 de la Carta.
- Las bases jurídicas para las transferencias deben cumplir con las garantías del Acuerdo, prevaleciendo éste ante disposiciones contradictorias respecto a una base jurídica concreta.
- En caso de falta de protección para los datos transferidos a las autoridades a nivel de Estado, deberán incluirse las medidas relativas a los datos que ya se hubieran compartido.
- Las definiciones acerca de las operaciones de tratamiento e información personal deberán alinearse para su comprensión en virtud de la Unión Europea. En cualquier caso, si no se alinearan totalmente, la aplicación de los conceptos de deberá diferir sustancialmente de lo que entienda la legislación Europea al respecto.
- Deberá incluirse en la declaración explicativa las condiciones específicas para que los datos puedan ser transferidos de forma masiva.
- Asimismo, deberá incluirse que las Partes tienen la intención de aplicar todo lo relativo a las notificaciones de violación de información para limitar la omisión o retrasos excesivos de las mismas.
- En relación a la retención de datos, se complementa con la especificación para los fines específicos para los que fueron transferidos.
- Las Partes deberán incrementar sus esfuerzos para asegurar que las restricciones al derecho de acceso se limitan a lo indispensable para preservar los intereses públicos y reforzar la obligación de transparencia.
- Deberá incluirse una declaración explicativa detallada que enumere específicamente:
- Las autoridades de control que tendrán competencia en materia de protección de datos y el mecanismo mediante el que las Partes se informarán mutuamente acerca de cambios futuros-
- Los poderes efectivos que éstas pueden ejercer.
- La identidad y datos del punto de contacto, que ayuden a la identificación del órgano de control competente.
Por último, el SEPD recuerda que cualquier interpretación, aplicación y medida de aplicación del Acuerdo se debe hacer de forma compatible con los principios constitucionales de la UE, independientemente de las mejoras que se puedan incorporar siguiendo las recomendaciones del Dictamen.
Las anteriores recomendaciones y comentarios se han realizado de acuerdo al texto preliminar del Acuerdo US-EU Privacy Shield, disponible aquí.
Marc Rius
Textos referidos:
- EU-US Privacy Shield, acuerdo preliminar.
- Dictamen del SEPD (Opinion 1/2016).