Declaración del Grupo de Trabajo del Artículo 29 sobre la Decisión de la Comisión Europea de la UE sobre el Escudo de Privacidad UE- EEUU ___________________________________________________________________________________

(traducción no oficial) El 12 de julio de 2016, la Comisión Europea aprobó la Decisión de adecuación del Escudo de Privacidad UE-EEUU. El GT29 da la bienvenida a las mejoras introducidas por el mecanismo del Escudo de Privacidad con respecto a la Decisión de Puerto Seguro. En su Dictamen WP238 sobre el proyecto de Decisión de adecuación del Escudo de Privacidad UE-EEUU, el GT29 expresó preocupaciones y pidió varias aclaraciones. El GT29 aplaude que la Comisión y las autoridades de Estados Unidos las hayan tenido en cuenta en la versión final de los documentos del Escudo de Privacidad. Sin embargo, algunas de estas preocupaciones siguen pendientes tanto en relación con los aspectos comerciales como respecto al acceso de las autoridades públicas de Estados Unidos a los datos transferidos desde la UE.

En cuanto a los aspectos comerciales, el GT29 lamenta, por ejemplo, la falta de normas específicas sobre decisiones automatizadas y de un derecho de oposición general. Tampoco está claro cómo los Principios del Escudo de Privacidad se aplicarán a los encargados de tratamiento.

En cuanto al acceso de las autoridades públicas a los datos transferidos a los EEUU bajo el Escudo de Privacidad, el GT29 habría esperado garantías más estrictas en relación con la independencia y los poderes del mecanismo del Ombudsperson. Respecto a la recopilación masiva de datos personales (bulk collection), el GT29 toma nota del compromiso de la ODNI de no llevar a cabo recogidas masivas e indiscriminadas de datos personales. No obstante, lamenta la falta de garantías concretas de que tal práctica no tiene lugar.

La primera revisión anual conjunta será, por tanto, un momento clave para una valoración más profunda de la solidez y eficacia del mecanismo del Privacy Shield. En este sentido, la competencia de las Autoridades de Protección de Datos (APD) en el desarrollo de la revisión

conjunta debe estar claramente definida. En particular, todos los miembros del equipo de revisión conjunta deberán tener la posibilidad de acceder directamente a toda la información necesaria para el desarrollo de su examen, incluyendo elementos que permitan una correcta evaluación de la necesidad y la proporcionalidad de la recogida y el acceso por parte de las autoridades públicas a los datos transferidos. Cuando participen en la revisión, los representantes nacionales del GT29 no sólo evaluarán si se han resuelto las cuestiones pendientes, sino también si las salvaguardias previstas en el Escudo de Privacidad UE-EEUU son viables y eficaces. Los resultados de la primera revisión conjunta en lo relativo al acceso por las autoridades públicas de Estados Unidos a los datos transferidos de conformidad con el Escudo de Privacidad también pueden afectar a herramientas de transferencia tales como las Normas Corporativas Vinculantes o las Cláusulas Contractuales Tipo.

Mientras tanto, ahora que el Privacy Shield ha sido adoptado, y teniendo presentes la Sentencia Schrems y el Dictamen WP238, las APD dentro del GT29 se comprometen a asistir de forma proactiva y con independencia a los titulares de los datos en el ejercicio de sus derechos en virtud del mecanismo del Escudo de Privacidad, en particular cuando traten reclamaciones. El GT29 proporcionará pronto a los responsables del tratamiento información sobre sus obligaciones de acuerdo con el Escudo y hará comentarios sobre la guía para los ciudadanos y sugerencias sobre la composición del órgano centralizado de la UE y sobre la organización práctica de la revisión conjunta.