Resumen ejecutivo del Dictamen de las Autoridades europeas de protección de datos sobre la propuesta de decisión de adecuación ‘Privacy Shield’ (traducción no oficial) El 29 de febrero de 2016, la Comisión Europea publicó una comunicación y una propuesta de decisión de adecuación con textos anexos, que constituye un nuevo marco para la definición de los intercambios trasatlánticos de datos de carácter personal con fines comerciales: el Escudo de Privacidad entre la UE y Estados Unidos, que pretende reemplazar al anterior acuerdo de Puerto Seguro estadounidense invalidado por el Tribunal de Justicia de la Unión Europea (TJUE) el 6 de octubre de 2015, en el caso Schrems.
De acuerdo con el Artículo 30(1)(c) de la Directiva 95/46/CE, el Grupo de Trabajo del Artículo 29 (GT29) ha evaluado estos documentos a fin de dar su opinión sobre la propuesta de decisión de adecuación. El GT29 ha evaluado tanto los aspectos comerciales como las posibles excepciones a los principios del Escudo de Privacidad por motivos de seguridad nacional, aplicación de las leyes e interés público. El GT29 ha tenido en cuenta el marco jurídico de la protección de datos aplicable en la UE tal como se establece en la Directiva 95/46/CE, así como los derechos fundamentales a la vida privada y la protección de datos tal como están consignados en el Artículo 8 del Convenio Europeo de Derechos Humanos y los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea. También ha tomado en consideración el derecho a un recurso efectivo y a un juicio justo establecidos en el Artículo 47 de la Carta, así como la jurisprudencia relativa a los diversos derechos fundamentales. El análisis refleja, además, el razonamiento del TJUE en el caso Schrems en relación con margen de apreciación de la Comisión en una evaluación de adecuación. La verificación y los controles de los requisitos de adecuación deben realizarse estrictamente, teniendo en cuenta los derechos fundamentales a la privacidad y a la protección de datos y el número de personas afectadas por las transferencias. El Escudo de Privacidad debe valorarse en el actual contexto internacional, como es el surgimiento del big data y las crecientes exigencias de la seguridad. El alcance y la dimensión de la recopilación y el uso de datos personales se han incrementado espectacularmente desde que se promulgara la decisión original de Puerto Seguro en 2000. Las autoridades europeas de protección de datos destacan con firmeza la importancia de los principios que defienden. El GT29 en primer lugar celebra las mejoras significativas aportadas por el Escudo de Privacidad comparado con la decisión del Puerto Seguro. Observa que muchas de las deficiencias de Puerto Seguro que había subrayado en su carta del 10 de abril de 2014 a la Vicepresidente Reding han sido corregidas por los negociadores. El hecho de que los principios y garantías ofrecidos por el Escudo de Privacidad se hallen expuestos tanto en la decisión de adecuación como en sus anexos hace que la información sea tanto difícil de encontrar como, en ocasiones, incoherente. Esto contribuye a una falta global de claridad en relación con el nuevo marco y dificulta la accesibilidad a los interesados, las 2
organizaciones y las autoridades de protección de datos. De modo similar, falta claridad en el lenguaje utilizado. Por consiguiente, el GT29 urge a la Comisión a clarificarlo y hacerlo comprensible para ambos lados del Atlántico. Con respecto a la legislación aplicable, el GT29 destaca que si la decisión de adecuación del Escudo de Privacidad se adopta sobre la base de la Directiva 95/46/CE, debe ser coherente con el marco jurídico de protección de datos de la UE, tanto en su alcance como en su terminología. El GT29 considera que debe llevarse a cabo una revisión al poco tiempo de la entrada en vigor del Reglamento General de Protección de Datos, a fin de garantizar que la decisión de adecuación y sus anexos incluyan el mayor nivel de protección de datos ofrecido por el Reglamento. Sobre los aspectos comerciales del Escudo de Privacidad El objetivo clave del GT29 es asegurarse de que se mantenga un nivel de protección esencialmente equivalente al otorgado a las personas físicas cuando se traten datos personales de acuerdo con lo dispuesto en el Escudo de Privacidad. Si bien el GT29 no espera que el Escudo de Privacidad sea una mera copia del marco jurídico de la UE, considera que debería mantener lo sustancial de sus principios fundamentales y, por consiguiente, garantizar un nivel de protección "esencialmente equivalente". A pesar de las mejoras introducidas por el Escudo de Privacidad, el GT29 considera que algunos principios clave de la protección de datos tal como se definen en la legislación europea no están reflejados en la propuesta de decisión de adecuación y sus anexos, o han sido inadecuadamente sustituidos por nociones alternativas. Por ejemplo, el principio de retención de datos no se menciona expresamente y no se puede inferir del actual enunciado del Principio de Integridad de Datos y Limitación de la Finalidad. Además, no se hace mención a la protección que debe prestarse frente a las decisiones individuales automatizadas basadas exclusivamente en tratamientos automáticos. La aplicación del principio de limitación de finalidad al tratamiento de datos es también confusa. Con el fin de aportar más claridad al uso de varias nociones importantes, el GT29 sugiere que la UE y EEUU deberían acordar definiciones más claras con las que elaborar un glosario de términos incorporado a la sección de Preguntas Frecuentes del Escudo de Privacidad. Puesto que el Escudo de Privacidad se usará también para transferir datos fuera de EE. UU., el GT29 insiste en que las transferencias ulteriores desde una entidad del Escudo de Privacidad a destinatarios de un país tercero debe proporcionar el mismo nivel de protección en todos los aspectos definidos en el Escudo (incluida la seguridad nacional) y no debe llevar a que se rebajen o se sorteen los principios de protección de datos de la UE. En caso de preverse una transferencia ulterior a un país tercero bajo el Escudo de Privacidad, todas las organizaciones del Escudo de Privacidad deben tener la obligación de evaluar cualquier requisito obligatorio de la legislación nacional del país tercero aplicable al importador de los datos antes de la transferencia. En general, el GT29 concluye que el marco para las transferencias ulteriores de datos personales de la UE es insuficiente, en especial en lo relativo a su alcance, la limitación de su finalidad y las garantías aplicadas a las transferencias a Agentes.
3
Finalmente, aunque el GT29 aprecia los recursos adicionales puestos a disposición de los individuos para ejercer sus derechos, expresa su preocupación por el hecho de que el nuevo mecanismo de reparación puede demostrar ser en la práctica demasiado complejo, difícil de usar para las personas en la UE y, por lo tanto, ineficaz. Se necesita por ello una mayor aclaración de los diversos procedimientos de recurso: en concreto, cuando se muestren dispuestas a ello, las autoridades de protección de datos de la UE podrían considerarse como un punto de contacto natural para los ciudadanos de la UE en los diversos procedimientos, con la opción de actuar en su nombre. Excepciones por motivos de seguridad nacional Con respecto al acceso a datos por parte de autoridades públicas, tanto en la UE como en países terceros, el GT29 recuerda su análisis de los derechos fundamentales relevantes contenido en el Documento de trabajo sobre la justificación de las interferencias con los derechos fundamentales a la privacidad y la protección de datos mediante medidas de vigilancia al transferir datos personales (Garantías Esenciales Europeas) (WP237). Un gran paso adelante con respecto a la decisión de Puerto Seguro es que la actual propuesta de decisión profundiza en el posible acceso a datos tratados bajo el Escudo de Privacidad con fines de seguridad nacional y aplicación de las leyes. El GT29 reconoce este considerable paso, así como la mayor transparencia ofrecida por la Administración estadounidense sobre la legislación aplicable a la recogida de información (Anexo VI). No obstante, el GT29 observa no obstante que las declaraciones de la Oficina del Director de Inteligencia Nacional de EEUU (ODNI) no excluyen la recopilación masiva e indiscriminada de datos personales procedentes de la UE. El GT29 recuerda su postura, mantenida desde hace tiempo, de que la vigilancia masiva e indiscriminada de las personas nunca puede considerarse proporcionada y estrictamente necesaria en una sociedad democrática, tal como se requiere de acuerdo con la protección ofrecida por los derechos fundamentales aplicables. Es crucial además que exista una supervisión global de todos los programas de vigilancia. El GT29 toma nota de que existe la tendencia a recoger cada vez más datos a escala masiva e indiscriminada a causa de la lucha contra el terrorismo. Dadas las preocupaciones que esto suscita para la protección de los derechos fundamentales a la privacidad y a la protección de los datos, el GT29 se remite a las próximas sentencias del TJUE relativas a la recogida masiva e indiscriminada de datos. Con respecto a la reparación, el GT29 celebra el establecimiento de un Ombudsperson como nuevo mecanismo de reparación. Esto puede constituir una mejora significativa para los derechos de las personas de la UE en relación con las actividades de inteligencia estadounidenses. No obstante, el GT29 expresa su preocupación de que esta nueva institución no tenga la suficiente independencia y no esté investida de suficientes poderes para ejercer de modo efectivo sus funciones y no garantice una reparación satisfactoria en caso de desacuerdo. Revisión conjunta El mecanismo de revisión conjunta anual mencionado en la propuesta de decisión de adecuación es un factor clave para la credibilidad global del Escudo de Privacidad y el GT29 4
acoge con gran satisfacción la oportunidad que esto supone de revisar la decisión de adecuación. A este respecto, el GT29 entiende que los representantes nacionales del GT29 podrán participar plenamente en el proceso de revisión pero pide que se aclaren los acuerdos exactos. Las modalidades (incluidos los informes resultantes, su divulgación y las posibles consecuencias, así como la financiación) deben acordarse con la suficiente antelación a la primera revisión. Conclusión El GT29 destaca las grandes mejoras que ofrece el Escudo de Privacidad comparado con la decisión de Puerto Seguro invalidada. Dadas las preocupaciones expresadas y las aclaraciones pedidas, el GT29 urge a la Comisión a despejar estas preocupaciones, señalar las soluciones adecuadas y proporcionar las aclaraciones solicitadas para mejorar la propuesta de decisión de adecuación y garantizar que la protección ofrecida por el Escudo de Privacidad sea esencialmente equivalente a la ofrecida por la UE.
5