Carlos B Fernández. El Comité Europeo de Protección de Datos ha emitido un dictamen sobre el Proyecto de Decisión de Adecuación, publicado por la Comisión Europea el 13 de diciembre de 2022, sobre el nuevo marco para los intercambios transatlánticos de datos personales entre la Unión Europea (UE) y los Estados Unidos (EEUU), Data Privacy Framework o DPF, por sus siglas en inglés, puesto en marcha tras el acuerdo entre la Comisión Europea y los Estados Unidos en marzo de 2022 y la Orden Ejecutiva del presidente Biden en octubre de 2022. Este nuevo marco debe sustituir al anterior Acuerdo Privacy Shield invalidado por el Tribunal de Justicia de la Unión Europea (TJUE) el 16 de julio de 2020, en el el asunto Schrems II. El componente clave del DPF son los Principios del Marco de Privacidad de Datos UE-EE.UU, incluidos los principios complementarios (denominados colectivamente "los principios del MPD").
En su Dictamen 5/2023, el Comité acoge con satisfacción mejoras sustanciales introducidas en relación con el marco anterior regulado por el acuerdo Privacy Shield, tales como la introducción de los principios de necesidad y proporcionalidad para la recogida de datos por los servicios de inteligencia de EE.UU y el nuevo mecanismo de recurso para los interesados de la UE. Pero al mismo tiempo, expresa su preocupación y solicita aclaraciones sobre varios puntos incluidos en la nueva propuesta.
Estos se refieren, en particular, a determinados derechos de los interesados, las transferencias ulteriores, el alcance de las exenciones, la recogida masiva temporal de datos y el funcionamiento práctico del mecanismo de recurso. En este sentido, el Comité ha señalado que acogería con satisfacción que no sólo la entrada en vigor sino también la adopción de la Decisión estuvieran condicionadas a la adopción de políticas y procedimientos actualizados para aplicar el Decreto 14086 por parte de todas las agencias de inteligencia de EEUU. El Comité Europeo recomienda a la Comisión que evalúe estas políticas y procedimientos actualizados y comparta su evaluación con el Comité Europeo.
El objetivo fundamental del Comité, destaca este organismo, ha sido emitir un dictamen para la Comisión sobre la adecuación del nivel de protección de los datos personales de las personas físicas cuyos datos personales se transfieren a Estados Unidos, sin esperar que el marco de protección de datos de EE.UU. reproduzca la legislación europea de protección de datos. europea.
Sin embargo, el Comité recuerda desde el principio que, para que se considere que proporciona un nivel de protección adecuado, el artículo 45 del RGPD (LA LEY 6637/2016) y la jurisprudencia del TJUE exigen que la legislación del tercer país proporcione a los interesados un nivel de protección esencialmente equivalente al garantizado en la UE.
El nuevo Marco de Privacidad de Datos UE-EEUU o DPF
El componente clave del DPF son los Principios del Marco de Privacidad de Datos UE-EE.UU., publicados por el Departamento de Comercio estadounidense, que solo resulta aplicable a las organizaciones estadounidenses que se hayan autocertificado.
El Dictamen del Comité Europeo considera tanto los aspectos comerciales de este nuevo Marco, como el acceso y el uso de los datos por parte de las autoridades públicas estadounidenses.
Parte del hecho de que los Principios del DPF son, en gran medida, los mismos que los del Escudo de la privacidad en el que el Grupo de Trabajo del Artículo 29 basó su dictamen 01/2016, de 13 de abril de 2016, sobre la propuesta de Declaración de Adecuación del Privacy Shield. En el caso de los principios del DPF que no se han modificado sustancialmente, el Comité considera que no es necesario repetir todas las observaciones formuladas anteriormente por el WP29y, por lo que se ha centrado en aspectos específicos que considera aún más relevantes en la actualidad, habida cuenta de la evolución del entorno jurídico y tecnológico.
Por ejemplo, el Comité observa que algunas cuestiones preocupantes planteadas anteriormente por el WP29 y el propio Comité en relación con los principios del Privacy Shield, como las referidas a los derechos de los interesados (por ejemplo, algunas excepciones al derecho de acceso y los plazos y modalidades del derecho de oposición), la ausencia de definiciones clave, la falta de claridad en relación con la aplicación de los principios del DPF a los encargados del tratamiento, y la amplia exención de la información a disposición del público, siguen siendo válidas.
Aspectos comerciales del DPF
En este sentido, y por lo que se refiere a los aspectos comerciales, el Comité Europeo acoge con satisfacción una serie de actualizaciones introducidas en los Principios DPF. También observa que una serie de principios siguen siendo esencialmente los mismos que en el marco del Escudo de la privacidad. Como tales, subsiste la preocupación en relación con algunas exenciones al derecho de acceso, la ausencia de definiciones clave, la falta de claridad sobre la aplicación de los Principios DPF a los encargados del tratamiento, la amplia exención al derecho de acceso para la información públicamente disponible, y la falta de normas específicas sobre la toma de decisiones automatizada y la elaboración de perfiles.
El Comité Europeo reitera además que el nivel de protección no debe verse socavado por las transferencias ulteriores. Por lo tanto, invita a la Comisión a aclarar que las salvaguardias impuestas por el destinatario inicial al importador en el tercer país deben ser efectivas a la luz de la legislación del tercer país, antes de una transferencia ulterior.
Además, la Comité Europeo pide a la Comisión que aclare el alcance de las exenciones relativas a la obligación de adherirse a los principios del DPF y subraya la importancia de una supervisión y aplicación efectivas del DPF. Estos aspectos serán supervisados de cerca por el Comité Europeo, junto con la eficacia de las vías de recurso proporcionadas a los titulares de datos de la UE cuyos datos se procesen en violación del DPF.
Acceso de las autoridades norteamericanas a los datos transferidos
Por lo que se refiere al acceso del Gobierno a los datos transferidos a los EE.UU., el Comité Europeo reconoce las mejoras significativas aportadas por la Orden Ejecutiva (OE) 14086, que introduce los conceptos de necesidad y proporcionalidad en relación con la recopilación de datos por parte de los servicios de inteligencia estadounidenses (inteligencia de señales).
Además, el nuevo mecanismo de recurso crea derechos para las personas de la UE y está sujeto a la revisión del Consejo de Supervisión de la Privacidad y las Libertades Civiles (Privacy and Civil Liberties Oversight Board, PCLOB). La OEP también consagra más salvaguardias para garantizar la independencia del Tribunal de Revisión de la Protección de Datos (Data Protection Review Court, DPRC), en comparación con el anterior mecanismo del Defensor del Pueblo, e introduce poderes más efectivos para remediar las infracciones, incluidas salvaguardias adicionales para los interesados.
El Comité Europeo destaca a este respecto que es necesario un estrecho seguimiento de la aplicación práctica de los principios de necesidad y proporcionalidad recientemente introducidos. También es necesaria una mayor claridad en relación con la recogida masiva temporal y la posterior conservación y difusión de los datos recogidos en bloque.
El Comité Europeo también expresa su preocupación por la falta de un requisito de autorización previa por parte de una autoridad independiente para la recogida de datos en bloque en virtud del Decreto 12333, así como por la falta de una revisión independiente sistemática a posteriori por parte de un tribunal o de un organismo independiente equivalente.
Por lo que respecta a la autorización previa independiente de la vigilancia en virtud de la Sección 702 de la Foreign Intelligence Surveillance Act (Ley de Vigilancia de la Inteligencia Extranjera o FISA), el Comité Europeo lamenta que el Tribunal de la FISA no revise el cumplimiento de la Orden ejecutiva 14086 al certificar los programas que autorizan la selección de personas no estadounidenses como objetivo, pese a que las autoridades de inteligencia que llevan a cabo el programa están obligadas por ella.
Serían especialmente útiles los informes del PCLOB sobre cómo se aplicarán las salvaguardias de la OE 14086 y cómo se aplican estas salvaguardias cuando se recopilan datos en virtud de la Sección 702 de la FISA y de la OE 12333. En cuanto al mecanismo de recurso, el Comité Europeo reconoce las salvaguardias adicionales previstas, como el papel de los abogados especiales y la revisión del mecanismo de recurso por el PCLOB.
Al mismo tiempo, al Comité Europeo le preocupa la aplicación general de la respuesta estándar del DPRC notificando al denunciante que o bien no se identificaron violaciones cubiertas o bien se emitió una determinación que requería una reparación apropiada, especialmente dado que esta decisión no puede recurrirse. Por lo tanto, el Comité Europeo pide a la Comisión que supervise de cerca el funcionamiento práctico de este mecanismo.