Bruselas, 14 de febrero — En su último Pleno, el CEPD adoptó un dictamen sobre el concepto de establecimiento principal y sobre los criterios para la aplicación del mecanismo de ventanilla única, araíz de una solicitud del artículo 64, apartado 2, del RGPD presentada por la autoridad francesa de protección de datos (DPA). El dictamen aclara el concepto de «establecimiento principal» de un responsable del tratamiento en la UE, en particular en los casos en que las decisiones relativas al tratamiento se toman fuera de la UE.
El presidente del CEPD, Anu Talus, dijo: «La noción de establecimiento principal es una de las piedras angulares de la ventanilla única. Es fundamental para determinar cuál, en su caso, la APD es la autoridad de control principal en los casos transfronterizos de protección de datos. El dictamen del CEPD arroja más luz sobre las condiciones para que los responsables del tratamiento accedan a la ventanilla única y proporciona orientaciones adicionales para las autoridades de protección de datos a la hora de determinar qué DPA está a la cabeza.».
En su dictamen, el CEPD considera queel «lugar de administración central» de un responsable del tratamiento en la UE solo puede considerarse un establecimiento principal con arreglo al artículo 4, apartado 16, letra a), del RGPD si adopta las decisiones sobre los fines y medios del tratamiento de datos personales y si tiene la facultad de aplicar dichas decisiones. El CEPD explica además que el mecanismo de ventanilla única solo puede aplicarse si hay pruebas de que uno de los establecimientos del responsable del tratamiento en la Unión toma decisiones sobre los fines y los medios de las operaciones de tratamiento pertinentes y está facultado para aplicar dichas decisiones. Esto significa que, cuando las decisiones sobre los fines y medios del tratamiento se toman fuera de la UE, no debe haber un establecimiento principal del responsable del tratamiento en la Unión, por lo que no debe aplicarse la ventanilla única.
El presente dictamen es el más reciente de una serie de medidas concretas adoptadas por el CEPD tras su Declaración de Viena sobre la aplicación transfronteriza, con el objetivo de racionalizar el cumplimiento y la cooperación entre las APD.
A continuación, el CEPD adoptó una declaración sobre la evolución legislativa relativa a la propuesta de Reglamento por el que se establecen normas para prevenir y combatir los abusos sexuales de menores. La Declaración sigue el dictamen conjunto del CEPD y el SEPD sobre la propuesta de Reglamento de la Comisión Europea y se centra en los últimos avances legislativos, en particular la posición del Parlamento Europeo de noviembre de 2023.
El CEPD acoge con satisfacción las numerosas mejoras propuestas por el Parlamento, como la exención de las comunicaciones cifradas de extremo a extremo de las órdenes de detección. Sin embargo, el CEPD lamenta que el texto propuesto por el Parlamento no parezca resolver plenamente cuestiones importantes señaladas por el CEPD y el SEPD en relación con el seguimiento general e indiscriminado de las comunicaciones privadas, en particular en relación con la emisión de órdenes de detección.
El presidente del CEPD, Anu Talus, dijo: «El abuso sexual infantil es un delito particularmente atroz y requiere soluciones eficaces. Es importante que cualquier nuevo instrumento jurídico sea inequívoco y respete los derechos fundamentales a la privacidad y a la protección de datos. Un nivel excesivo de acceso a las comunicaciones en línea socavaría esos principios importantes y podría tener repercusiones negativas tanto en los derechos como en la seguridad tanto de los adultos como de los niños; debemos ser muy cuidadosos con las acciones que en última instancia hacen más daño que bien. El CEPD considera que la redacción propuesta por el Parlamento debe ofrecer garantías adecuadas de que las órdenes de detección serán suficientemente específicas para garantizar que pueda proteger a las víctimas sin afectar de manera desproporcionada a los derechos y libertades protegidos por el Derecho de la UE.»
El CEPD subraya la importancia de limitar aún más el riesgo de que esas órdenes puedan afectar a las personas que no están involucradas en delitos relacionados con el abuso sexual de menores. Además, el CEPD lamenta que las órdenes de detección no se limiten a los materiales de abuso sexual infantil (CSAM) que ya son conocidos por las autoridades, a pesar de que las tecnologías utilizadas para detectar el nuevo CSAM han demostrado en el pasado tener tasas de error significativas.
Durante el pleno, el CEPD también debatió el alcance de las orientaciones relacionadas con el modelo de consentimiento o pago. Además del próximo dictamen del artículo 64, apartado 2, que abordará el modelo de consentimiento o remuneración en el contexto de las grandes plataformas en línea, se acordó que es necesario elaborar directrices consecutivas con un alcance más amplio.
Por último, el CEPD designó a varios representantes para participar, respectivamente, en el equipo de revisión del marco de privacidad de datos de la Comisión Europea, el subgrupo de alto nivel de la Ley de Mercados Digitales sobre el artículo 5.2 de la DMA y el grupo de trabajo de la Ley de servicios digitales sobre verificación de la edad.
El comunicado de prensa publicado aquí ha sido traducido automáticamente del inglés. El CEPD no garantiza la exactitud de la traducción. Por favor, consulte el texto oficial en su versión en inglés si hay alguna duda.