Bruselas, 5 de noviembre - Durante su último pleno, el Comité Europeo de Protección de Datos (CEPD) adoptó un informe sobre la primera revisión* del Marco de Privacidad de Datos UE-EE. UU., así como una declaración sobre las recomendaciones del Grupo de Alto Nivel (GAN)** sobre el acceso a los datos para una aplicación efectiva de la ley.
El CEPD acoge con satisfacción los esfuerzos realizados por las autoridades estadounidenses y la Comisión Europea para aplicar el Marco de Privacidad de Datos, y toma nota de varios acontecimientos que han tenido lugar desde la adopción de la decisión de adecuación en julio de 2023.
En cuanto a los aspectos comerciales, es decir, la aplicación y el cumplimiento de los requisitos aplicables a las empresas autocertificadas en este marco, el CEPD señala que el Departamento de Comercio de los Estados Unidos adoptó todas las medidas pertinentes para aplicar el proceso de certificación. Esto incluye el desarrollo de un nuevo sitio web, la actualización de los procedimientos, la colaboración con las empresas y la realización de actividades de sensibilización.
Además, se ha aplicado el mecanismo de recurso para las personas de la UE y se han publicado orientaciones exhaustivas sobre la tramitación de reclamaciones a ambos lados del Atlántico. Sin embargo, el escaso número de denuncias recibidas hasta la fecha en el marco del Marco de Privacidad de Datos pone de relieve la importancia de que las autoridades estadounidenses inicien actividades de supervisión en relación con el cumplimiento de los principios sustantivos del Marco de Privacidad de Datos por parte de las empresas certificadas por el Marco de Privacidad de Datos.
El CEPD fomenta el desarrollo de orientaciones por parte de las autoridades estadounidenses, aclarando los requisitos que las empresas certificadas por DPF tendrían que cumplir cuando transfieran datos personales que hayan recibido de exportadores de la UE. La orientación de las autoridades estadounidenses sobre los datos de recursos humanos también sería bienvenida. El CEPD expresa su disponibilidad para proporcionar información sobre estos documentos de orientación.
En cuanto al acceso de las autoridades públicas estadounidenses a los datos personales transferidos desde la UE a organizaciones certificadas, el CEPD se centró en la aplicación efectiva de las salvaguardias introducidas por el Decreto n.o 14086 en el marco jurídico estadounidense, como los principios de necesidad y proporcionalidad y el nuevo mecanismo de recurso. La Junta considera que se han establecido los elementos del mecanismo de recurso; al mismo tiempo, renueva el llamamiento a la Comisión Europea para que supervise el funcionamiento práctico de las diferentes salvaguardias, por ejemplo, la aplicación de los principios de necesidad y proporcionalidad. El CEPD también recomienda que la Comisión supervise los futuros desarrollos relacionados con la Ley de Vigilancia de Inteligencia Extranjera de los Estados Unidos, en particular dado el alcance ampliado de la Sección 702 después de su reautorización por el Congreso de los Estados Unidos a principios de este año.
El vicepresidente del CEPD, Zdravko Vukić, ha declarado: «Noscomplace que se hayan realizado progresos desde la adopción de la decisión de adecuación gracias a la fructífera cooperación entre las autoridades estadounidenses, la Comisión de la UE y el CEPD. Al mismo tiempo, todavía hay margen de mejora y debemos seguir trabajando juntos para mantener un alto nivel de protección de datos y salvaguardar los derechos y libertades de las personas de la UE».
Por último, el Comité recomienda que la próxima revisión de la decisión de adecuación UE-EE. UU. tenga lugar en un plazo de tres años o menos.
La declaración sobre las recomendaciones del Grupo de Alto Nivel sobre el acceso a los datos para una aplicación efectiva de la ley subraya que los derechos fundamentales deben salvaguardarse cuando las fuerzas y cuerpos de seguridad acceden a los datos personales de las personas. Si bien el CEPD apoya el objetivo de una aplicación efectiva de la ley, señala que algunas de las recomendaciones del Grupo de Alto Nivel podrían causar una grave intrusión en relación con los derechos fundamentales, en particular el respeto de la intimidad y la vida familiar.
Si bien el CEPD observa positivamente que la recomendación puede dar lugar al establecimiento de unas condiciones de competencia equitativas en materia de conservación de datos, considera que una obligación amplia y general de conservar los datos en formato electrónico por parte de todos los proveedores de servicios crearía una interferencia significativa en los derechos de las personas. Por lo tanto, el CEPD se pregunta si esto cumpliría los requisitos de necesidad y proporcionalidad de la Carta de los Derechos Fundamentales de la UE y la jurisprudencia del TJUE.
En su declaración, el CEPD también hace hincapié en que las recomendaciones relativas al cifrado no deben impedir su uso ni debilitar la eficacia de la protección que proporciona. Por ejemplo, la introducción de un proceso del lado del cliente que permita el acceso remoto a los datos antes de que se cifren y envíen en un canal de comunicación, o después de que se descifre en el destinatario, en la práctica debilitaría el cifrado. Preservar la protección y la eficacia del cifrado es importante para evitar que el respeto de la vida privada y la confidencialidad se vea afectado negativamente y para garantizar que se salvaguarden la libertad de expresión y el crecimiento económico, que dependen de tecnologías fiables.
Nota a los editores
* De conformidad con el artículo 3 de la Decisión de adecuación UE-EE. UU., la Comisión debe revisar la Decisión de adecuación un año después de su adopción. La reunión de revisión se celebró en Washington D.C. los días 18 y 19 de julio de 2024 y la Comisión de la UE estuvo acompañada por cinco representantes del CEPD.
** El Grupo de Alto Nivel fue puesto en marcha por la Comisión Europea en junio de 2023 y está copresidido por la Comisión de la UE y la Presidencia rotatoria del Consejo. Se puso en marcha con el objetivo de explorar los desafíos para los profesionales de la aplicación de la ley en relación con el acceso a los datos y proponer soluciones y recomendaciones.
En junio de 2024, el Grupo de Alto Nivel publicó 42 recomendaciones para seguir desarrollando las políticas y la legislación de la UE, estructuradas como «medidas de desarrollo de capacidades», «cooperación con la industria y la normalización» y «medidas legislativas». Las recomendaciones abarcan, en particular, el cifrado, la cooperación con la industria, así como entre las fuerzas y cuerpos de seguridad, y la necesidad de normas armonizadas sobre la conservación de datos.