2.3.2018   

ES

Diario Oficial de la Unión Europea

C 81/209

Ponente:

Cristian PÎRVULESCU

1.1.

Sobre la base de sus valores fundamentales y documentos constitutivos, la UE tiene la responsabilidad de ser un actor mundial en el fomento del respeto de los derechos fundamentales y la protección adecuada de la vida privada y los datos personales. En este sentido, el CESE alienta a la Comisión Europea a promover activamente a nivel bilateral y multilateral el máximo nivel de protección de los datos personales.

1.2.

El CESE considera que los cuatros criterios principales que debe tener en cuenta la Comisión a la hora de determinar los países con los que conviene entablar un diálogo sobre adecuación están bien equilibrados y son razonables. Sin embargo, es importante interpretar estos criterios a la luz del compromiso real de los gobiernos, parlamentos y órganos jurisdiccionales de estos países de alcanzar un nivel equivalente y funcional de protección de los datos personales.

1.3.

El CESE pide mayor transparencia y participación en el proceso de determinación de decisiones de adecuación. Debe hacerse partícipes y consultarse a representantes del sector empresarial, especialmente las pymes, junto con asociaciones de protección del consumidor, grupos cívicos y otras organizaciones de la sociedad civil. El CESE está abierto a facilitar el proceso de consulta.

1.4.

El CESE acoge favorablemente el diálogo iniciado por la Comisión con socios comerciales principales de Asia oriental y sudoriental, entre ellos Japón y Corea del Sur, y posiblemente la India, junto con países de América Latina y países incluidos en la política europea de vecindad que han expresado interés en obtener una «constatación de adecuación».

1.5.

El CESE confía en que la Comisión, el Consejo y los gobiernos y parlamentos nacionales de los Estados miembros y el Gobierno y el Congreso de los Estados Unidos acojan favorablemente las propuestas presentadas en la Resolución del Parlamento Europeo, de 6 de abril de 2017, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. El Parlamento Europeo plantea serias preocupaciones en su Resolución, muchas de las cuales indican que el acuerdo y el marco legislativo estadounidense actual no protegen en la práctica los derechos de los ciudadanos de la UE.

1.6.

Teniendo en cuenta los rápidos avances tecnológicos y la continua expansión de la infraestructura de TIC, son necesarios una supervisión y un seguimiento gubernamentales rigurosos. Aunque las decisiones de adecuación se evalúan cada cuatro años [véase el artículo 45, apartado 3, del Reglamento General de Protección de Datos (RGPD)], el CESE recomienda un contacto permanente entre la Comisión, las autoridades de protección de datos y las autoridades gubernamentales de los terceros países para detectar nuevos problemas en lo que constituye un entorno tecnológico y económico muy dinámico.

1.7.

El CESE considera que la promoción de las normas de protección de datos a través de instrumentos multilaterales debe ser una prioridad para la Comisión Europea y que este compromiso debe respaldarse con recursos, para conseguir, a priori, proteger realmente los derechos humanos, y, a posteriori, instaurar recursos efectivos para la indemnización de los daños y perjuicios.

1.8.

El Comité subraya que en su Comunicación la Comisión no establece distinciones entre los diversos tipos y usos de datos personales, con excepción del ámbito penal.

1.9.

El Convenio n.o 108 del Consejo de Europa de 1981, con su Protocolo adicional de 1999, es el único instrumento multilateral vinculante en el ámbito de la protección de datos. El instrumento debe desarrollarse en mayor medida y es necesario fomentar la adhesión de un mayor número de terceros países.

1.10.

Los esfuerzos multilaterales en el seno de la OCDE (Organización de Cooperación y Desarrollo Económicos), el G20 y la APEC (Cooperación Económica Asia-Pacífico) deben desarrollarse más con el fin de construir un sistema multilateral de protección de datos verdaderamente mundial. La cooperación con el relator especial de las Naciones Unidas sobre el derecho a la privacidad debe ser sólida y funcional.

1.11.

En cuanto a los intercambios de datos personales en el marco de la prevención, la investigación y el enjuiciamiento de infracciones penales, el CESE es firme partidario de crear salvaguardas sólidas de protección de datos, pero también está abierto a la introducción de la posibilidad de adoptar decisiones de adecuación en el ámbito de la aplicación del Derecho penal. La protección de datos y la prevención, la investigación y el enjuiciamiento de infracciones penales, incluidos el terrorismo y la ciberdelincuencia, deben ir de la mano.

1.12.

El CESE recuerda la importancia de la protección de los datos personales y relativos a la salud y a la rehabilitación de las personas con discapacidad, según lo establecido en el artículo 22 de la Convención de las Naciones Unidas sobre los Derechos de las Personas con Discapacidad.

2.1.

La protección de los datos personales, consagrada en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, forma parte de los fundamentos constitucionales comunes de Europa y lleva más de veinte años ocupando un lugar destacado en el Derecho de la Unión, desde la introducción de la Directiva sobre protección de datos en 1995 (en lo sucesivo, «Directiva de 1995») hasta la adopción del Reglamento general de protección de datos 2 (en lo sucesivo, «RGPD») y de la Directiva de policía en 2016.

2.2.

La reforma de la legislación de la UE en materia de protección de datos, aprobada en abril de 2016, establece un sistema que garantiza un elevado nivel de protección tanto dentro de la UE como en el intercambio internacional de datos personales para fines comerciales y coercitivos. Las nuevas normas entrarán en vigor en mayo de 2018.

2.3.

Tras haber ultimado las normas de protección de datos de la UE, la Comisión está definiendo ahora una estrategia para promover normas internacionales de protección de datos. La Comunicación presenta las distintas herramientas para intercambiar datos personales a nivel internacional, sobre la base de las normas de protección de datos reformadas, así como su estrategia para colaborar con determinados terceros países en el futuro para adoptar decisiones de adecuación y promover normas de protección de datos a través de instrumentos multilaterales.

2.4.

El Reglamento general de protección de datos de 2016 ofrece un conjunto de instrumentos para transferir datos personales de la UE a terceros países: decisiones de adecuación, cláusulas contractuales tipo, normas corporativas vinculantes, mecanismos de certificación y códigos de conducta. El propósito principal de estos mecanismos es garantizar que, cuando se transfieran datos personales de ciudadanos europeos a terceros países, se mantenga el mismo nivel de protección con respecto a los mismos. Aunque la arquitectura de las transferencias internacionales de datos personales es similar a la contemplada en la Directiva de protección de datos de 1995, la reforma simplifica y amplía su uso e introduce nuevas herramientas para las transferencias internacionales (por ejemplo códigos de conducta y mecanismos de certificación).

3.1.

El CESE alaba los esfuerzos emprendidos por la UE con el fin de proteger los datos personales de sus ciudadanos, manteniéndose al mismo tiempo abierta e integrada en un mundo cada vez más interconectado.

3.2.

Sobre la base de sus valores fundamentales y documentos constitutivos, incumbe a la UE actuar a escala mundial, fomentando el respeto de los derechos fundamentales y un elevado nivel de protección de la vida privada y los datos personales. En este sentido, el CESE anima a la Comisión Europea a promover activamente a nivel bilateral y multilateral el máximo nivel de protección de los datos personales de sus propios ciudadanos y de los ciudadanos de terceros países.

3.3.

La UE debe apoyar la agenda mundial de protección de datos personales y sus principios básicos: la protección de datos es un derecho fundamental y su protección se organiza mediante la adopción de legislación general en este ámbito, la introducción de derechos individuales y exigibles en materia de privacidad y la creación de autoridades de control independientes.

3.4.

La máxima protección posible de los datos personales no es solo una responsabilidad legal, sino también una gran oportunidad. La economía digital, los flujos internacionales de bienes y servicios y la administración electrónica se benefician en su conjunto de la confianza que depositan los ciudadanos en las salvaguardias institucionales y reglamentarias existentes. La protección de datos y un comercio internacional justo son ambos esenciales para los ciudadanos y no deben considerarse como valores contradictorios.

3.5.

El CESE sigue apoyando el rumbo general de la política de protección de datos de la UE, como ha hecho en sus anteriores dictámenes, aunque insiste en la necesidad de incrementar los niveles de protección. En su Dictamen SOC/455 sobre el Reglamento General de Protección de Datos, expuso algunos ejemplos detallados en relación con varios artículos, ayudando a definir mejor los derechos, una mayor protección del público en general y de los trabajadores en particular, la naturaleza del consentimiento, la legalidad del tratamiento y, en particular, las obligaciones de los responsables de la protección de datos y el tratamiento de los datos en el contexto del empleo (1).

3.6.

Además, el CESE destacó el derecho de las personas, físicas o jurídicas, a dar su consentimiento con respecto a sus datos. En su Dictamen TEN/631 sobre la protección de los datos personales, el CESE consideró que «los usuarios han de ser informados y formados y actuar con prudencia, ya que una vez dado el consentimiento, el proveedor podrá tratar los contenidos y los metadatos para obtener el máximo posible de acciones y ganancias […]. La educación de los usuarios para ejercer sus derechos, así como el anonimato o el cifrado, deberían ser prioridades de este Reglamento [Reglamento sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas]» (2).

3.7.

El CESE respalda la creación, a partir de mayo de 2018, de un único conjunto de normas paneuropeas frente a las veintiocho leyes nacionales vigentes a día de hoy. El recién creado mecanismo de ventanilla única garantizará que una única autoridad de protección de datos sea responsable de supervisar las operaciones transfronterizas de tratamiento de datos efectuadas por una empresa en la UE. Se garantizará la coherencia de la interpretación de las nuevas normas. En particular, en los casos transfronterizos cuando intervengan varias autoridades de protección de datos, se adoptará una única decisión para garantizar que los problemas comunes reciben soluciones comunes. El CESE confía en que los nuevos procedimientos no solo garanticen la coherencia de la interpretación, sino también el máximo nivel posible de protección de datos.

3.8.

El CESE toma nota de que la Comunicación y sus propuestas principales son bien acogidas por Digital Europe, la organización que representa al sector de la tecnología digital en Europa (3).

La creciente penetración de la computación en nube plantea desafíos nuevos y complejos que, en principio, están llamado a evolucionar dado el rápido ritmo del cambio tecnológico. La legislación tiene que ser flexible para poder ajustarse a la evolución de la tecnología y del mercado.

4.1.

Las decisiones de adecuación adoptadas por la Comisión son actualmente el instrumento apropiado para garantizar la protección de los datos de los ciudadanos de la UE en relación con otros países y entidades, tanto gubernamentales como privadas. También son una herramienta útil para animar a los países no pertenecientes a la UE a aspirar a un nivel similar de protección para sus propios ciudadanos y deberían ser el instrumento preferido para proteger el intercambio de datos personales.

4.2.

El CESE considera que los cuatros criterios (4) principales que debe tener en cuenta la Comisión a la hora de determinar los países con los que conviene entablar un diálogo sobre adecuación están bien equilibrados y son razonables. Sin embargo, es importante interpretar estos criterios a la luz del compromiso real de los gobiernos, parlamentos y órganos jurisdiccionales de estos países a la hora de alcanzar un nivel equivalente y funcional de protección de datos personales.

4.3.

El CESE pide mayor transparencia y participación en el proceso de determinación de decisiones de adecuación. Debe hacerse partícipes y consultarse a representantes del sector empresarial, especialmente las pymes, junto con asociaciones de protección del consumidor y otras organizaciones de la sociedad civil. El CESE está abierto a facilitar el proceso de consulta.

4.4.

El CESE acoge favorablemente el diálogo iniciado por la Comisión con socios comerciales principales de Asia oriental y sudoriental, entre ellos Japón y Corea del Sur, y posiblemente la India, junto con países de América Latina y países incluidos en la política europea de vecindad que han expresado interés en obtener una «constatación de adecuación».

4.5.

El CESE considera que el estado de adecuación parcial para determinados países, que podría dar lugar a la inclusión de algunos sectores y territorios, resulta problemático porque no ofrece garantías constitucionales, procesales e institucionales suficientes y coherentes en materia de protección de los datos personales. La adecuación parcial podría ser una fase intermedia útil que permitirá a la UE y los respectivos países ponerse de acuerdo y coordinar los esfuerzos. El objetivo a largo plazo es alcanzar un acuerdo más sólido y global basado en los marcos existentes en todos los países interesados (5).

4.6.

El CESE acoge favorablemente los esfuerzos por crear un marco bilateral sólido y funcional con los Estados Unidos de América. La decisión recientemente adoptada sobre el Escudo de la privacidad UE-EE. UU., que sustituye al marco del puerto seguro UE-EE. UU., supone un paso adelante. Sin embargo, tiene un alcance limitado, puesto que se basa en la adhesión voluntaria, excluyendo a un gran número de organizaciones estadounidenses.

4.7.

El CESE confía en que la Comisión, el Consejo y los gobiernos y parlamentos nacionales de los Estados miembros y el Gobierno y el Congreso de los Estados Unidos acojan favorablemente las propuestas presentadas en la Resolución del Parlamento Europeo, de 6 de abril de 2017, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. En su Resolución, el Parlamento Europeo plantea serias dudas, sobre todo porque considera que el acuerdo y el marco legislativo estadounidense actual no protegen en la práctica los derechos de los ciudadanos de la UE (6).

4.8.

Varias organizaciones de la sociedad civil de la Unión Europea y los Estados Unidos expresaron preocupaciones similares (7). El CESE anima a todas las instituciones de la UE a tomar nota de ellas.

4.9.

El Comité, si bien reconoce el deseo de la Comisión de crear una nueva dinámica, observa que mantiene en su propuesta determinadas incertidumbres jurídicas en relación con las personas cuyos derechos han sido violados. Varios aspectos contribuyen a ello:

4.10.

El seguimiento tras la adopción de una decisión de adecuación es esencial para garantizar que los acuerdos funcionen en la práctica. Teniendo en cuenta los rápidos avances tecnológicos y la continua expansión de la infraestructura de TIC, son necesarios una supervisión y un seguimiento gubernamentales rigurosos. Aunque las decisiones de adecuación se evalúan cada cuatro años (véase el artículo 45, apartado 3, del RGPD), el CESE recomienda un contacto permanente entre la Comisión, las autoridades de protección de datos y las autoridades gubernamentales de los terceros países para detectar nuevos problemas en lo que constituye un entorno tecnológico y económico muy dinámico.

4.11.

El CESE anima a la Comisión a trabajar con las partes interesadas para desarrollar mecanismos alternativos de transferencia de datos personales adaptados a las necesidades o las necesidades específicas de determinados sectores, modelos de negocio u operadores.

4.12.

El CESE considera que la promoción de las normas de protección de datos a través de instrumentos multilaterales debe ser una prioridad para la Comisión y que este compromiso debe respaldarse con recursos.

4.13.

El Convenio n.o 108 del Consejo de Europa, junto con su Protocolo adicional, es el único instrumento multilateral vinculante en el ámbito de la protección de datos. El instrumento debe desarrollarse en mayor medida y es necesario fomentar la adhesión de un mayor número de terceros países.

4.14.

Los esfuerzos multilaterales emprendidos por la OCDE, el G20 y la APEC deben seguir desarrollándose con el fin de construir un sistema multilateral de protección de datos verdaderamente mundial. La cooperación con el relator especial de las Naciones Unidas sobre el derecho a la privacidad debe ser sólida y funcional.

4.15.

Se ha de dar prioridad a una mayor cooperación con las autoridades nacionales competentes para la aplicación y supervisión de la privacidad. Aunque no crea obligaciones jurídicamente vinculantes, la Red Global de Vigilancia de la Privacidad (GPEN, por sus siglas en inglés) de la OCDE puede promover la cooperación en materia de aplicación de la ley mediante el intercambio de buenas prácticas para abordar los problemas transfronterizos y apoyar iniciativas policiales conjuntas y campañas de sensibilización (8).

4.16.

En cuanto a los intercambios de datos personales en el marco de la prevención, la investigación y el enjuiciamiento de infracciones penales, el CESE es firme partidario de crear salvaguardas sólidas de protección de datos, pero también está abierto a la introducción de la posibilidad de adoptar decisiones de adecuación en el ámbito de la aplicación del Derecho penal. La protección de datos y la prevención, la investigación y el enjuiciamiento de infracciones penales, incluidos el terrorismo y la ciberdelincuencia, deben ir de la mano.

4.17.

El Acuerdo marco sobre la protección de datos UE-EE. UU., celebrado en diciembre de 2016, es un buen ejemplo de cómo pueden integrarse en acuerdos bilaterales los derechos y las obligaciones de protección de datos de acuerdo con el acervo de la UE. Los mismos procedimientos pueden funcionar también en distintos ámbitos políticos, como la política de competencia o la protección del consumidor. El CESE anima a la Comisión a estudiar la posibilidad de celebrar acuerdos marco similares con sus principales socios en materia de aplicación de la ley.

4.18.

El Comité espera con interés los resultados de la primera revisión anual del Escudo de la privacidad UE-EE. UU. y confía en que se trate de un ejercicio exhaustivo y participativo. El CESE espera que tanto la UE como los Estados Unidos mantengan su compromiso de trabajar juntos para alcanzar un nivel más elevado de protección de los datos personales.