COMISIÓN EUROPEA
Bruselas, 23.10.2019
COM(2019) 495 final
INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO
sobre la tercera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU.
{SWD(2019) 390 final}
EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Need more search options? Use the
Advanced search
You are here
Document 52019DC0495
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the third annual review of the functioning of the EU-U.S. Privacy Shield
INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO sobre la tercera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU.
INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO sobre la tercera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU.
COM/2019/495 final
- Date of document:
- 23/10/2019
- Date of dispatch:
- 23/10/2019; transmitido al Consejo
- Date of dispatch:
- 23/10/2019; transmitido al Parlamento
- Author:
- Comisión Europea, Dirección General de Justicia y Consumidores
- Responsible body:
- JUST
- Form:
- Informe
- Legal basis:
- Link
- Link
- Link
- Select all documents mentioning this document
- Instruments cited:
- Related document(s):
-
- 52019SC0390 Relation
- EUROVOC descriptor:
- Subject matter:
- Directory code:
-
- 13.20.60.00 Política industrial y mercado interior / Política industrial: intervenciones por sectores / Tecnología de la información, telecomunicaciones e informática
- 16.20.00.00 Ciencia, información, educación y cultura / Difusión de la información
- 19.40.00.00 Espacio de libertad, seguridad y justicia / Programas
Language
HTML
DOC
PDF
1.TERCERA REVISIÓN ANUAL: ANTECEDENTES, PREPARACIÓN Y PROCESO
En su Decisión de 12 de julio de 2016 (la «Decisión de adecuación»), la Comisión consideró que el Escudo de la privacidad UE-EE. UU. garantizaba un nivel adecuado de protección de los datos personales transferidos desde la UE a organizaciones establecidas en los Estados Unidos (EE. UU.) 1 . La Decisión de adecuación exige, en particular, a la Comisión que lleve a cabo una evaluación anual de todos los aspectos del funcionamiento del marco y, basándose en ello, elabore un informe público para presentarlo ante el Parlamento Europeo y el Consejo.
La primera revisión anual tuvo lugar en septiembre de 2017 en Washington, D.C., y, en octubre de 2017, la Comisión aprobó el informe para el Parlamento Europeo y el Consejo 2 , acompañado de un Documento de trabajo de los servicios de la Comisión [SWD(2017) 344 final] 3 . La Comisión concluyó que los Estados Unidos seguían garantizando un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea a los Estados Unidos en el marco del Escudo de la privacidad; sin embargó, hizo diez recomendaciones de mejora del funcionamiento práctico del marco.
La segunda revisión anual tuvo lugar en octubre de 2018 en Bruselas, y, en diciembre de 2018, la Comisión aprobó el informe para el Parlamento Europeo y el Consejo 4 , acompañado de nuevo de un Documento de trabajo de los servicios de la Comisión [SWD(2018) 487 final] 5 . La información recopilada en el marco de la segunda revisión anual confirmó las conclusiones de la Comisión en la Decisión de adecuación tanto con respecto a los aspectos comerciales del marco (es decir, los aspectos relacionados con el cumplimiento de los requisitos del Escudo de la privacidad por parte de las empresas certificadas, así como la administración, supervisión y ejecución de dichos requisitos por parte de las autoridades estadounidenses competentes), como con respecto a los aspectos relativos al acceso de las autoridades públicas a datos personales transferidos con arreglo al Escudo de la privacidad.
En particular, las medidas adoptadas para aplicar las recomendaciones de la Comisión después de la primera revisión anual han mejorado varios aspectos del funcionamiento práctico del marco. Por ejemplo, el Departamento de Comercio introdujo nuevos mecanismos para detectar posibles problemas de cumplimiento, la Comisión Federal de Comercio adoptó un enfoque más proactivo en relación con la supervisión del cumplimiento y la ejecución, y se hizo público el Informe del Consejo de Supervisión de la Privacidad y de las Libertades Civiles sobre la aplicación de la Presidential Policy Directive 28 6 (Directiva de Política Presidencial 28). Sin embargo, habida cuenta de que algunas de estas medidas se adoptaron justo antes de la segunda revisión anual y determinados procesos estaban todavía en curso, la Comisión concluyó que cualquier desarrollo ulterior relacionado con estos procesos y mecanismos requería una estrecha vigilancia.
Además, aunque el subsecretario de Estado en funciones ejerció la función del Defensor del Pueblo con arreglo al Escudo de la privacidad y, por tanto, el mecanismo del Defensor del Pueblo funcionó plenamente, la Comisión destacó la importancia de ocupar el puesto del Defensor del Pueblo en el ámbito del Escudo de la privacidad de forma permanentemente y, en concreto, pidió al Gobierno de los Estados Unidos que designara un candidato para ocupar el cargo antes del 28 de febrero de 2019.
La reunión para la tercera revisión anual tuvo lugar en Washington, D.C. los días 12 y 13 de septiembre de 2019. Fue inaugurada por la comisaria de la Dirección General de Justicia y Consumidores, Tiina Astola, el secretario de Comercio estadounidense, Wilbur Ross, el presidente de la Comisión Federal de Comercio, Joseph Simons, y el vicepresidente del Comité Europeo de Protección de Datos, Ventsislav Karadjov. Por parte de la UE, dirigieron la reunión representantes de la Dirección General de Justicia y Consumidores de la Comisión Europea. También participaron en la reunión ocho representantes designados por el Comité Europeo de Protección de Datos 7 .
En representación de los Estados Unidos, participaron en la revisión representantes del Departamento de Comercio, del Departamento de Estado, de la Comisión Federal de Comercio, del Departamento de Transporte, de la Oficina del Director de Inteligencia Nacional y del Departamento de Justicia y miembros del Consejo de Supervisión de la Privacidad y de las Libertades Civiles, así como el recién nombrado Defensor del Pueblo (de manera permanente, véase a continuación) y el inspector general de los servicios de inteligencia. Además, los representantes de dos organizaciones que ofrecen servicios independientes de resolución de disputas en el marco del Escudo de la privacidad y la Asociación Estadounidense de Arbitraje, que administra el panel de arbitraje del Escudo de la privacidad, facilitaron información durante las sesiones de revisión pertinentes. Por último, las presentaciones de las organizaciones certificadas con arreglo al Escudo de la privacidad sobre las medidas que las empresas adoptan para cumplir con los requisitos del marco también contribuyeron a la revisión anual.
Con miras a la preparación de la tercera revisión anual, la Comisión recabó información de las partes interesadas pertinentes (más específicamente de empresas certificadas con arreglo al Escudo de la privacidad, representadas por sus respectivas asociaciones empresariales, y de organizaciones no gubernamentales del ámbito de los derechos fundamentales y, en particular, los derechos digitales y la privacidad). Además de la recopilación de información escrita, la Comisión celebró reuniones con asociaciones industriales y empresariales el 9 de septiembre de 2019 y con organizaciones no gubernamentales el 11 de septiembre de 2019.
Los resultados de la Comisión también se basaron en material disponible públicamente, como resoluciones judiciales, normas y procedimientos de ejecución de las autoridades estadounidenses pertinentes, informes y estudios elaborados por organizaciones no gubernamentales, informes de transparencia publicados por empresas certificadas con arreglo al Escudo de privacidad, informes anuales de mecanismos de recurso independientes, así como informes de los medios de comunicación.
El presente informe concluye la tercera revisión anual del funcionamiento del Escudo de la privacidad. El informe, así como el Documento de trabajo de los servicios de la Comisión que lo acompaña [SWD(2019) 390 final], siguen la misma estructura que los documentos sobre las dos revisiones anteriores. Abarca todos los aspectos del funcionamiento del Escudo de la privacidad, centrándose especialmente en aquellos elementos que la Comisión había señalado durante la segunda revisión anual que requerían ser supervisados de cerca.
Para llevar a cabo su evaluación, la Comisión también tuvo en cuenta otros acontecimientos del último año, como el litigio pendiente relativo al Escudo de la privacidad ante el Tribunal de Justicia de la Unión Europea 8 . En este sentido, la revisión ofreció una oportunidad a la Comisión para obtener aclaraciones por parte de las autoridades de los Estados Unidos sobre determinados aspectos concretos del marco jurídico estadounidense que rige la recopilación de información de inteligencia exterior, planteados en el contexto del conocido asunto Schrems II. No obstante, una vez que el Tribunal se pronuncie en los asuntos pendientes de resolución, es posible que la Comisión tenga que volver a evaluar la situación.
2.RESULTADOS
En su tercer año de funcionamiento, el Escudo de la privacidad, que en el momento de la reunión para la revisión anual contaba con más de 5 000 empresas participantes, ha pasado de la fase inicial a una fase más operativa. La tercera revisión anual, que abarca tanto aspectos comerciales como cuestiones relativas al acceso del Gobierno a los datos personales, se centró en la experiencia adquirida y las lecciones aprendidas de la aplicación práctica del marco.
Los resultados detallados relacionados con el funcionamiento del marco del Escudo de la privacidad tras su tercer año de actividad se presentan en el Documento de trabajo de los servicios de la Comisión sobre la tercera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. [SWD(2019) 390 final] que acompaña a este informe.
2.1.Aspectos comerciales
Habida cuenta de los resultados de la revisión anual del año pasado, la evaluación de la Comisión de los aspectos comerciales se centró en particular en los progresos realizados por el Departamento de Comercio en relación con i) el proceso de renovación de la certificación, ii) la eficacia de los mecanismos introducidos por el Departamento de Comercio para supervisar de manera proactiva el cumplimiento por parte de las empresas certificadas (las denominadas «verificaciones aleatorias»), iii) las herramientas introducidas para detectar declaraciones fraudulentas, iv) el progreso y los resultados de las acciones de ejecución de la Comisión Federal de Comercio relativas a las violaciones del Escudo de la privacidad, y v) las novedades relacionadas con las directrices en materia de datos sobre recursos humanos.
Por lo que respecta al proceso de renovación de la certificación, en la tercera revisión anual se puso de manifiesto que, como práctica habitual, al vencer el plazo de la certificación, si una empresa todavía no ha completado el proceso de renovación, el Departamento de Comercio, con arreglo a un procedimiento interno, concede a la empresa un «período de gracia» de una duración significativa. Durante dicho período (aproximadamente tres meses y medio, o, en algunos casos y dependiendo de cuándo detecte el Departamento de Comercio que el proceso de certificación se ha completo, incluso un período más largo), la empresa permanece en la lista de «activos» del Escudo de la privacidad. Mientras la empresa aparezca como participante en el Escudo de la privacidad, las obligaciones dimanantes del marco siguen siendo vinculantes y plenamente exigibles. Sin embargo, conceder un período tan largo tras la fecha de vencimiento de la certificación de una empresa mientras la empresa sigue figurando en la lista como participante activo del Escudo de la privacidad reduce la transparencia y la inteligibilidad de la lista del Escudo de la privacidad tanto para las empresas como para los particulares en la UE. Asimismo, no incentiva a las empresas participantes a cumplir rigurosamente el requisito de certificación anual.
Con respecto a las verificaciones proactivas del cumplimiento por parte de las empresas de los requisitos del Escudo de la privacidad, el Departamento de Comercio introdujo en abril de 2019 un sistema que somete a examen a treinta empresas al mes. La Comisión acoge con satisfacción que el Departamento de Comercio realice periódica y sistemáticamente verificaciones proactivas aleatorias del cumplimiento, lo cual es muy importante para la mejora del cumplimiento general del marco y la detección de casos que requieran acciones de ejecución por parte de la Comisión Federal de Comercio. Sin embargo, señala que estas verificaciones aleatorias tienden a limitarse a los requisitos formales, como la falta de respuesta de los puntos de contacto designados o la falta de accesibilidad en línea a la política de privacidad de una empresa. Si bien son aspectos realmente importantes del cumplimiento de los requisitos del Escudo de la privacidad, dichas verificaciones también deberían abarcan las obligaciones sustantivas, por ejemplo, el cumplimiento del principio de responsabilidad de las transferencias ulteriores, haciendo pleno uso de los instrumentos con los que cuenta el Departamento de Comercio en virtud del marco. Los requisitos para las transferencias ulteriores se han reforzado significativamente en el Escudo de la privacidad, ya que, una falta de salvaguardias en esas situaciones podría socavar las protecciones garantizadas por el marco. Si bien las verificaciones aleatorias deberían continuar realizándose periódica y sistemáticamente, el cumplimiento de estos requisitos más sustantivos también es crucial en aras de la continuidad del Escudo de la privacidad y debería someterse a un seguimiento y una ejecución estrictos por parte de las autoridades de los Estados Unidos.
En lo relativo a la búsqueda de declaraciones fraudulentas de participación en el Escudo de la privacidad por parte del Departamento de Comercio, la Comisión observó que el Departamento de Comercio había seguido llevando a cabo búsquedas trimestralmente, lo que ha servido para detectar un número significativo de casos de declaraciones fraudulentas, que, en ocasiones, también se remitieron a la Comisión Federal de Comercio. No obstante, hasta ahora, estas búsquedas solo se han dirigido a empresas que de alguna manera ya habían sido certificadas o habían solicitado la certificación con arreglo al Escudo de Privacidad (pero que, por ejemplo, no habían renovado la certificación). Es importante que también se dirijan a empresas que nunca han solicitado la certificación con arreglo al Escudo de la privacidad. De todas las declaraciones fraudulentas, las de empresas que nunca han solicitado la certificación son probablemente las más perjudiciales. Esto es cierto desde el punto de vista de la privacidad de las personas, ya que las empresas que nunca han solicitado la certificación no han aplicado ninguna de las protecciones garantizadas por el Escudo de Privacidad en sus prácticas comerciales. Asimismo, es cierto desde la perspectiva de las empresas, ya que las condiciones de competencia equitativas entre empresas se ven socavadas si hay organizaciones que sin cumplir los requisitos del marco pueden reclamar las ventajas de la certificación.
La Comisión ha valorado positivamente que un número cada vez mayor de interesados de la UE hagan uso de sus derechos con arreglo al Escudo de la privacidad y que los mecanismos de recurso pertinentes funcionan bien. El número de reclamaciones presentadas a mecanismos de recurso independientes aumentó y se resolvieron para satisfacción de los particulares de la UE afectados. Además, las empresas participantes tramitaron adecuadamente las solicitudes de particulares de la UE.
Por lo que se refiere a la ejecución, la Comisión observó que, desde el año pasado, la Comisión Federal de Comercio concluyó siete acciones de ejecución relacionadas con las violaciones del Escudo de la privacidad, también como resultado de los barridos de oficio anunciados. Los siete casos se referían a declaraciones fraudulentas de participación en el marco. Dos de estos casos tenían que ver también con la violación de requisitos más sustantivos del Escudo de la privacidad, como el hecho de que no se verificara mediante una autoevaluación o una revisión externa del cumplimiento que las afirmaciones que la empresa hace sobre sus prácticas relativas al Escudo de la privacidad son ciertas y que dichas prácticas han sido aplicadas. La Comisión acoge con satisfacción la acción de ejecución emprendida por la Comisión Federal de Comercio en el tercer año de funcionamiento del Escudo de la privacidad. Al mismo tiempo, habida cuenta del anuncio de la agencia del año pasado y de las garantías ofrecidas en el curso de la segunda revisión anual, la Comisión habría esperado un enfoque más enérgico en lo que respecta a las acciones de ejecución sobre violaciones sustantivas de los principios del Escudo de la privacidad.
A este respecto, la Comisión tomó nota de la explicación dada en la tercera revisión anual de que varias investigaciones en curso están requiriendo más tiempo, ya que la Comisión Federal de Comercio está examinando toda la variedad de posibles violaciones. Sin embargo, la información proporcionada por la Comisión Federal de Comercio era demasiado escasa para evaluar adecuadamente el progreso en la ejecución. Si bien dicha información puede restringirse por motivos legítimos de confidencialidad, no parece justificable que la Comisión Federal de Comercio no pueda compartir, ni siquiera de forma agregada y anónima, más elementos sobre los barridos de oficio que se están llevando a cabo. Este planteamiento no está en consonancia con el espíritu de cooperación entre autoridades en el que se basa el Escudo de la privacidad, y la Comisión Federal de Comercio debería encontrar formas de compartir información significativa sobre su actividad de ejecución con la Comisión y con las autoridades de protección de datos de la UE que son corresponsables de la ejecución del marco.
La cuestión de cómo se tratan los datos sobre recursos humanos con arreglo al Escudo de la privacidad se debatió nuevamente durante la revisión. Tal y como han confirmado las partes interesadas, la elaboración de directrices conjuntas entre el Departamento de Comercio, la Comisión Federal de Comercio y las autoridades de protección de datos de la UE tendría un valor añadido real. En este sentido, la Comisión observa que han tenido lugar recientemente contactos que han permitido avanzar en la comprensión de los problemas, pero sin que ello haya dado lugar a ningún resultado concreto.
2.2.Acceso y utilización de datos personales por parte de las autoridades públicas de los Estados Unidos
En lo que respecta a los aspectos relativos al acceso y la utilización de datos personales por parte de las autoridades públicas de los Estados Unidos, la tercera revisión anual tenía por objeto, ante todo, confirmar que se mantienen todas las limitaciones y salvaguardias en las que se basa la Decisión de adecuación. Además, la tercera revisión anual ofreció la oportunidad de examinar los nuevos avances y de aclarar en mayor medida determinados aspectos del marco jurídico, así como los diferentes mecanismos de supervisión y las posibilidades de reparación, en concreto respecto a la tramitación y resolución de las reclamaciones por parte del Defensor del Pueblo.
Aunque no hubo nuevos desarrollos legales relativos a la recopilación de información de inteligencia exterior en virtud del artículo 702 de la Foreign Intelligence Surveillance Act (Ley de Vigilancia de Inteligencia Exterior), la Comisión acogió favorablemente las aclaraciones recibidas por las autoridades de los Estados Unidos sobre la manera en que la recopilación de información de inteligencia se realiza en virtud programas de inteligencia ejecutados de conformidad con el artículo 702 de la Ley de Vigilancia de Inteligencia Exterior (es decir, los programas Prism y Upstream). Estas aclaraciones confirmaron los resultados de la Comisión en la Decisión de adecuación, en los que se constataba que la recopilación de información de inteligencia extranjera en virtud del artículo 702 de la Ley de Vigilancia de Inteligencia Exterior siempre se lleva a cabo mediante el uso de selectores, y que la elección de los selectores se rige por la ley y está sujeta a una supervisión judicial y legislativa independiente.
Asimismo, la Comisión observó que está previsto que algunas de las autorizaciones para obtener información de inteligencia extranjera en virtud del artículo 501 de la Ley de Vigilancia de Inteligencia Exterior, modificada por la USA Freedom Act de 2015 (Ley de Libertad de los Estados Unidos), expiren el 15 de diciembre de 2019. Dado que la recopilación en virtud del artículo 501 de la Ley de Vigilancia de Inteligencia Exterior es pertinente en el marco del Escudo de la privacidad y, por lo tanto, ha sido evaluada en la Decisión de adecuación de la Comisión, es importante que, en caso de reautorización, se mantengan las limitaciones y salvaguardias existentes, como la prohibición de recopilaciones indiscriminadas.
Con respecto a la Directiva de Política Presidencial 28, las autoridades de los Estados Unidos confirmaron explícitamente que sigue en vigor y que no ha sido objeto de modificación alguna. Tampoco se han modificado los procedimientos de ejecución de la Directiva de Política Presidencial 28 dentro de las distintas agencias de los servicios de inteligencia. Además, la Comisión tomó nota de las explicaciones facilitadas por las autoridades de los Estados Unidos, en las que se aclaraba que las disposiciones sobre recopilaciones indiscriminadas recogidas en la Directiva de Política Presidencial 28, incluidas las relativas a la adquisición temporal, no se aplican a la recopilación de información de inteligencia exterior dentro de los Estados Unidos (por ejemplo, la recopilación de información de una empresa certificada que trata datos transferidos desde la UE con arreglo al Escudo de la privacidad), como la recopilación llevada a cabo al amparo del artículo 702 de la Ley de Vigilancia de Inteligencia Exterior y los programas Prism o Upstream, ya que dicha recopilación siempre está dirigida a destinatarios específicos.
En lo relativo al Consejo de Supervisión de la Privacidad y de las Libertades Civiles, que es un importante órgano de supervisión en el ámbito de la vigilancia gubernamental, la Comisión acogió con satisfacción que, con las confirmaciones recientes de dos miembros adicionales del Consejo por parte del Senado de los Estados Unidos, el Consejo de Supervisión de la Privacidad y de las Libertades Civiles, por primera vez desde 2016, cuente con una plantilla completa de cinco miembros. La Comisión observó, asimismo, que la plantilla del Consejo se ha duplicado desde la última revisión anual y que se ha adoptado un programa de trabajo ambicioso compuesto por diez proyectos de supervisión en curso, algunos de los cuales son de particular importancia para la revisión periódica del Escudo de la privacidad realizada por la Comisión.
En relación con el mecanismo del Defensor del Pueblo en el ámbito del Escudo de la privacidad, el presidente de los Estados Unidos anunció el 18 de enero de 2019 que la propuesta de candidatura de Keith Krach como subsecretario de Estado, también implica el cargo de Defensor del Pueblo. En 20 de junio de 2019, el Senado confirmó el nombramiento del señor Krach. La Comisión acoge con satisfacción el nombramiento del señor Krach como Defensor del Pueblo en el ámbito del Escudo de la privacidad, lo cual garantiza que el cargo esté cubierto de forma permanente.
En cuanto a la primera reclamación presentada al mecanismo del Defensor del Pueblo, interpuesta a través de la autoridad croata de protección de datos justo antes de la última revisión anual, esta reclamación fue finalmente declarada inadmisible, ya que se refiere a hechos acaecidos antes de la adopción de la Decisión del Escudo de la privacidad. No obstante, la reclamación brindó la oportunidad de probar el funcionamiento de los correspondientes procedimientos en la práctica. Tanto los representantes del Comité Europeo de Protección de Datos en la revisión anual como el Defensor del Pueblo confirmaron que todas las actuaciones pertinentes del procedimiento se habían llevado a cabo y completado de manera satisfactoria. La Comisión acoge con satisfacción el éxito de la tramitación de esta primera solicitud, que es un indicio importante de que el mecanismo del Defensor del Pueblo puede desempeñar adecuadamente sus funciones.
Las autoridades de los Estados Unidos también facilitaron explicaciones adicionales sobre la manera en que el Defensor del Pueblo colaboraría con otros órganos de supervisión independientes y contribuiría a finalizar las violaciones. En particular, confirmaron que el inspector general de los servicios de inteligencia sería informado sistemáticamente de cualquier reclamación interpuesta ante el Defensor del Pueblo y que llevaría a cabo su propia evaluación. Además, explicaron que, si una reclamación interpuesta ante el Defensor del Pueblo revela una violación de los procedimientos de segmentación en virtud del artículo 702 de la Ley de Vigilancia de Inteligencia Exterior, dicha violación se notificará al Tribunal de Vigilancia de la Inteligencia Exterior, que llevará a cabo una revisión independiente y, si es necesario, ordenará a la agencia de inteligencia pertinente que adopte medidas correctoras. Estas medidas correctoras pueden abarcar desde medidas individuales a medidas estructurales, por ejemplo, desde la supresión de datos obtenidos de forma ilegal hasta un cambio en la práctica de recopilación, incluso en términos de orientación y formación del personal.
Finalmente, se confirmó que, si se detectara una violación de la legislación estadounidense [como una violación de las Executive Orders (decretos) o Presidential Directives (directivas presidenciales) y normas y procedimientos institucionales, como, por ejemplo, los procedimientos segmentación y minimización aprobados por el Tribunal de Vigilancia de la Inteligencia Exterior] en el curso de la revisión de una reclamación presentada ante el Defensor del Pueblo, los datos recopilados de forma ilegal se eliminarían de todas las bases de datos gubernamentales y se suprimiría cualquier referencia a dichos datos de los informes de inteligencia. De este modo, una persona en la UE podría obtener la supresión de sus datos personales si hubieran sido recopilados y tratados de forma ilegal por los servicios de inteligencia de los Estados Unidos.
La Comisión acoge con satisfacción estas explicaciones adicionales, que demuestran en qué medida la cooperación entre los distintos órganos de supervisión independientes fortalece la eficacia del mecanismo del Defensor del Pueblo. Asimismo, era importante aclarar que, mediante la utilización del mecanismo del Defensor del Pueblo, las personas que se encuentran en la UE pueden, de hecho, ejercer su derecho de supresión, que es un elemento fundamental del derecho a la protección de los datos personales.
3.CONCLUSIÓN
La información recopilada en el contexto de la tercera revisión anual confirma los resultados de la Comisión en la Decisión de adecuación, tanto con respecto a los «aspectos comerciales» del marco como a los aspectos relacionados con el acceso a los datos personales transferidos con arreglo al Escudo de la privacidad por las autoridades públicas. A este respecto, la Comisión destacó una serie de mejoras en el funcionamiento del marco, así como los nombramientos para los principales órganos de supervisión.
Sin embargo, habida cuenta de algunas cuestiones surgidas de la experiencia diaria o que se hicieron más pertinentes en el contexto de la aplicación práctica del marco, la Comisión concluye que deben adoptarse una serie de medidas concretas para garantizar mejor un funcionamiento eficaz del Escudo de la privacidad en la práctica, a saber:
1.El Departamento de Comercio debe acortar los distintos plazos que se otorgan a las empresas para completar el proceso de renovación de la certificación. Un plazo máximo de treinta días en total parece razonable para que las empresas dispongan de tiempo suficiente para renovar la certificación, incluso para subsanar cualquier problema detectado en el proceso de certificación, al tiempo que se garantiza la eficacia de este proceso. Si al final de este período no se ha completado la certificación, el Departamento de Comercio debe enviar la carta de advertencia sin más demora.
2.En el contexto de su procedimiento de verificaciones aleatorias, el Departamento de Comercio debe evaluar el cumplimiento por parte de las empresas del principio de responsabilidad de las transferencias ulteriores, haciendo uso también de la posibilidad que ofrece el Escudo de la privacidad de solicitar un resumen o una copia representativa de las disposiciones de privacidad de un contrato celebrado por una empresa certificada en el marco del Escudo de la privacidad a los efectos de transferencia ulteriores.
3.Como cuestión prioritaria, el Departamento de Comercio debe desarrollar herramientas para detectar declaraciones fraudulentas de participación en el Escudo de la privacidad de empresas que nunca han solicitado la certificación, y utilizar estas herramientas periódica y sistemáticamente.
4.La Comisión Federal de Comercio debe, con carácter prioritario, hallar la manera de compartir información significativa sobre las investigaciones en curso con la Comisión, así como con las autoridades de protección de datos de la UE que también tienen responsabilidades de ejecución en virtud del Escudo de la privacidad.
5.Las autoridades de protección de datos de la UE, el Departamento de Comercio y la Comisión Federal de Comercio deben elaborar directrices comunes sobre la definición y el tratamiento de los datos sobre recursos humanos en los próximos meses.
La Comisión continuará supervisando de cerca los avances relativos a elementos específicos del marco del Escudo de la privacidad, sobre todo i) el funcionamiento del mecanismo del Defensor del Pueblo, en concreto en caso de que se interponga una nueva reclamación; ii) los resultados de los proyectos de supervisión en curso iniciados por el Consejo de Supervisión de la Privacidad y de las Libertades Civiles y que son especialmente pertinentes para el Escudo de la privacidad (por ejemplo, sobre la consulta de datos obtenidos en virtud del artículo 702 de la Ley de Vigilancia de Inteligencia Exterior por la Oficina Federal de Investigaciones, la aplicación de las recomendaciones del Consejo sobre la Directiva de Política Presidencial 28, etc.); iii) la reautorización del artículo 501 de la Ley de Vigilancia de Inteligencia Exterior, en particular que se mantengan las salvaguardias existentes; y iv) la evolución de la jurisprudencia de los Estados Unidos sobre las acciones judiciales en el ámbito de la vigilancia gubernamental, en concreto con respecto a la cuestión de la legitimación procesal.
Por último, la Comisión continuará siguiendo de cerca el debate en curso sobre la legislación federal de privacidad en los Estados Unidos. Un enfoque global en la protección de la intimidad y de los datos aumentaría la convergencia entre los sistemas de la Unión Europea y de los Estados Unidos, lo que reforzaría las bases sobre las que se ha desarrollado el marco del Escudo de la privacidad.
-
(1)
Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. (DO L 207 de 1.8.2016, p. 1).
-
(2)
Informe de la Comisión al Parlamento Europeo y al Consejo sobre la primera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. [COM(2017) 611 final], véase h ttp://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
-
(3)
Documento de trabajo de los servicios de la Comisión que acompaña el Informe de la Comisión al Parlamento Europeo y al Consejo sobre la primera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. [SWD(2017) 344 final], véase http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
-
(4)
Informe de la Comisión al Parlamento Europeo y al Consejo sobre la segunda revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. [COM(2018) 860 final], véase https://ec.europa.eu/info/sites/info/files/report_on_the_second_annual_review_of_the_eu-us_privacy_shield_2018.pdf .
-
(5)
Documento de trabajo de los servicios de la Comisión que acompaña el Informe de la Comisión al Parlamento Europeo y al Consejo sobre la segunda revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. [SWD(2018) 497 final], véase https://ec.europa.eu/info/sites/info/files/staff_working_document_-_second_annual_review.pdf .
-
(6)
Directiva de Política Presidencial 28: actividades en el ámbito de la inteligencia de señales, de 17 de enero de 2014, que establece limitaciones y salvaguardias importantes para ciudadanos no estadounidenses en el ámbito de la recopilación de inteligencia de señales.
-
(7)
El órgano independiente que reúne a representantes de las autoridades nacionales de protección de datos de los Estados miembros de la UE y el Supervisor Europeo de Protección de Datos.
-
(8)
Véase el asunto T-738/16, La Quadrature du Net y otros/Comisión. También se han planteado preguntas respecto al Escudo de la privacidad en el contexto del asunto C-311/18, Data Protection Commissioner/Facebook Ireland Limited and Maximillian Schrems («Schrems II»), en el que se celebró una vista ante la Gran Sala del Tribunal de Justicia el 9 de julio de 2019.
All