Resumen ejecutivo del dictamen del Supervisor Europeo de Protección de Datos sobre el proyecto de decisión relativo a la adecuación del escudo protector de la intimidad entre la UE y los EE. UU.

(El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu)

(2016/C 257/05)

I.   Introducción

El 6 de octubre de 2015, el Tribunal de Justicia de la Unión Europea (en adelante, TJUE) anuló (1) la Decisión sobre la adecuación de los principios de puerto seguro (2). El 2 de febrero de 2016, la Comisión Europea alcanzó un acuerdo político con los EE. UU. sobre un nuevo marco para las transmisiones de datos personales, denominado «the EU-U.S. Privacy Shield» (en adelante, el escudo protector de la intimidad). El 29 de febrero, la Comisión Europea hizo público un proyecto de decisión sobre la idoneidad de este nuevo marco (el «proyecto de decisión») (3) y sus siete anexos, incluidos los principios del escudo protector de la intimidad y una serie de declaraciones y compromisos por escrito por parte de funcionarios y autoridades estadounidenses. El SEPD recibió el proyecto de decisión el 18 de marzo de este año para que hiciera llegar sus observaciones al respecto.

El SEPD ha manifestado en reiteradas ocasiones su posición (4) en lo que respecta a las transmisiones de datos personales entre la UE y los Estados Unidos y ha participado en el dictamen del Grupo de Trabajo del artículo 29 (en adelante, GT29) sobre el proyecto de decisión como miembro de dicho grupo (5). El GT29 ha planteado importantes preocupaciones y ha pedido a la Comisión Europea que identifique soluciones para abordarlas. Los miembros del GT29 esperan que se proporcionen todas las aclaraciones solicitadas en su dictamen (6). El 16 de marzo, 27 organizaciones sin ánimo de lucro plantearon sus críticas al proyecto de decisión en una carta dirigida a las autoridades de la UE y de los EE. UU. (7). El 26 de mayo, el Parlamento Europeo aprobó una resolución sobre los flujos de datos transatlánticos (8), en la que insta a la Comisión a negociar la introducción de mejoras adicionales en el acuerdo sobre el escudo protector de la intimidad con la administración estadounidense en vista de las deficiencias que presenta actualmente el texto (9).

En su condición de asesor independiente de los legisladores de la UE en virtud del Reglamento (CE) n.o 45/2001, el SEPD formula sus recomendaciones a las partes implicadas en el proceso, en particular a la Comisión. Dichas recomendaciones, que pretenden ser pragmáticas y estar adecuadamente fundamentadas, tienen la finalidad de ayudar a la UE a lograr sus objetivos a través de la adopción de medidas adecuadas. Complementan y destacan algunas de las recomendaciones recogidas en el dictamen del GT29, aunque no todas ellas.

El proyecto de decisión contiene una serie de mejoras en comparación con la Decisión de puerto seguro, en particular en lo que respecta a los principios aplicables al tratamiento de datos con fines comerciales. En cuanto al acceso por parte de las autoridades públicas a los datos transmitidos bajo el escudo protector de la intimidad, el SEPD también acoge con beneplácito la implicación, por primera vez, del Departamento de Justicia, del Departamento de Estado y de la Oficina del Director de Inteligencia Nacional en las negociaciones. Sin embargo, el progreso realizado en comparación con la Declaración de puerto seguro no es suficiente en sí mismo. La referencia correcta de comparación no es una decisión que había sido invalidada previamente, puesto que la decisión sobre la adecuación debe basarse en el marco jurídico actual de la UE (en particular, la propia Directiva, el artículo 16 del Tratado de Funcionamiento de la Unión Europea y los artículos 7 y 8 de la Carta de los Derechos Fundamentales de la Unión Europea, tal como ha interpretado el TJUE). El artículo 45 del Reglamento general de protección de datos de la UE (RGPD) (10) proporcionará nuevos requisitos para las transmisiones de datos, basados en una decisión sobre la adecuación.

El año pasado, el TJUE afirmó que el umbral aplicable a la evaluación de la adecuación es la «equivalencia esencial» y exigió una evaluación estricta basada en este elevado listón (11). La adecuación no obliga a adoptar un marco idéntico al existente en la UE, si bien, en conjunto, el escudo protector de la intimidad y el ordenamiento jurídico estadounidense deberían abarcar la totalidad de los elementos clave del marco vigente en la UE en materia de protección de datos. Esto requiere tanto una evaluación global del ordenamiento jurídico como el examen de los elementos más importantes del marco de protección de datos de la UE (12). El SEPD parte de la hipótesis de que la evaluación debería llevarse a cabo en términos globales, respetando la esencia de dichos elementos. Además, con arreglo al Tratado y a la Carta, será necesario tener en cuenta determinados elementos, como la supervisión independiente y el recurso judicial.

En este sentido, el SEPD es consciente de que muchas organizaciones de ambos lados del Atlántico están esperando el resultado de esta decisión sobre la adecuación. No obstante, las consecuencias de una nueva anulación por parte del TJUE debido a la incertidumbre jurídica de los interesados y a la carga asociada, en particular para las pymes, pueden ser importantes. Además, si el proyecto de decisión es aprobado y posteriormente invalidado por el TJUE, cualquier nuevo acuerdo relativo a la adecuación debería negociarse con arreglo al RGPD. En consecuencia, el SEPD recomienda adoptar un enfoque con visión de futuro, teniendo en cuenta la inminencia de la plena aplicación del RGPD, que tendrá lugar dentro de dos años.

El proyecto de decisión es clave para las relaciones entre la UE y los Estados Unidos, en un momento en que ambos se encuentran inmersos en negociaciones comerciales y de inversión. Asimismo, muchos de los elementos considerados en el dictamen del SEPD resultan pertinentes indirectamente tanto para el escudo protector de la intimidad como para otras herramientas de transmisión de información, como las normas corporativas vinculantes y las cláusulas contractuales tipo. Pero el dictamen también tiene relevancia mundial, dado que numerosos terceros países se guiarán por él en el contexto de la adopción del nuevo marco de la UE sobre protección de datos.

Por consiguiente, el SEPD acogería con agrado una solución general para las transmisiones de datos de la UE a los EE. UU., una solución que debería ser suficientemente sólida e integral. Esto requiere la introducción de importantes mejoras para garantizar que, a largo plazo, se respeten nuestros derechos y libertades fundamentales. Una vez adoptada y tras la primera evaluación de la Comisión Europea, la Comisión deberá ser revisada oportunamente con el fin de identificar las medidas pertinentes para alcanzar soluciones a más largo plazo y sustituir el escudo protector de la intimidad por un marco jurídico más estable y robusto que impulse las relaciones transatlánticas.

Además, a partir del proyecto de decisión y de sus anexos, el SEPD toma nota de que, pese a las tendencias recientes, consistentes en abandonar la vigilancia indiscriminada para adoptar enfoques más selectivos, la dimensión de la inteligencia de señales y el volumen de datos transmitidos desde la UE, que podrían ser captados y utilizados una vez transmitidos, en particular durante el tránsito, pueden seguir siendo elevados y, por lo tanto, dignos de reflexión.

Aunque estas prácticas también pueden guardar relación con las actividades de inteligencia en otros países, y si bien el SEPD acoge con satisfacción la transparencia de las autoridades estadounidenses con respecto a esta nueva realidad, se podría interpretar que el actual proyecto de decisión legitima este tipo de rutina. Este asunto debe someterse a un control democrático público serio. Por consiguiente, el SEPD alienta a la Comisión Europea a enviar una señal más firme: dadas las obligaciones que emanan del Tratado de Lisboa para la UE, las autoridades públicas únicamente deberían poder acceder a los datos transmitidos con fines comerciales y utilizarlos, incluso durante su tránsito, con carácter excepcional y solo cuando sea indispensable por motivos específicos relacionados con el interés público.

Además, el SEPD toma nota de que, al parecer, las declaraciones esenciales para la vida privada de los ciudadanos de la UE únicamente se elaboran con un grado suficiente de detalle en la correspondencia interna que se intercambian las autoridades estadounidenses (por ejemplo, declaraciones relativas a las actividades de inteligencia de señales sobre los cables transatlánticos, en su caso) (13). Si bien el SEPD no cuestiona la autoridad de los distinguidos autores de dichas misivas y entiende que, una vez publicadas en el Diario Oficial del Registro Federal, dichas comunicaciones se considerarán «garantías por escrito» sobre las que se realizará la evaluación de la UE, el SEPD toma nota con carácter general de que, por su importancia, algunas de ellas serían merecedoras de un valor jurídico superior.

Además de modificaciones legislativas y acuerdos internacionales (14), cabe explorar otras soluciones de carácter práctico. El presente dictamen aspira a ofrecer orientaciones pragmáticas en ese sentido.

IV.   Conclusión

El SEPD acoge con satisfacción los esfuerzos demostrados por las partes para encontrar una solución para las transmisiones de datos personales de la UE a los EE. UU. con fines comerciales en el marco de un sistema de autocertificación. Sin embargo, será necesario introducir importantes mejoras para conseguir diseñar un marco sólido y estable a largo plazo.

(1)  Asunto C-362/14, Maximillian Schrems c. Comisario europeo encargado de la protección de datos, 6 de octubre de 2015 (en adelante, «Schrems»).

(2)  Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América (notificada con número de documento C(2000) 2441) (DO L 215, de 25.8.2000, p. 7).

(3)  Decisión de Ejecución de la Comisión de XXX con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo sobre la adecuación de la protección conferida por el escudo protector de la intimidad UE-EE. UU., disponible (en inglés) en: http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-decision_en.pdf

(4)  Véase el dictamen del Supervisor Europeo de Protección de Datos respecto a la Comunicación de la Comisión al Parlamento Europeo y al Consejo sobre cómo recuperar la confianza en los flujos de datos entre la UE y los EE. UU. y la Comunicación de la Comisión al Parlamento Europeo y al Consejo sobre el funcionamiento del puerto seguro desde la perspectiva de los ciudadanos de la UE y las empresas establecidas en la UE, de 20 de febrero de 2014, así como el escrito procesal presentado por el SEPD en la vista del TJUE en el asunto Schrems, disponible (en inglés) en: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Court/2015/15-03-24_EDPS_Pleading_Schrems_vs_Data_Commissioner_EN.pdf

(5)  Grupo de Trabajo del artículo 29 en el dictamen 1/2016 sobre la decisión acerca de la adecuación del escudo protector de la intimidad UE-EE. UU. (GT 238), disponible (en inglés) en: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf

(6)  Véase también el discurso del Comisario de Información del Reino Unido, Christopher Graham, en la conferencia IAPP Europe Data Protection Intensive 2016, celebrada en Londres. El vídeo del discurso está disponible en: https://iapp.org/news/video/iapp-europe-data-protection-intensive-2016-christopher-graham-keynote/

(7)  Carta dirigida al Grupo de Trabajo del artículo 29 y a otras instituciones, firmada por Access Now y otras 26 ONG.

(8)  Resolución del Parlamento Europeo de 26 de mayo de 2016 sobre los flujos de datos transatlánticos [2016/2727(RSP)].

(9)  Idem, párr. 14.

(10)  Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119, de 4.5.2016, p. 1).

(11)  Schrems, apartados 71, 73, 74 y 96.

(12)  Este planteamiento ya se consideró en uno de los primeros documentos del GT29 sobre el tema de las transmisiones de datos (GT12: «Transferencias de datos personales a terceros países: aplicación de los artículos 25 y 26 de la Directiva sobre protección de datos de la UE», 24 de julio de 1998).

(13)  Véanse, por ejemplo, las aclaraciones recogidas en el anexo VI, apartado 1, letra a), que el PPD28 aplicaría a los datos recabados a través de los cables transatlánticos por la comunidad de inteligencia estadounidense.

(14)  En la vista del TJUE en el asunto Schrems, el SEPD manifestó que «la única solución eficaz es la negociación de un acuerdo internacional que establezca una protección adecuada contra la vigilancia indiscriminada, incluidas obligaciones relativas a la supervisión, la transparencia, el recurso judicial y los derechos de protección de datos»; escrito procesal del SEPD presentado durante la vista del Tribunal de Justicia de 24 de marzo de 2015 en el asunto C-362/14 (Schrems c. Comisario europeo encargado de la protección de datos).