COMISIÓN EUROPEA
Bruselas, 19.12.2018
COM(2018) 860 final
INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO
sobre la revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU
{SWD(2018) 497 final}
This document is an excerpt from the EUR-Lex website
Document 52018DC0860
REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the second annual review of the functioning of the EU-U.S. Privacy Shield
INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO sobre la revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU
INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO sobre la revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU
COM/2018/860 final
COMISIÓN EUROPEA
Bruselas, 19.12.2018
COM(2018) 860 final
INFORME DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO
sobre la revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU
{SWD(2018) 497 final}
1.SEGUNDA REVISIÓN ANUAL – FINALIDAD, PREPARACIÓN Y PROCESO
En su decisión de 12 de julio de 2016 (en lo sucesivo, la «decisión de evaluación»), la Comisión estimó que el Escudo de la privacidad UE-EE. UU. (en lo sucesivo, el Escudo de la privacidad») garantizaba un nivel adecuado de protección de los datos personales transferidos desde la Unión Europea a organizaciones establecidas en los EE. UU. 1 . La decisión de adecuación prevé en particular una evaluación anual de todos los aspectos del funcionamiento del marco por la Comisión. La primera revisión anual tuvo lugar los días 18 y 19 de septiembre de 2017 en Washington, D.C., y el 18 de octubre de 2017, la Comisión adoptó su informe al Parlamento Europeo y al Consejo 2 , acompañado de un Documento de trabajo de los servicios de la Comisión [SWD(2017) 344 final] 3 .
Sobre la base de los resultados de la primera revisión, la Comisión concluyó que los EE. UU. seguían garantizando un nivel adecuado de protección de los datos personales transferidos en el marco del Escudo de la privacidad desde la Unión a organizaciones en los EE. UU. Al mismo tiempo, la Comisión consideró que la aplicación práctica del marco del Escudo de la privacidad podría mejorarse aún más a fin de garantizar que las garantías y salvaguardas que en él previstas siguieran funcionando según lo previsto. A tal fin, la Comisión formuló diez recomendaciones.
El presente informe concluye la segunda revisión anual del funcionamiento del Escudo de la privacidad. El informe, así como el Documento de trabajo de los servicios de la Comisión que lo acompaña [SWD(2018) 497], siguen la misma estructura que el informe sobre la primera revisión anual. Abarcan todos los aspectos del funcionamiento del Escudo de la privacidad, teniendo en cuenta asimismo la evolución que tuvo lugar a lo largo del año pasado. Un elemento central de la evaluación de la Comisión fue el seguimiento de sus recomendaciones desde la primera revisión anual.
Con miras a la preparación de la segunda revisión anual, la Comisión recabó información de las partes interesadas pertinentes [más específicamente de empresas certificadas con arreglo al Escudo de la privacidad, representadas por sus respectivas asociaciones empresariales, y de organizaciones no gubernamentales (ONG) activas en el ámbito de los derechos fundamentales y, en particular, los derechos digitales y la privacidad ], así como de las autoridades estadounidenses pertinentes que participan en la aplicación del marco.
La reunión para la segunda revisión anual tuvo lugar en Bruselas los días 18 y 19 de octubre de 2018. Fue inaugurada por la comisaria de Justicia, Consumidores e Igualdad de Género, Věra Jourová, el secretario de Comercio estadounidense, Wilbur Ross, el presidente de la Comisión Federal de Comercio, Joseph Simons, y la presidenta del Comité Europeo de Protección de Datos, Andrea Jelinek. Por parte de la UE, dirigieron la reunión representantes de la Dirección General de Justicia y Consumidores de la Comisión Europea. La delegación de la UE incluyó asimismo a siete representantes designados por el Comité Europeo de Protección de Datos (el órgano independiente que reúne a representantes de las autoridades nacionales de protección de datos de los Estados miembros de la UE y el Supervisor Europeo de Protección de Datos).
En representación de los EE. UU, participaron en la revisión representantes del Departamento de Comercio, del Departamento de Estado, de la Comisión Federal de Comercio, del Departamento de Transporte, de la Oficina del Director de Inteligencia Nacional y del Departamento de Justicia y miembros del Consejo de Supervisión de la Privacidad y de las Libertades Civiles, así como el Defensor del Pueblo en funciones y el Inspector General de los Servicios de Inteligencia. Además, los representantes de una organización que ofrece servicios independientes de resolución de disputas con arreglo al Escudo de la privacidad y la Asociación Estadounidense de Arbitraje facilitaron información durante las sesiones de revisión pertinentes. Por último, la revisión se elaboró sobre la base de presentaciones a cargo de organizaciones certificadas con arreglo al Escudo de la privacidad sobre la manera en que las empresas cumplen con los requisitos del marco.
Los resultados de la Comisión se basaron además en un estudio encargado por la Comisión y en material disponible públicamente, como resoluciones judiciales, normas y procedimientos de ejecución de las autoridades estadounidenses pertinentes, informes y estudios elaborados por ONG, informes de transparencia publicados por empresas certificadas con arreglo al Escudo de privacidad, informes anuales de mecanismos de recurso independientes, así como informes de los medios de comunicación.
La revisión de este año se llevó a cabo en el contexto de los desafíos a la privacidad de los datos que son de naturaleza cada vez más global, como lo demuestra el caso de Facebook/Cambridge Analytica. Tanto la UE como los EE. UU. son conscientes de los desafíos similares a los que se enfrentan cuando se trata de la protección de los datos personales. Durante la revisión, ambas partes destacaron la necesidad de abordar tales abusos de los datos personales, en particular mediante vigorosas acciones de ejecución forzosa por parte de la Autoridad de Protección de Datos de la UE y la Comisión Federal de Comercio de los EE. UU.
El informe de la Comisión refleja asimismo el debate en curso sobre la legislación federal de privacidad en los EE. UU. La convergencia entre nuestros dos sistemas a largo plazo fortalecería las bases sobre las cuales se ha desarrollado el marco del Escudo de la privacidad.
2.RESULTADOS Y CONCLUSIONES
La segunda revisión anual abarcó tanto los «aspectos comerciales» del marco del Escudo de la privacidad como cuestiones relacionadas con el acceso gubernamental a los datos personales.
En lo que respecta a los «aspectos comerciales», es decir, las cuestiones relativas a la administración, supervisión y ejecución de las obligaciones que se aplican a las empresas certificadas, la Comisión observó que, en consonancia con las recomendaciones formuladas por la Comisión a raíz de la primera revisión anual, el Departamento de Comercio ha fortalecido aún más el proceso de certificación e introducido nuevos procedimientos de supervisión. En concreto, el Departamento de Comercio adoptó un nuevo proceso que requiere que los solicitantes primerizos demoren las representaciones públicas con respecto a su participación en el Escudo de la privacidad hasta que el Departamento de Comercio finalice la revisión de la certificación. Además, el Departamento de Comercio ha introducido nuevos mecanismos para detectar posibles problemas de cumplimiento, como verificaciones aleatorias (en el momento de la revisión anual, se habían realizado verificaciones aleatorias en unas 100 organizaciones) y la supervisión de informes públicos sobre las prácticas en materia de privacidad de los participantes en el Escudo de la privacidad. Con vistas a la búsqueda de alegaciones falsas de participación en el marco, el Departamento de Comercio está utilizando activamente distintas herramientas como, por ejemplo, una revisión trimestral de las empresas que han sido identificadas como más propensas a realizar alegaciones falsas y un sistema que permite hacer búsquedas de imágenes y texto en Internet. Como resultado de estas prácticas y procedimientos recientemente introducidos, el Departamento de Comercio ha remitido, desde la primera revisión anual, más de 50 casos a la Comisión Federal de Comercio, que a su vez ha adoptado medidas de ejecución forzosa en aquellos casos en que la remisión como tal no fue suficiente para asegurar el cumplimiento por parte de la empresa en cuestión.
Con respecto a la ejecución forzosa, la Comisión observó que la Comisión Federal de Comercio, como parte de sus esfuerzos para supervisar proactivamente el cumplimiento de los principios del Escudo de la privacidad, emitió recientemente citaciones administrativas para solicitar información de cierto número de participantes en el Escudo de la privacidad. La Comisión Federal de Comercio también ha confirmado que su investigación sobre el caso Facebook/Cambridge Analytica está en curso. Aunque la Comisión considera que el nuevo enfoque más proactivo de la Comisión Federal de Comercio para la supervisión del cumplimiento constituye un avance importante, lamenta que en esta etapa no haya sido posible facilitar más información sobre sus investigaciones recientes y supervisará de cerca cualquier novedad a este respecto.
La segunda revisión anual también tuvo en cuenta la evolución pertinente en el sistema jurídico de los EE. UU. en el ámbito de la privacidad. Se trata, en particular, de la consulta iniciada por el Departamento de Comercio sobre un enfoque federal de la privacidad de datos, así como el proceso de reflexión abierto por la Comisión Federal de Comercio sobre sus competencias actuales en el ámbito de la privacidad y la eficacia del uso de su actual autoridad correctiva.
Como lo demuestran el caso Facebook/Cambridge Analytica y otras revelaciones, sería importante que la Unión Europea y los Estados Unidos convergieran aún más en sus respuestas. En este sentido, la Comisión ha observado las iniciativas mencionadas con gran interés y ha contribuido al proceso de consulta del Departamento de Comercio con una comunicación escrita 4 .
En lo que respecta a los aspectos relativos al acceso y la utilización de datos personales por parte de las autoridades públicas de los EE. UU., la segunda revisión anual se centró en la evolución pertinente en el marco jurídico estadounidense, incluidas las políticas y procedimientos de las agencias, las tendencias recientes en las actividades de vigilancia y la evolución en la configuración y el funcionamiento de importantes mecanismos de supervisión y reparación.
La novedad legal más importante en el ámbito del acceso gubernamental fue la reautorización de la Sección 702 de la Ley de vigilancia de inteligencia exterior (en lo sucesivo, «la Ley») a principios de 2018. Si bien la reautorización no dio lugar a la incorporación a la Ley de las protecciones de la Presidential Policy Directive 28 (en lo sucesivo, la «Directiva de Política Presidencial 28», como había sugerido la Comisión, tampoco restringió ninguna de las salvaguardas recogidas en la Ley que estaban vigentes cuando se adoptó la decisión del Escudo de la privacidad. Además, las enmiendas no ampliaron las competencias de la Comunidad de Inteligencia de los Estados Unidos para adquirir información de inteligencia exterior centrándose específicamente en ciudadanos no estadounidenses en virtud de la Sección 702. En cambio, la Ley de reautorización de enmiendas de 2017, que modifica la Ley de vigilancia de inteligencia exterior de 1978, introdujo una serie de salvaguardas de privacidad adicionales limitadas, por ejemplo en el ámbito de la transparencia.
También se han registrado importantes avances en relación con el Consejo de Supervisión de la Privacidad y de las Libertades Civiles, que, en el momento de la primera revisión anual, solo contaba con un miembro. Por lo tanto, la Comisión recomendó que se nombraran lo antes posible miembros del Consejo que faltaban. El 11 de octubre de 2018, el Senado de los EE. UU. confirmó los nombramientos del presidente del Consejo de Supervisión de la Privacidad y de las Libertades Civiles, así como de otros dos miembros del Consejo, recuperando así el quórum necesario y permitiéndole ejercer todas sus funciones. Tras la primera revisión anual, la Comisión había recomendado asimismo la publicación del informe del Consejo sobre la Directiva de Política Presidencial 28. El informe, publicado el 16 de octubre de 2018 5 , confirma que la Directiva de Política Presidencial 28 se aplica plenamente en toda la Comunidad de Inteligencia. En particular, confirma que, además de la publicación de la Directiva de Política Presidencial 28, los elementos pertinentes de la Comunidad de Inteligencia han adoptado reglas detalladas sobre la aplicación de dicha Directiva y han cambiado sus prácticas para adecuarlas a los requisitos de la Directiva de Política Presidencial 28.
Por último, aunque la Comisión recomendó la pronta designación del Defensor del Pueblo en el ámbito del Escudo de la privacidad, el puesto de subsecretario en el Departamento de Estado al que se había asignado el cargo de Defensor del Pueblo aún no había sido ocupado con mediante una designación permanente en el momento de redactarse el presente informe A este respecto, la Comisión tomó nota del hecho de que, en la segunda revisión anual, el gobierno de los EE. UU. reconoció la necesidad de avanzar rápidamente en la designación de un subsecretario permanente y confirmó que este proceso sigue su curso.
En el momento de redactarse el presente informe, el mecanismo del Defensor del Pueblo aún no había recibido ninguna petición. Sin embargo, se había presentado una queja al Defensor del Pueblo ante la autoridad croata de protección de datos y se estaban llevando a cabo las comprobaciones pertinentes.
Los resultados detallados relacionados con el funcionamiento de todos los aspectos del marco del Escudo de la privacidad tras su segundo año de funcionamiento se presentan en el Documento de trabajo de los servicios de la Comisión sobre la revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. [SWD(2018) 497] adjunto al presente informe.
La información recopilada en el contexto de la segunda revisión anual confirma las conclusiones de la Comisión en la decisión de adecuación, tanto con respecto a los «aspectos comerciales» del marco como a los aspectos relacionados con el acceso a los datos personales transferidos con arreglo al Escudo de la privacidad por las autoridades estadounidenses.
Sobre la base de esos resultados, la Comisión concluye que Estados Unidos sigue garantizando un nivel adecuado de protección de los datos personales transferidos con arreglo al Escudo de la privacidad desde la Unión a organizaciones en los Estados Unidos.
En particular, las medidas adoptadas para aplicar las recomendaciones de la Comisión después de la primera revisión anual han mejorado varios aspectos del funcionamiento práctico del marco para asegurar que no se vea afectado el nivel de protección de las personas físicas garantizado por la decisión de adecuación.
Sin embargo, algunas de estas medidas solo han sido tomadas recientemente y los procesos pertinentes están todavía en curso Por lo tanto, cualquier desarrollo adicional relacionado con estos procesos debe ser supervisado de cerca, ya que afectan a elementos que son esenciales para la continuidad de los resultados de adecuación. Esto afecta en particular a:
1.La efectividad de los mecanismos introducidos por el Departamento de Comercio en el segundo año de funcionamiento del marco para supervisar de manera proactiva el cumplimiento por parte de las empresas certificadas de los principios del Escudo de la privacidad, en particular el cumplimiento de requisitos y obligaciones sustantivas.
2.La efectividad de las herramientas introducidas por el Departamento de Comercio desde la primera revisión anual para detectar alegaciones falsas de participación en el marco, centrándose especialmente en la búsqueda de alegaciones falsas por parte de empresas que nunca han solicitado la certificación.
3.El progreso y los resultados de los barridos de oficio llevados a cabo por la Comisión Federal de Comercio en el segundo año de funcionamiento del Escudo de la privacidad mediante citaciones administrativas para detectar violaciones sustantivas del Escudo de la privacidad.
4.El desarrollo de una orientación adicional conjunta por el Departamento de Comercio, la Comisión Federal de Comercio y las autoridades de protección de datos de la UE acerca de los elementos que requieren una mayor aclaración (por ejemplo, datos de RR. HH).
5.La designación de un Defensor del Pueblo permanente en el ámbito del Escudo de la privacidad.
6.La efectividad de la tramitación y resolución de quejas por parte del Defensor del Pueblo.
En particular, la Comisión reitera su llamamiento a la administración de EE. UU. para que confirme su compromiso político con el mecanismo del Defensor del Pueblo mediante la designación de un Defensor del Pueblo permanente en el ámbito del Escudo de la Privacidad con carácter prioritario. El mecanismo del Defensor del Pueblo es un elemento importante del marco del Escudo de la privacidad y, si bien el Defensor del Pueblo en funciones sigue desempeñando las funciones pertinentes, la ausencia de una persona designada permanente es muy insatisfactorio y debe subsanarse lo antes posible. La Comisión espera que el gobierno de los EE. UU. designe un candidato para ocupar el cargo de Defensor del Pueblo de manera permanente a más tardar el 28 de febrero de 2019 y que informe a la Comisión acerca de la persona designada. Si esto no ocurre en ese plazo, la Comisión considerará tomar las medidas apropiadas de acuerdo con el Reglamento general de protección de datos 6 . La Comisión también espera recibir información precisa y detallada acerca de todos los aspectos antes mencionados para poder evaluar si las medidas adoptadas son efectivas en la práctica.
Por último, la Comisión continuará siguiendo de cerca el debate en curso sobre la legislación federal de privacidad en los EE. UU. Teniendo en cuanta la importancia de los flujos de datos transatlánticos, la Comisión anima a los EE. UU. a adoptar un sistema integral de privacidad y protección de datos y a adherirse al Convenio del Consejo de Europa 108. Gracias a tal enfoque completo, la convergencia entre nuestros dos sistemas se puede lograr a más largo plazo, lo que también contribuiría a fortalecer los cimientos sobre los cuales se ha desarrollado el marco del Escudo de la privacidad.
Decisión de Ejecución (UE) 2016/1250 de la Comisión, de 12 de julio de 2016, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. (DO L 2017 de 1.8.2016, p. 1).
Informe de la Comisión al Parlamento Europeo y al Consejo sobre la primera revisión anual del funcionamiento del Escudo de la privacidad UE-EE. UU. [COM (2017) 611 final], véase http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Documento de trabajo de los servicios de la Comisión que acompaña el Informe de la Comisión al Parlamento Europeo y al Consejo sobre la primera revisión anual del funcionamiento Escudo de la privacidad de la UE-EE. UU. [SWD(2017) 344 final], véase http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=605619 .
Disponible en https://ec.europa.eu/info/sites/info/files/european_commission_submission_on_a_proposed_approach_to_consumer_privacy.pdf
Informe al Presidente sobre «la aplicación de la Directiva de la Política Presidencial 28: actividades de inteligencia de señales», disponible en https://www.pclob.gov/reports/report-PPD28/
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).