Declaración de la Comisión en relación con el Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de los datos personales en relación con la prevención, la investigación, la detección y el enjuiciamiento de infracciones penales («Acuerdo marco»)

La Comisión recuerda que el Acuerdo marco no constituye una base jurídica de cara a la transferencia de datos personales entre la UE y los EE. UU. para la prevención, la investigación, la detección o el enjuiciamiento de delitos, incluido el terrorismo (véase el artículo 1, apartado 3, del Acuerdo). En cambio, en combinación con la base jurídica aplicable a las transferencias, y sujeto a las condiciones que se establecen en su artículo 5, el Acuerdo tiene por objeto establecer garantías apropiadas en el sentido del artículo 37, apartado 1, de la Directiva 2016/680. Sin embargo, no establece una autorización general de las transferencias. Además, el Acuerdo respeta la facultad de las autoridades nacionales de protección de datos para ejercer plenamente las competencias de supervisión que les otorga el Derecho de la UE en lo que se refiere a las transferencias internacionales que entran en su ámbito de aplicación.

La Comisión destaca, en consonancia con la petición del Parlamento Europeo en su Resolución de 12 de marzo de 2014 [2013/2188(INI)], que para garantizar «recursos […] judiciales eficaces y aplicables a todos los ciudadanos de la UE en los EE. UU.» y poner «los derechos de los ciudadanos de la UE en el mismo plano que los derechos de los ciudadanos de los EE. UU.», el artículo 19, apartado 1, del Acuerdo marco, otorga a los ciudadanos de la UE derechos para la presentación de recursos judiciales. Para dar cumplimiento a dicha disposición, el Congreso de los EE. UU. ya ha adoptado el «Judicial Redress Act» (Ley de recurso judicial). Se trata de un paso importante en el proceso de aplicación. Basándose en las garantías recibidas durante las negociaciones, la Comisión espera se efectúen todos los nombramientos con arreglo a dicha Ley, tanto los de la UE, en tanto que «covered country» (país cubierto), como los de las agencias de los EE. UU. que tratan datos que entran en el ámbito de aplicación del Acuerdo en tanto que «designated federal agency or component» (agencia federal designada o componente), y que todas las transferencias de datos que entran en el ámbito de aplicación del Acuerdo quedarán cubiertas. La Comisión confirma que están incluidas las transferencias llevadas a cabo con base en el Acuerdo UE-EE. UU. sobre el Registro de Nombres de los Pasajeros (RNP) y el Acuerdo UE-EE. UU. sobre el tratamiento y la transferencia de datos de mensajería financiera de la UE a los EE. UU. a efectos del Programa de Seguimiento de la Financiación del Terrorismo (PSFT) (véase el artículo 3, apartado 1, leído en relación con el párrafo cuarto del preámbulo del Acuerdo), y que los titulares de datos incluidos en ambos conjuntos no pueden ser privados de los derechos de recurso judicial reconocidos por la Ley de recurso judicial. La Comisión considera que solo de este modo se garantizará la plena aplicación del artículo 19, apartado 1, del Acuerdo, tal como se dispone en su artículo 5, apartados 2 y 3.

La Comisión considera que el artículo 19, apartado 1, del Acuerdo marco constituye una disposición esencial del mismo que debe aplicarse plenamente, especialmente mediante los nombramientos necesarios. Por otra parte, tal y como se prevé en el artículo 23, apartado 1, del Acuerdo, la Comisión prestará especial atención, durante la revisión conjunta, a la aplicación efectiva del artículo 19 del Acuerdo, relativo a los recursos judiciales.

Si bien los derechos de recurso judicial adicionales previstos en el artículo 19, apartado 1, del Acuerdo, no son extensivos a los ciudadanos no pertenecientes a la UE, ello se entenderá sin perjuicio de otras vías de recurso que en el marco de la legislación estadounidense amparen a cualquier persona con independencia de su nacionalidad o residencia (véase el artículo 19, apartado 3, del Acuerdo); por ejemplo, las reconocidas en virtud del «Administrative Procedure Act» (Ley de procedimiento administrativo), el «Electronic Communications Privacy Act» (Ley de privacidad de las comunicaciones electrónicas) y el «Freedom of Information Act» (Ley de libertad de información).