25.5.2016   

ES

Diario Oficial de la Unión Europea

C 186/4

Resumen ejecutivo del dictamen preliminar del Supervisor Europeo de Protección de Datos sobre el Acuerdo entre los Estados Unidos de América y la Unión Europea para la protección de datos personales relativos a la prevención, investigación, detección y enjuiciamiento de infracciones penales

[El texto completo del presente dictamen está disponible en alemán, francés e inglés en el sitio web del SEPD www.edps.europa.eu]

(2016/C 186/04)

El presente Dictamen se basa en la obligación de carácter general de que los acuerdos internacionales celebrados por la UE cumplan las disposiciones del Tratado de Funcionamiento de la Unión Europea (TFUE) y respeten los derechos fundamentales contemplados en la legislación de la Unión. En particular, se analiza la conformidad del contenido del Acuerdo marco con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16 del TFUE que garantiza la protección de los datos personales.

RESUMEN EJECUTIVO

La investigación y el enjuiciamiento de los delitos es un objetivo legítimo de las políticas públicas, y la cooperación internacional, incluyendo el intercambio de información, es ahora más importante que nunca. Hasta la fecha, la UE no ha tenido un marco común sólido en este ámbito y, por ende, no existen salvaguardias coherentes para los derechos y las libertades fundamentales de las personas. Como argumenta desde hace tiempo el SEPD, la UE necesita regímenes sostenibles para intercambiar datos personales con terceros países con fines policiales y judiciales, que sean plenamente compatibles con los Tratados de la UE y la Carta de los Derechos Fundamentales.

Por consiguiente, acogemos con beneplácito y apoyamos activamente los esfuerzos que lleva a cabo la Comisión Europea para llegar a un «Acuerdo marco» con los Estados Unidos. Este acuerdo internacional de cooperación policial y judicial pretende establecer por primera vez la protección de datos como fundamento para el intercambio de información. Aunque reconocemos que no es posible replicar en su totalidad la terminología y las definiciones del Derecho de la Unión en un acuerdo con un tercer país, las salvaguardias para las personas deben ser claras y eficaces para cumplir plenamente el Derecho primario de la UE.

En los últimos años, el Tribunal de Justicia de la Unión Europea ha afirmado algunos principios de la protección de datos, entre ellos, la objetividad, exactitud y pertinencia de la información, la supervisión independiente y los derechos individuales de las personas. Estos principios son importantes tanto para los organismos públicos como para las empresas privadas, independientemente de las decisiones formales de adecuación de la UE respecto a las salvaguardias de protección de datos de terceros países; de hecho, resultan aún más importantes en vista de la sensibilidad de los datos necesarios para las investigaciones penales.

El presente Dictamen pretende ofrecer a las instituciones de la UE una orientación constructiva y objetiva ahora que la Comisión finaliza esta delicada tarea, que tiene amplias ramificaciones, no solo para la cooperación judicial entre la UE y los Estados Unidos, sino también para futuros acuerdos internacionales. El «Acuerdo marco» es independiente del recientemente anunciado «Escudo de la privacidad UE-EE. UU.» sobre la transferencia de información personal en entornos comerciales, pero debe examinarse conjuntamente con este. Es posible que deban tenerse en cuenta otros aspectos para analizar la interacción entre estos dos instrumentos y la reforma del marco de la UE en materia de protección de datos.

Antes de que el Acuerdo se presente para su aprobación por el Parlamento, recomendamos a las Partes que tengan muy en cuenta los importantes acontecimientos ocurridos desde el pasado mes de septiembre, cuando señalaron su intención de celebrar el Acuerdo una vez adoptada la Ley de recurso judicial. Acogemos con satisfacción muchas de las salvaguardias ya previstas, pero deben reforzarse, incluso a la vista de la sentencia en el asunto Schrems del mes de octubre que anula la Decisión sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada, y el acuerdo político de la UE sobre la reforma de la protección de datos del mes de diciembre, que abarca las transferencias y la cooperación judicial y policial.

El SEPD ha identificado tres mejoras esenciales que recomienda para que el texto cumpla lo dispuesto en la Carta y en el artículo 16 del Tratado:

aclarar que todas las salvaguardias se aplican a todas las personas, no solo a los nacionales de los Estados miembros de la UE;

garantizar que las disposiciones de recurso judicial sean eficaces en el sentido de la Carta;

aclarar que no se autoriza la transferencia de grandes cantidades de datos sensibles.

El Dictamen incluye otras recomendaciones para aclarar las salvaguardias previstas en forma de un documento explicativo adjunto. Permanecemos a la disposición de las instituciones para asesorarlas y dialogar sobre esta cuestión.

I.   Contexto del Acuerdo rubricado

1.

El 3 de diciembre de 2010, el Consejo adoptó una decisión por la que autorizaba a la Comisión a iniciar negociaciones para la celebración de un acuerdo entre la Unión Europea y los Estados Unidos de América en materia de protección de datos personales cuando estos se transfieran y sean objeto de tratamiento con el fin de prevenir, investigar, detectar o perseguir delitos, incluido el terrorismo, en el marco de la cooperación policial y judicial en asuntos penales (en lo sucesivo, el «Acuerdo») (1).

2.

Las negociaciones entre la Comisión y las autoridades de los Estados Unidos comenzaron oficialmente el 29 de marzo de 2011 (2). El 25 de junio de 2014, el Fiscal General de los Estados Unidos anunció que se llevaría a cabo una acción legislativa para ofrecer recurso judicial en relación con el derecho a la intimidad de los ciudadanos de la Unión Europea en los Estados Unidos (3). Tras varias rondas de negociaciones, que se prolongaron durante más de cuatro años, el Acuerdo se rubricó el 8 de septiembre de 2015. Según la Comisión, el objetivo es firmar y celebrar formalmente el Acuerdo una vez que se adopte la Ley de recurso judicial en los Estados Unidos (4).

3.

El Parlamento Europeo debe dar su aprobación al texto rubricado del Acuerdo y el Consejo debe firmarlo. Hasta que esto no suceda y el Acuerdo no se haya firmado formalmente, cabe señalar que pueden volver a abrirse las negociaciones sobre puntos concretos. Es en este contexto que el SEPD emite el presente Dictamen, que se basa en el texto rubricado del Acuerdo publicado en el sitio web de la Comisión (5). Se trata de un Dictamen preliminar basado en un primer análisis de un texto legal complejo, sin prejuicio de otras recomendaciones que puedan hacerse sobre la base de nueva información disponible, incluidos los acontecimientos legislativos que tengan lugar en los Estados Unidos, como la adopción de la Ley de recurso judicial. El SEPD ha identificado tres puntos esenciales que deben mejorare y destaca igualmente otros aspectos sobre los que se recomienda hacer aclaraciones importantes. Con estas mejoras se puede considerar que el Acuerdo es conforme al Derecho primario de la Unión.

V.   Conclusiones

53.

El SEPD acoge con satisfacción la intención de adoptar un instrumento legalmente vinculante destinado a garantizar un alto nivel de protección de los datos personales transferidos entre la UE y los Estados Unidos para prevenir, investigar, detectar o enjuiciar delitos penales, incluido el terrorismo.

54.

La mayoría de las disposiciones sustantivas del Acuerdo tienen por finalidad establecer una correspondencia total o parcial con las garantías fundamentales del derecho a la protección de los datos personales en la UE (como los derechos del titular de los datos, la supervisión independiente y el derecho al control judicial).

55.

Aunque el Acuerdo no constituye técnicamente una decisión de idoneidad, crea una presunción general de conformidad para las transferencias con una base legal específica, en el marco del Acuerdo. Por ello es crucial garantizar que esta «presunción» esté reforzada por todas las salvaguardias necesarias dentro del texto del Acuerdo, para evitar una infracción de la Carta, en particular de sus artículos 7, 8 y 47.

56.

El SEPD recomienda tres mejoras esenciales para garantizar que el texto cumpla lo dispuesto en la Carta y en el artículo 16 del Tratado:

1)

aclarar que todas las salvaguardias se aplican a todas las personas, no solo a los nacionales de los Estados miembros de la UE;

2)

garantizar que las disposiciones de recurso judicial sean eficaces en el sentido de la Carta;

3)

aclarar que no se autoriza la transferencia de grandes cantidades de datos sensibles.

57.

Por otra parte, en aras de la seguridad jurídica, el SEPD recomienda que las siguientes mejoras o aclaraciones que se detallan en el presente Dictamen se introduzcan en el texto del Acuerdo o en las declaraciones explicativas que se adjuntarán al Acuerdo, o en la fase de aplicación de este último:

1)

que el artículo 5, apartado 3, se interprete de tal forma que respete el papel de las autoridades de supervisión de modo que sea conforme con el artículo 8, apartado 3, de la Carta;

2)

que las bases jurídicas específicas para las transferencias (artículo 5, apartado 1) cumplan plenamente las salvaguardias contempladas en el Acuerdo y que, en caso de conflicto entre una base jurídica específica y el Acuerdo, prevalezca este último;

3)

que en caso de que la protección de los datos transferidos a autoridades de nivel estatal no sea eficaz, las medidas contempladas en el artículo 14, apartado 2, incluyan, si fuera necesario, medidas que afecten a los datos ya transferidos;

4)

que las definiciones de operaciones de tratamiento e información personal (artículo 2) se adapten para ser conformes con la interpretación establecida del Derecho de la Unión; en caso de que las Partes no adapten plenamente estas definiciones, habría que aclarar en los documentos explicativos que acompañan al Acuerdo que la aplicación de las dos nociones no diferirá en lo esencial de su interpretación en el Derecho de la Unión;

5)

que podría incluirse en la declaración explicativa una lista indicativa de «condiciones específicas» cuando se transfieran grandes cantidades de datos (artículo 7, apartado 3);

6)

que las Partes tienen la intención de aplicar las disposiciones relativas a las notificaciones de vulneración de información (artículo 10) con el fin de limitar en la medida de lo posible la omisión de las notificaciones, por una parte, y evitar retrasos excesivos de las notificaciones, por la otra;

7)

que la retención de datos contemplada en el artículo 12, apartado 1, se complemente con la especificación «a los fines concretos para los que fueron transferidos», en vista del principio de limitación de la finalidad que las Partes invocan en el Acuerdo;

8)

que las Partes del Acuerdo estudien la posibilidad de redoblar sus esfuerzos para garantizar que las restricciones al ejercicio del derecho de acceso se limiten a lo indispensable para proteger los intereses públicos enumerados y para reforzar la obligación de transparencia;

9)

que una declaración explicativa detallada adjunta al Acuerdo enumere específicamente (artículo 21) lo siguiente:

las autoridades de supervisión competentes en esta materia y el mecanismo para que las Partes se informen mutuamente sobre futuros cambios;

los poderes efectivos que pueden ejercer;

la identidad y las coordenadas del punto de contacto que ayudará a la identificación del organismo de supervisión competente (véase el artículo 22, apartado 2).

58.

Por último, el SEPD desea recordar que, en caso de falta de claridad y conflicto manifiesto entre disposiciones, es necesario que todas las medidas de interpretación, aplicación y ejecución del Acuerdo se lleven a cabo de tal forma que sean conformes con los principios constitucionales de la UE, en particular con el artículo 16 del TFUE y los artículos 7 y 8 de la Carta, independientemente de las bienvenidas mejoras que se aduzcan tras las recomendaciones que figuran en el presente Dictamen.

Hecho en Bruselas, el 12 de febrero de 2016.

Giovanni BUTTARELLI

Supervisor Europeo de Protección de Datos

(1)  Véase el comunicado de prensa 10/1661 de la Comisión Europea, publicado el 3 de diciembre de 2010, disponible en: http://europa.eu/rapid/press-release_IP-10-1661_es.htm.

(2)  Véase el comunicado de prensa 11/203 de la Comisión Europea, publicado el 29 de marzo de 2011, disponible en: http://europa.eu/rapid/press-release_MEMO-11-203_en.htm.

(3)  Véase el comunicado de prensa 14-668 de la Oficina del Fiscal General, publicado el 25 de junio de 2014, disponible en: http://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens-judicial-redress.

(4)  Véase el comunicado de prensa 15/5612 de la Comisión Europea, publicado el 8 de septiembre de 2015, disponible en: http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.

(5)  El texto está disponible en: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf.