Comité Europe de Protección de Datos

Comité Europeo de Protección de Datos — Quinta sesión plenaria: Proyecto de Decisión de adecuación UE-Japón, listas de evaluaciones de impacto sobre la protección de datos (Dinamarca, Hungría, Luxemburgo y Eslovenia) y directrices sobre acreditación

Generic press release icon
Wednesday, 5 December, 2018
EDPB

Bruselas, 5 de diciembre — Los días 4 y 5 de diciembre las autoridades europeas de protección de datos, reunidas en el Comité Europeo de Protección de Datos (CEPD), celebraron su quinta sesión Plenaria. Durante el pleno se debatió una amplia gama de asuntos.

Proyecto de decisión de adecuación UE-Japón

Los miembros del Comité aprobaron un dictamen sobre el proyecto de decisión de adecuación UE-Japón, que el Comité recibió de la Comisión Europea en septiembre de 2018. El CEPD realizó su evaluación sobre la base de la documentación facilitada por la Comisión Europea. El objetivo clave del CEPD era evaluar si la Comisión se ha asegurado de la existencia de salvaguardas suficientes que garanticen la protección de datos de las personas en el marco jurídico japonés. Es importante reconocer que el CEPD no espera que el marco jurídico japonés reproduzca la legislación europea en materia de protección de datos. El CEPD acoge con satisfacción los esfuerzos realizados por la Comisión Europea y la Personal Information Protection Commission (PPC) de Japón para aumentar la convergencia entre el marco jurídico japonés y el marco europeo. Las mejoras introducidas por las normas suplementarias para salvar algunas de las diferencias entre los dos marcos son muy importantes y son bien recibidas. Sin embargo, tras un minucioso análisis del proyecto de decisión de adecuación de la Comisión, así como del marco de protección de datos de Japón, el CEPD señala que subsisten algunos motivos de preocupación, como la protección de los datos personales que se transfieren desde la UE a Japón a lo largo de todo su ciclo de vida. El Comité Europeo de Protección de Datos recomienda a la Comisión Europea que aborde las preocupaciones y solicitudes de aclaración formuladas por el CEPD, que proporcione evidencias y explicaciones adicionales en relación a las cuestiones suscitadas y que supervise de cerca la aplicación efectiva.
El Comité Europeo de Protección de Datos considera que la decisión de adecuación UE-Japón es de vital importancia. Como primera decisión de adecuación desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), sentará un precedente.

Listas de tratamientos que precisan de una evaluación de impacto en la protección de datos

El Comité Europeo de Protección de Datos ha adoptado los dictámenes sobre las listas de evaluación del impacto en la protección de datos, presentadas al Comité por Dinamarca, Croacia, Luxemburgo y Eslovenia. Estas listas constituyen un instrumento importante para la aplicación coherente del Reglamento General de Protección de Datos en todo el Espacio Económico Europeo (EEE). La evaluación del impacto en la protección de datos es un proceso para ayudar a identificar y mitigar los riesgos para la protección de datos que podrían afectar a los derechos y libertades de las personas. Aunque, en general, el responsable del tratamiento debe evaluar si es necesaria una EIPD antes de iniciar la actividad de tratamiento, las autoridades nacionales de supervisión establecerán y elaborarán una lista del tipo de operaciones de tratamiento sujetas al requisito de una evaluación de impacto sobre la protección de datos. Estos cuatro dictámenes siguen a los 22 dictámenes aprobados en el plenario de septiembre, y seguirán contribuyendo a establecer criterios comunes para las listas de tratamientos que precisan de evaluaciones de impacto en la protección de datos en el EEE. La Presidenta del CEPD, Andrea Jelinek, ha declarado: «Este proceso ha sido una excelente oportunidad para que el CEPD evalúe las posibilidades y los retos de la coherencia en la práctica. El Reglamento General de Protección de Datos no exige una armonización completa ni una «lista de la UE», sino que requiere una mayor coherencia, que hemos logrado en todos estos dictámenes al acordar una visión común».

Directrices sobre acreditación
El Comité Europeo de Protección de Datos ha adoptado una versión revisada de las directrices para la acreditación del Grupo de Trabajo del Artículo 29, que incluye un nuevo anexo. El proyecto de directrices se adoptó inicialmente por el GT29 y se sometió a consulta pública. El Comité Europeo de Protección de Datos concluyó el análisis y llegó a una conclusión sobre la versión final. El objetivo de las directrices es proporcionar orientación sobre cómo interpretar y aplicar las disposiciones del artículo 43 del RGPD. En particular, las Directrices aspiran a ayudar a los Estados miembros, a las autoridades de supervisión y a las entidades nacionales de acreditación a establecer una base de referencia coherente y armonizada para la acreditación de los organismos de certificación que expiden la certificación de conformidad con el Reglamento General de Protección de Datos. Las directrices se han completado con un anexo en el que se ofrecen orientaciones sobre los requisitos adicionales para la acreditación de las entidades de certificación que deben establecer las autoridades de supervisión. Este anexo será objeto de consulta pública.