Comité Europe de Protección de Datos

Comité Europeo de Protección de Datos — sexto Plenario: Escudo de Privacidad, Brexit, preguntas & respuestas sobre ensayos clínicos, listas de tratamientos que requieren EIPD, directrices sobre certificación, respuesta del CEPD a la Autoridad de Supervisi

Thursday, 24 January, 2019
EDPB

Bruselas, 24 de enero — El 22 y el 23 de enero, las Autoridades Europeas de Protección de Datos que forman el Comité Europeo de Protección de Datos, se reunieron para su sexto plenario. Durante el mismo se debatieron una amplia gama de temas.

Escudo de Privacidad.
Los miembros del Comité aprobaron el informe del CEPD sobre la segunda revisión anual del Escudo de Privacidad entre Europa y Estados Unidos. El CEPD acoge con satisfacción los esfuerzos realizados por las autoridades de los Estados Unidos y la Comisión para aplicar el Escudo de Privacidad, en particular las acciones emprendidas para adaptar el proceso de certificación inicial, iniciar acciones de  supervisión y aplicación, así como los esfuerzos para publicar una serie de documentos importantes, en parte por desclasificación (como las decisiones del Tribunal  FISA), el nombramiento de un nuevo presidente, así como de tres nuevos miembros del  Comité de Supervisión de la Privacidad y de las Libertades Civiles (PCLOB, por sus siglas en inglés) y el nombramiento recientemente anunciado de un Defensor del Pueblo para la protección de datos permanente.

A la vista de las conclusiones de la segunda revisión conjunta, persisten las dudas sobre la aplicación del Escudo de Privacidad. Esto incluye las preocupaciones ya expresadas por el predecesor del CEPD - el Grupo de Trabajo del Artículo 29 (WP29, por sus siglas en inglés)- sobre la falta de garantías concretas de que se excluyan la recogida indiscriminada y el acceso a los datos personales con fines de seguridad nacional. Asimismo, sobre la base de la información facilitada hasta la fecha, el CEPD no puede actualmente considerar que el Defensor del Pueblo esté dotado de competencias suficientes para corregir el incumplimiento. Además, el Comité señala que los controles para el cumplimiento del contenido de los principios del Escudo de Privacidad no son suficientemente sólidos.

Por otra parte, el CEPD tiene algunas preocupaciones adicionales por lo que se refiere a los controles necesarios para cumplir con los requisitos de transferencia posteriores a terceros estados u organizaciones internacionales, el alcance de la interpretación de la definición de “recursos humanos” y el proceso de renovación de la certificación, así como a una lista de las cuestiones pendientes planteadas tras la primera revisión conjunta.

Brexit
El CEPD debatió las posibles consecuencias del Brexit en el ámbito de la protección de datos. Los miembros acordaron cooperar e intercambiar información sobre sus preparativos y las herramientas disponibles para transferir datos al Reino Unido, una vez que el Reino Unido ya no forme parte de la UE.

Preguntas y respuestas sobre ensayos clínicos
A raíz de una solicitud de la Comisión Europea (DG SANTE), el Comité Europeo de Protección de Datos (CEPD) adoptó su dictamen sobre el documento de preguntas y respuestas frecuentes sobre los ensayos clínicos. El dictamen aborda, en particular, los aspectos relacionados con los fundamentos jurídicos adecuados en el contexto de los ensayos clínicos y los usos secundarios de los datos de ensayos clínicos con fines científicos. El dictamen se trasladará ahora a la Comisión Europea.

Las listas relativas a la evaluación de impacto sobre la protección de datos

El CEPD ha adoptado dictámenes sobre las listas de evaluación de impacto sobre la protección de datos, presentadas al Comité por Liechtenstein y Noruega. Estas listas constituyen un instrumento importante para la aplicación coherente del Reglamento General de Protección de Datos (RGPD) en todo el Espacio Económico Europeo (EEE). La evaluación de impacto sobre la protección de datos (EIPD) es una herramienta para ayudar a identificar y mitigar los riesgos para la protección de datos que podrían afectar a los derechos y libertades de las personas. Aunque, en general, el responsable del tratamiento debe evaluar si es necesaria una EIPD antes de iniciar la actividad de tratamiento, las Autoridades Nacionales de Supervisión establecen una lista de los tipos de tratamientos sujetaos obligatoriamente al requisito de una EIPD. Estos dos dictámenes siguen los 22 dictámenes aprobados en el plenario de septiembre, y los cuatro dictámenes aprobados durante el plenario de diciembre, y seguirán contribuyendo a establecer criterios comunes para las listas de tratamientos que requieren una EIPD en el EEE.

Directrices sobre la certificación
El Comité Europeo de Protección de Datos adoptó la versión final de las directrices en materia de certificación tras una consulta pública. Además, el Comité también aprobó un nuevo anexo. La versión preliminar de las directrices se aprobó durante el primer plenario del CEPD en mayo de 2018. El principal objetivo de estas directrices es determinar los criterios generales que pueden ser pertinentes para los tipos de mecanismos de certificación emitidos de conformidad con el artículo 42 y el artículo 43 del RGPD. Como tales, las directrices analizan la justificación para la certificación como herramienta de rendición de cuentas, proporcionan explicaciones sobre los conceptos clave de las disposiciones de certificación en el artículo 42 y el artículo 43, explican el alcance de lo que puede certificarse y describen la finalidad de la certificación. Las directrices ayudarán a los Estados miembros, a las autoridades de supervisión y a los organismos nacionales de acreditación (NAB, por sus siglas en inglés) a revisar y aprobar los criterios de certificación de conformidad con el artículo 42 y el artículo 43 del RGPD. El anexo se someterá a consulta pública.

Respuesta a la Autoridad de Supervisión de Australia sobre la notificación de brechas de seguridad
En octubre de 2018, el presidente del CEPD recibió una solicitud por escrito de la Oficina del Comisionado de la Información de Australia en relación con la publicación de las notificaciones de brechas de seguridad por parte de las autoridades de supervisión. El Comité acoge con satisfacción el interés del Comisionado australiano en cooperar con el Comité Europeo de Protección de Datos en esta cuestión y subraya la importancia de la colaboración internacional. En su respuesta, el CEPD proporciona más información sobre el modo en el que las autoridades de supervisión gestionan la publicación de información relativa a las notificaciones de brechas de seguridad.