Comité Europe de Protección de Datos

Comité Europeo de Protección de Datos (CEPD) — Duodécima sesión plenaria

Thursday, 11 July, 2019
EDPB

Bruselas, 11 de julio — El 9 y el 10 de julio, las Autoridades de protección de datos del Espacio Económico Europeo (EEE) y el Supervisor Europeo de Protección de Datos (SEPD), reunidos en el Consejo Europeo de Protección de Datos, se reunieron durante su duodécimo pleno. En esta se debatieron diversos asuntos.

Directrices sobre videovigilancia
El Comité adoptó unas directrices sobre la videovigilancia, que aclaran cómo se aplica el Reglamento General de Protección de Datos (RGPD) al tratamiento de datos personales cuando utilizan  dispositivos de vídeo y pretenden garantizar la aplicación coherente del Reglamento a este respecto. Las directrices abarcan tanto los dispositivos de vídeo tradicionales como los aparatos de vídeo inteligentes. Para estas últimas, las directrices se centran en las normas relativas al tratamiento de categorías especiales de datos. Además, las directrices abarcan, entre otras cosas, la legalidad del tratamiento, la aplicabilidad de la excepción doméstica y la divulgación de las grabaciones a terceros. Las directrices serán objeto de consulta pública.

Respuesta conjunta del CEPD y el SEPD a la Comisión LIBE sobre las implicaciones de la Ley estadounidense CLOUD
El CEPD ha adoptado una respuesta conjunta con el el SEPD a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) sobre una evaluación jurídica relativa al impacto de la ley CLOUD estadounidense sobre el marco jurídico de protección de datos de la UE y el mandato de negociación de un acuerdo entre la UE y los EE.UU. sobre el acceso transfronterizo a las pruebas electrónicas en el ámbito de la cooperación judicial en materia penal. La Ley CLOUD permite a las autoridades policiales de los EE.UU. exigir la divulgación de datos por parte de los proveedores de servicios en los Estados Unidos, independientemente del lugar en el que se almacenen los datos.

El CEPD y el SEPD  hacen hincapié en que un acuerdo global entre la UE y los EE. UU. relativo al acceso transfronterizo a las pruebas electrónicas, que contenga sólidas salvaguardias de procedimiento y sustanciales para los derechos fundamentales, parece el instrumento más adecuado para garantizar el nivel necesario de protección de los interesados de la UE y la seguridad jurídica para las empresas.

Dictamen del artículo 64  del RGPD sobre las cláusulas contractuales  estándar para encargados del tratamiento  en virtud del artículo 28.8 del RGPD por parte de la Autoridad de supervisión de Dinamarca
El Comité  adoptó su dictamen sobre el proyecto de cláusulas contractuales  estándar para regular el tratamiento por un encargado presentado a la Junta por la Autoridad de Supervisión de Dinamarca. El dictamen, que es el primero sobre este tema, tiene por objeto garantizar la aplicación coherente del artículo 28 del RGPD, relativo a los encargados del tratamiento. En él,  el Comité hizo varias recomendaciones que debían tenerse en cuenta para que  las cláusulas presentadas por la autoridad danesa fueran consideradas como cláusulas contractuales  estándar. Si se aplican todas las recomendaciones, la autoridad danesa podrá  adoptar estas cláusulas contractuales  estándar, de conformidad con el artículo 28, apartado 8, del RGPD.

Dictamen del artículo 64  del RGPD sobre los  requisitos de acreditación de los organismos de supervisión de los códigos de conducta de la Autoridad de supervisión de Austria
Tras la presentación por la autoridad austríaca de su proyecto de Decisión sobre los  requisitos de acreditación de los códigos de conducta, el Comité adoptó su dictamen.  El Comité  acordó que todos los códigos que cubren a las autoridades y organismos no públicos deben contar con organismos de supervisión acreditados de conformidad con el RGPD.

Dictamen del artículo 64  del RGPD sobre la competencia de una autoridad de control en caso de cambio en las circunstancias relativas al establecimiento principal o único
El Comité adoptó un dictamen sobre la competencia de una autoridad de control cuando cambian las circunstancias relativas a la modificación del establecimiento principal o  único. Esto puede suceder cuando el establecimiento principal se traslade a otro país dentro del EEE, un establecimiento principal se traslade al EEE desde un tercer país, o cuando  desaparezca un establecimiento principal o único  del EEE. En tales circunstancias, el Comité opina que la competencia de la autoridad de control principal  puede cambiarse a otra autoridad de supervisión. En este caso, seguirá aplicándose el procedimiento de cooperación establecido en el artículo 60 y la nueva  autoridad principal estará obligada a cooperar con la autoridad líder original  y con las otras  autoridades de supervisión interesadas en un esfuerzo por llegar a un consenso. El cambio puede tener lugar mientras la autoridad de control competente no haya adoptado una decisión definitiva.

SEPD B-SEPD — Opinión conjunta sobre la  infraestructura de servicios digitales de sanidad electrónica
El Comité adoptó un dictamen conjunto con el SEPD sobre aspectos relativos a la protección de datos personales en el tratamiento de los datos de los pacientes en la infraestructura de servicios digitales de sanidad electrónica (eHDSI). Es el primer dictamen conjunto del CEPD  y del SEPD adoptado en respuesta a una solicitud de la Comisión Europea de conformidad con el artículo 42, apartado 2, del Reglamento (CE) n.º 2018/1725 relativo a la protección de datos de las instituciones y organismos de la UE. En su opinión, el  CEPD y el SEPD consideran que, en esta situación específica, y para el tratamiento concreto de los datos de los pacientes en la eHDSI, no hay razón para  disentir de la evaluación de la Comisión Europea de su papel de encargado del tratamiento en la eHDSI. Además, el dictamen conjunto subraya la necesidad de garantizar que se establezcan claramente, en el acto de ejecución correspondiente, que la Comisión, como encargada del tratamiento, ha de cumplir con todas las obligaciones del encargado del tratamiento  en esta operación de tratamiento, tal como se especifica en la legislación aplicable en materia de protección de datos..

Lista de EIPD de Chipre
El Comité  ha adoptado un dictamen sobre la lista de tratamientos que requieren de una evaluación del impacto sobre la protección de datos que Chipre presentó al Consejo de Administración. Las listas EIPD constituyen una herramienta importante para la aplicación coherente del RGPD en el EEE.La EIPD es un proceso que contribuye a la determinación y la mitigación de los riesgos que pueden afectar a los derechos y libertades individuales.

Dictamen del artículo  64 del RGPD, relativo al artículo 35.5 en relación con las listas de tratamientos que no requieren evaluación de impacto en la protección de datos (EIPD),  de las autoridades francessa, española y checa
El Comité Europeo de Protección de Datos adoptó  los dictámenes sobre las listas del artículo 35.5 presentadas  por las autoridades de supervisión francesa , española y checa.

Recomendación sobre la lista del SEPD conforme al artículo 39.4 del Reglamento 2018/1725 (lista para la EIPD)
El  Comité ha adoptado una recomendación sobre la lista del artículo 39.4 presentada por el SEPD.El Supervisor tiene que consultar al Comité  antes de la adopción de dichas listas, en la medida en que estas «se refieran a las operaciones de tratamiento por parte de un responsable del tratamiento que actúe conjuntamente con uno o más responsables del tratamiento distintos de las instituciones y órganos de la Unión» (artículo 39, apartado 6, del Reglamento (UE) 2018/1725). Al igual que en las listas de EIPD del Supervisor Europeo de Protección de Datos, la lista del SEPD informa a los responsables del tratamiento acerca de las actividades de tratamiento que requieren una EIPD.

Nota a los editores:
Tenga en cuenta que todos los documentos aprobados durante el pleno del  Comité Europeo de Protección de Datos están sujetos a los controles jurídicos, lingüísticos y de formato necesarios y se publicarán en el sitio web del Consejo Europeo de Protección de Datos una vez hayan sido completados.