Comité Europe de Protección de Datos

XV sesión plenaria: Revisión del Escudo de la privacidad, directrices sobre el ámbito territorial, directrices sobre protección de datos desde el diseño y por defecto , , dictamen sobre normas corporativas vinculantes de Exxon Mobil, carta de respuesta a

Thursday, 14 November, 2019
EDPB

Bruselas, 14 de noviembre — El 12 y el 13 de noviembre, las Autoridades europeas de Protección de Datos  y el Supervisor Europeo de Protección de Datos, reunidos en el  Comité  Europeo de Protección de Datos (CEPD), se reunieron en su decimoquinto Pleno, donde se  se debatieron  varios temas.
 
Tercera revisión del Escudo de la privacidad
El CEPD adoptó su informe sobre la tercera revisión conjunta anual del Escudo de la privacidad entre la Unión Europea y Estados Unidos. En el informe, el  Comité acoge con satisfacción los esfuerzos realizados por las autoridades estadounidenses para aplicar el Escudo de la privacidad, especialmente en lo que respecta a las medidas de supervisión y ejecución de oficio de los aspectos comerciales, así como a los nombramientos de los últimos miembros del Consejo de Supervisión de la Privacidad y de las Libertades Civiles (PCLOB) y de un Defensor del Pueblo permanente.

Sin embargo, hay una serie de preocupaciones a las que todavía no se ha dado respuesta. El Comité señala que siguen existiendo importantes controles de conformidad con el contenido de los principios del Escudo de la privacidad. Otros ámbitos que requieren mayor atención son la aplicación de los requisitos del Escudo de la privacidad en relación con las transferencias ulteriores, los datos y los encargados de los derechos humanos, así como el proceso de nueva certificación. En términos más generales, los miembros del equipo revisor se beneficiarían de un acceso más amplio a información no pública, en relación con los aspectos comerciales y las investigaciones en curso.

Por lo que se refiere a la recogida de datos por parte de las autoridades públicas, el Comité  insta al PCLOB a que publique  nuevos informes para proporcionar una evaluación independiente de los programas de vigilancia llevados a cabo fuera del territorio de los Estados Unidos, mientras que los datos están siendo transferidos desde la UE a los Estados Unidos. El Comité reitera que sus expertos con habilitación de seguridad siguen estando dispuestos a revisar otros documentos y a discutir elementos clasificados adicionales.

Aunque el CEPD s acoge con satisfacción los nuevos elementos facilitados durante este año,  todavía no puede concluir que el Defensor del Pueblo disponga de poderes suficientes para acceder a la información y corregir los incumplimientos.

Directrices sobre el ámbito territorial
El Comité  Europeo de Protección de Datos adoptó una versión final de las directrices sobre el ámbito territorial tras una consulta pública. Las directrices tienen por objeto proporcionar una interpretación común del RGPD para las autoridades de protección de datos del Espacio Económico Europeo  (EEE) a la hora de evaluar si un tratamiento determinado por parte de un responsable o encargado pertenece al ámbito de aplicación territorial del marco jurídico, tal como se establece en el artículo 3 del RGPD.Las Directrices aportan más aclaraciones sobre la aplicación del Reglamento General de Protección de Datos en varias situaciones, por ejemplo, cuando el responsable o encargado del tratamiento está establecido fuera del EEE, en particular sobre la designación y la función de un representante con arreglo al artículo 27 del RGPD.

Las directrices finales integran una redacción actualizada y un nuevo razonamiento jurídico para abordar las observaciones y reacciones recibidas durante la consulta pública, manteniendo al mismo tiempo la interpretación y la metodología generales presentadas en la primera versión de las directrices.

Directrices sobre protección de datos  desde el diseño y por defecto
El Comité Europeo de Protección de Datos adoptó unas directrices sobre la protección de datos  desde el diseño y por defecto. Las directrices se centran en la obligación de protección de datos desde el diseño y por defecto , tal como se establece en el artículo 25 del RGPD.La obligación fundamental en este caso es la aplicación efectiva de los principios de protección de datos y los derechos y libertades de los interesados desde el diseño y por defecto.Esto exige que los responsables del tratamiento apliquen medidas técnicas y organizativas apropiadas y las salvaguardias necesarias, diseñadas para garantizar de forma eficaz los principios de protección de datos y para proteger los derechos y libertades de los interesados. Además, los responsables del tratamiento deben poder demostrar que las medidas aplicadas son eficaces. Las directrices se someterán a consulta pública.

Dictamen sobre reglas corporativas vinculantes de ExxonMobil
El Comité  Europeo de Protección de Datos adoptó su dictamen sobre el proyecto de Decisión sobre las normas corporativas vinculantes de ExxonMobil, presentado  al Comité por la autoridad de control belga. El CEPD  considera que el proyecto de  reglas corporativas vinculantes ofrece salvaguardias suficientes en el sentido del artículo 46 (2) (b) y cumple lo dispuesto en el artículo 47 del RGPD.

Carta de respuesta a la Comisión LIBE sobre los sistemas de información de la UE
El Comité Europeo de Protección de Datos ha aprobado su respuesta a la solicitud de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo de que se realice una evaluación jurídica de las propuestas de la Comisión Europea para el Reglamento por el que se establecen las condiciones de acceso a otros sistemas de información de la UE y del Reglamento por el que se establecen las condiciones para acceder a otros sistemas de información de la UE con fines SEIAV.En la carta, el CEPD sostiene que las propuestas deben considerarse parte de una perspectiva más amplia, es decir, como medidas de ejecución del marco de interoperabilidad, y recuerda las preocupaciones expresadas anteriormente por el Grupo de Trabajo del artículo 29. Además, la carta señala que existen dudas en cuanto a los principios fundamentales en materia de protección de datos, como la transparencia, la protección de datos desde el diseño y por defecto, y la limitación de la finalidad.

Protocolo adicional al Convenio de Budapest sobre la Ciberdelincuencia
El  Comité Europeo de Protección de Datos ha adoptado una contribución al proyecto de protocolo adicional del Convenio sobre la Ciberdelincuencia del Consejo de Europa (Convenio de Budapest), en el marco de las consultas del Comité del Convenio del Consejo de Europa sobre la ciberdelincuencia (T-CY).El  Comité Europeo de Protección de Datos recuerda que debe garantizarse la protección de los datos personales y la seguridad jurídica, contribuyendo así al objetivo de establecer acuerdos sostenibles para la puesta en común de datos personales con terceros países con fines policiales, que sean plenamente compatibles con los Tratados de la UE y con la Carta de los Derechos Fundamentales.

Nota a los editores:
Tenga en cuenta que todos los documentos aprobados durante el pleno del  Comité Europeo de Protección de Datos están sujetos a los controles jurídicos, lingüísticos y de formato necesarios y se publicarán en el sitio web del  ComitéEuropeo de Protección de Datos una vez hayan sido completados.