Comité Europe de Protección de Datos

Comité Europeo de Protección de Datos (CEPD) - 34.ª sesión plenaria: Schrems II, Interacción entre la DSP II y el RGPD y carta al diputado al Parlamento Europeo Ďuriš Nicholsonová sobre el rastreo de contactos, la interoperabilidad de aplicaciones y las E

Monday, 20 July, 2020

Bruselas, 20 de julio - Durante su 34.ª sesión plenaria, el CEPD adoptó una declaración sobre la sentencia del TJUE en el asunto Facebook Ireland contra Schrems. El Comité adoptó las directrices sobre la interacción entre la segunda Directiva sobre servicios de pago (DSP II) y el RGPD, y aprobó una carta de respuesta al diputado al Parlamento Europeo Ďuriš Nicholsonová sobre el rastreo de contactos, la interoperabilidad de las aplicaciones y las EIPD.

El CEPD adoptó una declaración sobre la sentencia del Tribunal de Justicia de la Unión Europea en el Asunto C-311/18 - Data Protection Commissioner contra Facebook Ireland y Maximillian Schrems, que anula la Decisión 2016/1250 sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU. y considera válida la Decisión 2010/87 de la Comisión relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países.

Por lo que se refiere al Escudo de privacidad, el CEPD señala que la UE y los EE. UU. deben lograr un marco completo y efectivo que garantice que el nivel de protección concedido a los datos personales en los EE. UU. sea sustancialmente equivalente al garantizado en la UE, en línea con la sentencia. El Comité Europeo de Protección de Datos tiene intención de seguir desempeñando un papel constructivo a la hora de garantizar una transferencia transatlántica de datos personales que beneficie a los ciudadanos y a las organizaciones del EEE y está dispuesto a facilitar a la Comisión Europea asistencia y orientación para ayudarle a construir, junto con los Estados Unidos, un nuevo marco plenamente conforme con la legislación de la UE en materia de protección de datos.

Por lo que respecta a las Cláusulas Contractuales Tipo, el CEPD toma nota de la responsabilidad principal del exportador y del importador, a la hora de considerar la conveniencia de formalizar cláusulas contractuales tipo, para garantizar que se mantiene un nivel de protección esencialmente equivalente al garantizado por el RGPD a la luz de la Carta de la UE. Al realizar dicha evaluación previa, el exportador (en su caso, con la ayuda del importador) tendrá en cuenta el contenido de las cláusulas contractuales tipo, las circunstancias específicas de la transferencia, así como el régimen jurídico aplicable en el país del importador. El Tribunal subraya que el exportador podría tener que considerar la adopción de medidas adicionales a las incluidas en las cláusulas contractuales tipo. El Comité Europeo de Protección de Datos estudiará más a fondo en qué podrían consistir estas medidas adicionales.

El Comité Europeo de Protección de Datos toma nota asimismo de las obligaciones de las autoridades de control competentes de suspender o prohibir la transferencia de datos a un tercer país de conformidad con las cláusulas contractuales tipo si, a juicio de la autoridad de control competente y a la luz de todas las circunstancias de dicha transferencia, las cláusulas no se cumplen o no pueden cumplirse en ese tercer país, y la protección de los datos transferidos no puede garantizarse por otros medios, en particular cuando el responsable o el encargado del tratamiento no hayan ya suspendido o puesto fin a la transferencia.

El CEPD recuerda que ha emitido directrices sobre el artículo 49 del RGPD y que estas excepciones han de aplicarse caso por caso.

El CEPD evaluará la sentencia con más detalle y aportará más aclaraciones a las partes interesadas, así como orientaciones sobre el uso de instrumentos para la transferencia de datos personales a terceros países de conformidad con la sentencia. Como señala el TJUE, el Comité Europeo de Protección de Datos y sus autoridades de control europeas están preparados asimismo para garantizar la coherencia en el conjunto del EEE.

La declaración completa puede consultarse aquí: https://edpb.europa.eu/news/news/2020/statement-court-justice-european-union-judgment-case-c-31118-data-protection_en

El CEPD ha adoptado directrices sobre la segunda Directiva de servicios de pago (DSP II). La DSP II moderniza el marco jurídico del mercado de servicios de pago. Cabe destacar que la DSP II introduce un marco jurídico para los nuevos servicios de iniciación de pagos y los servicios de información sobre cuentas. Los usuarios pueden solicitar que estos nuevos proveedores de servicios de pago tengan acceso a sus cuentas de pago. Tras un taller con las partes interesadas celebrado en febrero de 2019, el CEPD elaboró las directrices sobre la aplicación del RGPD a estos nuevos servicios de pago.

Las directrices señalan que, en este contexto, el tratamiento de categorías especiales de datos personales está prohibido con carácter general (de conformidad con lo dispuesto en el artículo 9, apartado 1, del RGPD), excepto cuando el interesado dé su consentimiento explícito (artículo 9, apartado 2, letra a), del RGPD) o cuando el tratamiento sea necesario por razones de interés público esencial (artículo 9, apartado 2, letra g), del RGPD).

Las Directrices también abordan las condiciones en las que los proveedores de servicios de pago gestores de cuenta conceden acceso a información de cuentas de pago a servicios de iniciación de pagos y servicios de información sobre cuentas.

Las directrices aclaran que ni el artículo 66, apartado 3, letra g), ni el artículo 67, apartado 2, letra f), de la DSP II permiten ningún otro tratamiento, a menos que el interesado haya dado su consentimiento con arreglo a lo dispuesto en el artículo 6, apartado 1, letra a), del RGPD o el tratamiento lo establezca la legislación de la Unión o la legislación de los Estados miembros. Las Directrices se someterán a consulta pública.

Por último, el Comité aprobó una carta en respuesta a las preguntas del diputado al Parlamento Europeo Ďuriš Nicholsonová sobre la protección de datos en el contexto de la lucha contra la COVID-19. La carta aborda cuestiones relativas a la armonización y la interoperabilidad de las aplicaciones de rastreo de contactos, el requisito de realizar una EIPD en relación con dicho tratamiento y la duración del tratamiento.

EDPB_Press Release_2020_12