Comité Europe de Protección de Datos

EDPB News

2019

10 September 2019

On September 10th, the thirteenth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of Thirteenth Plenary

21 August 2019

It is with great sadness that we learned of the passing of Giovanni Buttarelli.
 
Giovanni Buttarelli is and will always remain a big part of European data protection law and practice as we know it today. His expert knowledge, leadership and vision have inspired many of us who are active in the data protection field.
 
Throughout his career, Giovanni worked tirelessly to raise awareness and to increase transparency regarding data protection law, not just in Europe, but around the world.  
 
We have always appreciated Giovanni's openness and his positive attitude. He has been vital in kick-starting the EDPB and his contributions to the work of the Board have been very valuable and important.
 
Our thoughts are with his family and we hope they find the strength to deal with this sorrow.

11 July 2019

Bruselas, 11 de julio — El 9 y el 10 de julio, las Autoridades de protección de datos del Espacio Económico Europeo (EEE) y el Supervisor Europeo de Protección de Datos (SEPD), reunidos en el Consejo Europeo de Protección de Datos, se reunieron durante su duodécimo pleno. En esta se debatieron diversos asuntos.

Directrices sobre videovigilancia
El Comité adoptó unas directrices sobre la videovigilancia, que aclaran cómo se aplica el Reglamento General de Protección de Datos (RGPD) al tratamiento de datos personales cuando utilizan  dispositivos de vídeo y pretenden garantizar la aplicación coherente del Reglamento a este respecto. Las directrices abarcan tanto los dispositivos de vídeo tradicionales como los aparatos de vídeo inteligentes. Para estas últimas, las directrices se centran en las normas relativas al tratamiento de categorías especiales de datos. Además, las directrices abarcan, entre otras cosas, la legalidad del tratamiento, la aplicabilidad de la excepción doméstica y la divulgación de las grabaciones a terceros. Las directrices serán objeto de consulta pública.

Respuesta conjunta del CEPD y el SEPD a la Comisión LIBE sobre las implicaciones de la Ley estadounidense CLOUD
El CEPD ha adoptado una respuesta conjunta con el el SEPD a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) sobre una evaluación jurídica relativa al impacto de la ley CLOUD estadounidense sobre el marco jurídico de protección de datos de la UE y el mandato de negociación de un acuerdo entre la UE y los EE.UU. sobre el acceso transfronterizo a las pruebas electrónicas en el ámbito de la cooperación judicial en materia penal. La Ley CLOUD permite a las autoridades policiales de los EE.UU. exigir la divulgación de datos por parte de los proveedores de servicios en los Estados Unidos, independientemente del lugar en el que se almacenen los datos.

El CEPD y el SEPD  hacen hincapié en que un acuerdo global entre la UE y los EE. UU. relativo al acceso transfronterizo a las pruebas electrónicas, que contenga sólidas salvaguardias de procedimiento y sustanciales para los derechos fundamentales, parece el instrumento más adecuado para garantizar el nivel necesario de protección de los interesados de la UE y la seguridad jurídica para las empresas.

Dictamen del artículo 64  del RGPD sobre las cláusulas contractuales  estándar para encargados del tratamiento  en virtud del artículo 28.8 del RGPD por parte de la Autoridad de supervisión de Dinamarca
El Comité  adoptó su dictamen sobre el proyecto de cláusulas contractuales  estándar para regular el tratamiento por un encargado presentado a la Junta por la Autoridad de Supervisión de Dinamarca. El dictamen, que es el primero sobre este tema, tiene por objeto garantizar la aplicación coherente del artículo 28 del RGPD, relativo a los encargados del tratamiento. En él,  el Comité hizo varias recomendaciones que debían tenerse en cuenta para que  las cláusulas presentadas por la autoridad danesa fueran consideradas como cláusulas contractuales  estándar. Si se aplican todas las recomendaciones, la autoridad danesa podrá  adoptar estas cláusulas contractuales  estándar, de conformidad con el artículo 28, apartado 8, del RGPD.

Dictamen del artículo 64  del RGPD sobre los  requisitos de acreditación de los organismos de supervisión de los códigos de conducta de la Autoridad de supervisión de Austria
Tras la presentación por la autoridad austríaca de su proyecto de Decisión sobre los  requisitos de acreditación de los códigos de conducta, el Comité adoptó su dictamen.  El Comité  acordó que todos los códigos que cubren a las autoridades y organismos no públicos deben contar con organismos de supervisión acreditados de conformidad con el RGPD.

Dictamen del artículo 64  del RGPD sobre la competencia de una autoridad de control en caso de cambio en las circunstancias relativas al establecimiento principal o único
El Comité adoptó un dictamen sobre la competencia de una autoridad de control cuando cambian las circunstancias relativas a la modificación del establecimiento principal o  único. Esto puede suceder cuando el establecimiento principal se traslade a otro país dentro del EEE, un establecimiento principal se traslade al EEE desde un tercer país, o cuando  desaparezca un establecimiento principal o único  del EEE. En tales circunstancias, el Comité opina que la competencia de la autoridad de control principal  puede cambiarse a otra autoridad de supervisión. En este caso, seguirá aplicándose el procedimiento de cooperación establecido en el artículo 60 y la nueva  autoridad principal estará obligada a cooperar con la autoridad líder original  y con las otras  autoridades de supervisión interesadas en un esfuerzo por llegar a un consenso. El cambio puede tener lugar mientras la autoridad de control competente no haya adoptado una decisión definitiva.

SEPD B-SEPD — Opinión conjunta sobre la  infraestructura de servicios digitales de sanidad electrónica
El Comité adoptó un dictamen conjunto con el SEPD sobre aspectos relativos a la protección de datos personales en el tratamiento de los datos de los pacientes en la infraestructura de servicios digitales de sanidad electrónica (eHDSI). Es el primer dictamen conjunto del CEPD  y del SEPD adoptado en respuesta a una solicitud de la Comisión Europea de conformidad con el artículo 42, apartado 2, del Reglamento (CE) n.º 2018/1725 relativo a la protección de datos de las instituciones y organismos de la UE. En su opinión, el  CEPD y el SEPD consideran que, en esta situación específica, y para el tratamiento concreto de los datos de los pacientes en la eHDSI, no hay razón para  disentir de la evaluación de la Comisión Europea de su papel de encargado del tratamiento en la eHDSI. Además, el dictamen conjunto subraya la necesidad de garantizar que se establezcan claramente, en el acto de ejecución correspondiente, que la Comisión, como encargada del tratamiento, ha de cumplir con todas las obligaciones del encargado del tratamiento  en esta operación de tratamiento, tal como se especifica en la legislación aplicable en materia de protección de datos..

Lista de EIPD de Chipre
El Comité  ha adoptado un dictamen sobre la lista de tratamientos que requieren de una evaluación del impacto sobre la protección de datos que Chipre presentó al Consejo de Administración. Las listas EIPD constituyen una herramienta importante para la aplicación coherente del RGPD en el EEE.La EIPD es un proceso que contribuye a la determinación y la mitigación de los riesgos que pueden afectar a los derechos y libertades individuales.

Dictamen del artículo  64 del RGPD, relativo al artículo 35.5 en relación con las listas de tratamientos que no requieren evaluación de impacto en la protección de datos (EIPD),  de las autoridades francessa, española y checa
El Comité Europeo de Protección de Datos adoptó  los dictámenes sobre las listas del artículo 35.5 presentadas  por las autoridades de supervisión francesa , española y checa.

Recomendación sobre la lista del SEPD conforme al artículo 39.4 del Reglamento 2018/1725 (lista para la EIPD)
El  Comité ha adoptado una recomendación sobre la lista del artículo 39.4 presentada por el SEPD.El Supervisor tiene que consultar al Comité  antes de la adopción de dichas listas, en la medida en que estas «se refieran a las operaciones de tratamiento por parte de un responsable del tratamiento que actúe conjuntamente con uno o más responsables del tratamiento distintos de las instituciones y órganos de la Unión» (artículo 39, apartado 6, del Reglamento (UE) 2018/1725). Al igual que en las listas de EIPD del Supervisor Europeo de Protección de Datos, la lista del SEPD informa a los responsables del tratamiento acerca de las actividades de tratamiento que requieren una EIPD.

Nota a los editores:
Tenga en cuenta que todos los documentos aprobados durante el pleno del  Comité Europeo de Protección de Datos están sujetos a los controles jurídicos, lingüísticos y de formato necesarios y se publicarán en el sitio web del Consejo Europeo de Protección de Datos una vez hayan sido completados.

09 July 2019

On July 9th & 10th, the twelfth plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of twelfth plenary

05 June 2019

Bruselas, 5 de junio — El 4 de junio, las autoridades de protección de datos del Espacio Económico Europeo y el Supervisor Europeo de Protección de Datos, reunidos en el Comité  Europeo de Protección de Datos (CEPD), se reunieron para su undécima reunión plenaria . Durante el pleno se debatieron  una amplia gama de temas.

Directrices sobre Códigos de Conducta
El Comité Europeo de Protección de Datos adoptó una versión final de las Directrices sobre Códigos de Conducta. Tras haber sido sometido a consulta pública, se incluyeron en el documento algunas aclaraciones en el texto. El objetivo de las presentes directrices es proporcionar una orientación práctica y servir de  ayuda a la hora de interpretar cómo deben aplicarse  los artículos 40 y 41 del Reglamento General de Protección de Datos (RGPD). Las directrices pretenden  aclarar los procedimientos y las normas que intervienen en la presentación, aprobación y publicación de códigos de conducta tanto a nivel nacional como europeo. Estas directrices deben  proporcionar un marco claro para todas las autoridades de supervisión competentes,  el Comité y la Comisión a la hora de  evaluar de forma coherente los códigos de conducta y  simplificar los procedimientos utilizados en el proceso de evaluación.

Anexo a las Directrices sobre acreditación
Tras haber sido sometido a consulta pública y ser revisado para una mayor claridad, el CEPD adoptó una versión final del anexo a las Directrices sobre acreditación.  El objetivo de las directrices es proporcionar orientación sobre cómo interpretar y aplicar las disposiciones del artículo 43 del RGPD. En particular, aspiran a ayudar a los Estados miembros, a las autoridades de supervisión y a los organismos nacionales de acreditación a establecer una base de referencia coherente y armonizada para la acreditación de los organismos de certificación que expidan la certificación de conformidad con el Reglamento. El anexo ofrece orientaciones sobre los requisitos adicionales para la acreditación de los organismos de certificación que deben establecer las autoridades de supervisión. Estos requisitos adicionales, antes de ser adoptados por las autoridades de supervisión, deben presentarse al CEPD para su aprobación de conformidad con el artículo 64, apartado 1, letra c),*.

Anexo a las Directrices sobre certificación
El CEPD adoptó una versión final del anexo 2 de las Directrices sobre certificación. Este documento también fue sometido previamente a consulta pública a raíz de la cual se añadieron algunos aspectos a determinadas secciones, como por ejemplo, si los criterios se refieren a la obligación del responsable/encargado del tratamiento de designar un delegado de protección de datos y a la obligación de llevar registros de las actividades de tratamiento. El principal objetivo de estas directrices es determinar los criterios generales que pueden ser pertinentes para todos los tipos de mecanismos de certificación emitidos de conformidad con el artículo 42 y el artículo 43 del RGPD. En el anexo se señalan los  aspectos relevantes que las autoridades de supervisión de  protección de datos y el CEPD tendrán en cuenta para para la aprobación de los criterios de certificación de un mecanismo de certificación. La lista no es exhaustiva, pero presenta los aspectos  mínimos que deberán valorarse . *

Nota a los editores:

* En la siguiente etapa y, antes de que puedan debatirse casos específicos relativos a la certificación y acreditación a nivel del CEPD, el Comité está preparando un procedimiento de cara a facilitar en tiempo y forma los correspondientes dictámenes de coherencia  sobre los proyectos de decisión  de las Autoridades de Supervisión  y los Sellos Europeos de Protección de Datos.

Tenga en cuenta que todos los documentos aprobados durante el pleno del CEPD están sujetos a las necesarias comprobaciones legales, lingüísticas y de formato y estarán disponibles en el sitio web del CEPD una vez que hayan finalizado.

04 June 2019

On June 4th, the eleventh plenary session of the European Data Protection Board takes place in Brussels. For further information, please consult the agenda.

Agenda of eleventh plenary

22 May 2019

1 year ago, the GDPR entered into application, but what has changed for you? Where can you go to address your data protection concerns? And what is the EDPB's role in all this?

The video below provides an answer to these questions in a nutshell:

22 May 2019

Brussels, 22 May - Just a few days short of the GDPR’s first anniversary, the European Data Protection Board surveyed the Supervisory Authorities (SAs) of the EEA and takes stock of the Board’s achievements.

From the very first day of application, the first cross-border cases were logged in the EDPB’s IMI case register, leading to a current total of 446 cross-border. 205 of these have led to One-Stop-Shop (OSS) procedures. So far, there have been 19 final OSS outcomes.

    

Number of procedures initiated by SAs from 21 EEA countries
Germany: Number of procedures initiated by SAs from 7 Regional SAs

    

At a national level, most Supervisory Authorities (SAs) report an increase in queries and complaints received compared to 2017. Over 144.000 queries and complaints* and over 89.000 data breaches have been logged by the EEA Supervisory Authorities. 63% of these have been closed and 37% are ongoing.

Based on information provided by SAs from 27 EEA countries
Germany: Based on information provided by The Federal and 17 Regional SAs

Based on information provided by SAs from 27 EEA countries (Case status information provided for 164633 cases)
Germany: Based on information provided by The Federal and 11 Regional SAs

    

The increase in queries and complaints confirms the perceived rise in awareness about data protection rights among individuals, as shown in the Eurobarometer of March 2019. 67% of EU citizens polled indicated that they have heard of the GDPR, 36% of them indicated that they are well aware of what the GDPR entails. In addition, 57% of EU citizens polled indicated that they are aware of the existence of a public authority in their country responsible for protecting their data protection rights. This result shows an increase of 20 percentage points compared to 2015 Eurobarometer results**.

The EEA SAs have reported that, while the cooperation procedures are robust and efficient works, they are time and resource intensive: SAs need to carry out investigations, observe procedural rules, coordinate and share information with other supervisory authorities.

Looking back on the first 12 months of the EDPB’s work, Andrea Jelinek, Chair of the EDPB, comments:

It has been a challenging first year, but we have reached the goals that we set out to achieve, and we intend to keep up both the work and the pace. Earlier this year, the EDPB adopted its work program for 2019 and 2020. We will also see several cross-border cases carried out by SAs leading to a final outcome in the coming months. Last but not least, we want to continue to listen to and to work together with the people who can give us the best insights into the day-to-day practice of data processing. An ambitious programme, but I am certain that we, as European data protection authorities will find more and more synergies, which will increase our effectiveness.

   

*At the time of the survey, the notion of complaint had not yet been analysed by the EDPB. Up to then, the interpretation of the notion was done by the national supervisory authorities, which may have an impact on the statistics.

**Source European Commission.

15 May 2019

Bruselas, 15 de mayo — Los días 14 y 15 de mayo, las Autoridades de Protección de Datos del Espacio Económico Europeo y el Supervisor Europeo de Protección de Datos, reunidos en el Consejo Europeo de Protección de Datos, se reunieron en su décimo pleno. Durante el pleno se debatieron una amplia gama de temas.

Elección de un nuevo vicepresidente

Los miembros del  Comité  eligieron a Aleid Wolfsen, presidente de la Autoridad de Supervisión de los Países Bajos, como nuevo vicepresidente, en sustitución de Willem Debeuckelaere, al que la presidenta del CEPD, Andrea Jelinek, agradeció  su trabajo. Junto con el  vicepresidente , Ventsislav Karadjov, el Sr. Wolfsen prestará apoyo al presidente del CEPD en su labor en el Comité durante los próximos años.  Jelinek añadió: «El interés público por la protección de datos se encuentra en un máximo histórico. Espero con interés trabajar con Aleid y Ventsislav para colaborar con la comunidad más amplia de partes interesadas en la protección de datos».

Wolfsen añadió: «En los próximos años, es nuestra responsabilidad, como Consejo de Administración, ofrecer una orientación y un asesoramiento sólidos. Asumiré mi responsabilidad como vicepresidente para que tengamos en cuenta todas las opiniones y, en última instancia, hablar con una sola voz.»

Respuesta a la diputada al PE Sophie In’t Veld en relación con los vehículos conectados

El Comité Europeo de Protección de Datos aprobó una carta en respuesta a la carta de la eurodiputada Sophie In’s Veld´s de 17 de abril de 2019 relativa al intercambio de datos personales de los conductores de vehículos con el fabricante del automóvil y con terceros, sin el consentimiento expreso , específico e informado del  conductor, y sin una base jurídica adecuada. En su respuesta, el CEPD pone de relieve que los miembros del Comité  y sus colegas internacionales adoptaron una Resolución relativa a la protección de datos en vehículos automatizados y conectados, en el marco de la Conferencia Internacional de Comisionados de Protección de Datos y Privacidad en 2017, y que el Grupo de Trabajo del Artículo 29 aprobó su dictamen 3/2017 sobre el tratamiento de datos personales en el contexto de los sistemas de transporte s cooperativos inteligentes (C-ITS ). Este asunto se tratará también con arreglo al programa de trabajo del Comité Europeo de Protección de Datos (CEPD) para el período 2019-2020.

Tercera revisión anual del Escudo de la privacidad

El CEPD designó representantes para la tercera revisión anual del Escudo de  Privacidad. Durante dicha revisión ostentarán la reprentación Austria, Bulgaria, Francia, Alemania, Hungría y el Supervisor Europeo de Protección de Datos

14 May 2019

On May 14 & 15, the European Data Protection Board's tenth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of tenth plenary

10 April 2019

Comité Europeo de Protección de Datos — 9.º Sesión Plenaria: Directrices sobre el tratamiento de datos personales en el contexto de los servicios de la sociedad de la información

 

Bruselas, 10 de abril - El 9 y 10 de abril, las Autoridades Europeas de Protección de Datos y el Supervisor Europeo de Protección de Datos, que forman parte del Comité Europeo de Protección de Datos (CEPD), se reunieron para su novena sesión plenaria.
 
Durante el pleno, el Comité Europeo de Protección de Datos adoptó unas Directrices sobre el ámbito de aplicación del artículo 6.1 b) del Reglamento General de Protección de Datos en el contexto de los servicios de la sociedad de la información. En sus directrices, realiza observaciones generales acerca de los principios de protección de datos y la interacción del artículo 6.1 b) con otras bases legales. Además, las directrices contienen orientaciones sobre la aplicabilidad de este artículo en caso de agrupación de servicios separados y resolución del contrato.

Nota a los editores:

 

Tenga en cuenta que todos los documentos aprobados durante el pleno del CEPD están sujetos a las necesarias comprobaciones legales, lingüísticas y de formato y estarán disponibles en el sitio web del CEPD una vez que hayan finalizado.

* artículo 6.1 b):
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
...
el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;»
09 April 2019

On April 9 & 10, the European Data Protection Board's ninth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of ninth plenary

09 April 2019

Your personal information is collected, shared, used and stored by individuals, organisations and public authorities every day. Recruitment activities, video surveillance and health data collection are just a few examples of this. The European Data Protection Board (EDPB) ensures the consistent application of the GDPR throughout the European Economic Area (EEA), and promotes cooperation between the EEA data protection authorities. The European Data Protection Supervisor (EDPS) monitors and ensures the protection of personal data and privacy when EU institutions and bodies process personal data.

The EDPB and EDPS stand will be at the European Commission as part of the EU institutions' Europe Day celebrations.

Located on the ground floor of the Berlaymont building, EDPB and EDPS staff will be on hand to answer questions about your privacy rights and how to protect your personal information. Free goodies and information will be on offer, as well as fun and interactive activities for both children and adults to enjoy. You will also have a chance to win one of 20 USB sticks, simply by taking part in our fun, simple quiz!

Whether shopping online, using a smartphone or applying for jobs, data protection affects us all, so be sure to visit our stand to find out more!

For more information visit http://europeday.europa.eu and http://ec.europa.eu/belgium/events/europe-day_en

For more information on the EDPS visit: https://edps.europa.eu/data-protection/our-work/publications/events/eu-open-day-2019-brussels_en 

15 March 2019

On February 26, the EDPB Chair and Vice-Chair addressed the European Parliament's Civil Liberties, Justice and Home Affairs Committee (LIBE) on GDPR implementation. You can read the full report here:  EDPB LIBE Report

14 March 2019

European Data Protection Board - Eighth Plenary session: Interplay ePrivacy Directive and GDPR, statement on ePrivacy Regulation, DPIA Lists ES & IS, Statement on Elections

Brussels, 13 March - On March 12th and 13th, the EEA Data Protection Authorities and the European Data Protection Supervisor, assembled in the European Data Protection Board, met for their eighth plenary session. During the plenary a wide range of topics were discussed. 
 
Interplay ePrivacy Directive and GDPR

The EDPB adopted its opinion on the interplay between the ePrivacy Directive and the General Data Protection Regulation. The opinion seeks to provide an answer to the question whether the fact that the processing of personal data triggers the material scope of both the GDPR and the ePrivacy Directive, limits the competences, tasks and powers of data protection authorities under the GDPR. The EDPB opines that data protection authorities are competent to enforce the GDPR. The mere fact that a subset of the processing falls within the scope of the ePrivacy directive, does not limit the competence of data protection authorities under the GDPR.

An infringement of the GDPR may at the same time constitute an infringement of national ePrivacy rules. SAs may take this into consideration when applying the GDPR (e.g. when assessing compliance with the lawfulness or fairness principles).  

Statement on the future ePrivacy Regulation
The EDPB adopted a statement calling upon EU legislators to intensify efforts towards the adoption of the ePrivacy Regulation, which is essential to complete the EU's framework for data protection and the confidentiality of electronic communications.

The future ePrivacy Regulation should under no circumstance lower the level of protection offered by the current ePrivacy Directive and should complement the GDPR by providing additional strong guarantees for all types of electronic communications.

DPIA Lists 

The EDPB adopted two opinions on the Data Protection Impact Assessment (DPIA) lists submitted to the Board by Spain and Iceland. These lists form an important tool for the consistent application of the GDPR across the EEA. DPIA is a process to help identify and mitigate data protection risks that could affect the rights and freedoms of individuals. While in general the data controller needs to assess if a DPIA is required before engaging in the processing activity, national supervisory authorities shall establish and make a list of the kind of processing operations which are subject to the requirement for a data protection impact assessment. These two opinions follow the 28 opinions adopted during previous plenary meetings, and will further contribute to establishing common criteria for DPIA lists across the EEA.

Statement on the use of personal data in the course of political campaigns

In light of the upcoming European elections and other elections taking place across the EU and beyond in 2019, the EDPB has adopted a statement on the use of personal data during election campaigns. Data processing techniques for political purposes can pose serious risks, not just with regard to the rights to privacy and data protection, but also to the integrity of the democratic process. In its statement, the EDPB highlights a number of key points which need to be taken into consideration when political parties process personal data in the course of electoral activities.

Note to editors:

Please note that all documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

12 March 2019

On March 12 & 13, the European Data Protection Board's eighth plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Eighth Plenary

13 February 2019

Bruselas, 13 de febrero — El 12 de febrero, las Autoridades de Protección de Datos del Espacio Económico Europeo (EEE) y el Supervisor Europeo de Protección de Datos, reunidos en el Consejo Europeo de Protección de Datos, se reunieron para su séptimo plenario. Durante el mismo se debatió una amplia gama de temas.

Programa de trabajo del CEPD 2019/2020
El CEPD aprobó su programa de trabajo bienal para 2019-2020, de conformidad con el artículo 29 de su Reglamento interno. El programa de trabajo del CEPD se basa en las necesidades identificadas por los miembros como prioridad para los ciudadanos, las partes interesadas, así como las actividades previstas por el legislador de la UE.

Proyecto de acuerdo administrativo en el ámbito de la supervisión de los mercados financieros
El Comité Europeo de Protección de Datos adoptó su primer dictamen sobre un acuerdo administrativo, basado en el artículo 46, apartado 3, letra b), del RGPD, para las transferencias de datos personales entre las autoridades de supervisión financiera del EEE, incluida la Autoridad Europea de Valores y Mercados (ESMA, por sus siglas en inglés) y sus homólogas de fuera de la UE. Este acuerdo se presentará a las autoridades de supervisión competentes para su autorización a nivel nacional. Éstas supervisarán el acuerdo administrativo y su aplicación práctica para garantizar que, en la práctica, los derechos de los interesados sean eficaces y exigibles, y que se disponga de medios adecuados de reparación y supervisión.

Brexit
El Comité Europeo de Protección de Datos adoptó una nota informativa dirigida a las empresas y a las autoridades públicas sobre las transferencias de datos en virtud del Reglamento General de Protección de Datos en caso de un Brexit sin acuerdo.

Flujos de datos del EEE al Reino Unido
A falta de un acuerdo entre la UE y el Reino Unido (Brexit sin acuerdo), el Reino Unido pasará a ser un tercer país a partir de las 00.00 AM, hora central europea, el 30 de marzo de 2019. En consecuencia, la transferencia de datos personales del EEE al Reino Unido deberá basarse en uno de los instrumentos siguientes: cláusulas de protección de datos estándar o ad hoc, normas corporativas vinculantes, códigos de conducta y mecanismos de certificación, e instrumentos de transferencia específicos a disposición de las autoridades públicas. A falta de cláusulas estándar de protección de datos u otras garantías apropiadas alternativas, pueden utilizarse excepciones en determinadas condiciones.

Flujos de datos del Reino Unido al EEE
Por lo que se refiere a las transferencias de datos del Reino Unido al EEE, según el Gobierno del Reino Unido, la práctica actual, que permite la libre circulación de datos personales del Reino Unido al EEE, continuará en el caso de una salida del Reino Unido sin acuerdo (no-deal Brexit).
    
Directrices sobre los códigos de conducta.
El CEPD adoptó unas directrices sobre los códigos de conducta. El objetivo de estas directrices es proporcionar una orientación práctica y unos criterios de interpretación en relación con la aplicación de los artículos 40 y 41 del Reglamento General de Protección de Datos. Las directrices pretenden ayudar a aclarar los procedimientos y las normas que intervienen en la presentación, aprobación y publicación de códigos de conducta tanto a nivel nacional como europeo. Estas directrices deben actuar además como un marco claro para todas las autoridades de supervisión competentes,  el Comité y la Comisión para evaluar de forma coherente los códigos de conducta y racionalizar los procedimientos utilizados en el proceso de evaluación. Las directrices serán objeto de consulta pública.

Nota a los editores:

Tenga en cuenta que todos los documentos aprobados durante el plenario del CEPD están sujetos a las necesarias comprobaciones legales, lingüísticas y de formato y estarán disponibles en el sitio web del CEPD una vez que hayan finalizado.

12 February 2019

On February 12, the European Data Protection Board's seventh plenary takes place in Brussels. For further information, please consult the agenda.

Agenda of Seventh Plenary

 

24 January 2019

Bruselas, 24 de enero — El 22 y el 23 de enero, las Autoridades Europeas de Protección de Datos que forman el Comité Europeo de Protección de Datos, se reunieron para su sexto plenario. Durante el mismo se debatieron una amplia gama de temas.

Escudo de Privacidad.
Los miembros del Comité aprobaron el informe del CEPD sobre la segunda revisión anual del Escudo de Privacidad entre Europa y Estados Unidos. El CEPD acoge con satisfacción los esfuerzos realizados por las autoridades de los Estados Unidos y la Comisión para aplicar el Escudo de Privacidad, en particular las acciones emprendidas para adaptar el proceso de certificación inicial, iniciar acciones de  supervisión y aplicación, así como los esfuerzos para publicar una serie de documentos importantes, en parte por desclasificación (como las decisiones del Tribunal  FISA), el nombramiento de un nuevo presidente, así como de tres nuevos miembros del  Comité de Supervisión de la Privacidad y de las Libertades Civiles (PCLOB, por sus siglas en inglés) y el nombramiento recientemente anunciado de un Defensor del Pueblo para la protección de datos permanente.

A la vista de las conclusiones de la segunda revisión conjunta, persisten las dudas sobre la aplicación del Escudo de Privacidad. Esto incluye las preocupaciones ya expresadas por el predecesor del CEPD - el Grupo de Trabajo del Artículo 29 (WP29, por sus siglas en inglés)- sobre la falta de garantías concretas de que se excluyan la recogida indiscriminada y el acceso a los datos personales con fines de seguridad nacional. Asimismo, sobre la base de la información facilitada hasta la fecha, el CEPD no puede actualmente considerar que el Defensor del Pueblo esté dotado de competencias suficientes para corregir el incumplimiento. Además, el Comité señala que los controles para el cumplimiento del contenido de los principios del Escudo de Privacidad no son suficientemente sólidos.

Por otra parte, el CEPD tiene algunas preocupaciones adicionales por lo que se refiere a los controles necesarios para cumplir con los requisitos de transferencia posteriores a terceros estados u organizaciones internacionales, el alcance de la interpretación de la definición de “recursos humanos” y el proceso de renovación de la certificación, así como a una lista de las cuestiones pendientes planteadas tras la primera revisión conjunta.

Brexit
El CEPD debatió las posibles consecuencias del Brexit en el ámbito de la protección de datos. Los miembros acordaron cooperar e intercambiar información sobre sus preparativos y las herramientas disponibles para transferir datos al Reino Unido, una vez que el Reino Unido ya no forme parte de la UE.

Preguntas y respuestas sobre ensayos clínicos
A raíz de una solicitud de la Comisión Europea (DG SANTE), el Comité Europeo de Protección de Datos (CEPD) adoptó su dictamen sobre el documento de preguntas y respuestas frecuentes sobre los ensayos clínicos. El dictamen aborda, en particular, los aspectos relacionados con los fundamentos jurídicos adecuados en el contexto de los ensayos clínicos y los usos secundarios de los datos de ensayos clínicos con fines científicos. El dictamen se trasladará ahora a la Comisión Europea.

Las listas relativas a la evaluación de impacto sobre la protección de datos

El CEPD ha adoptado dictámenes sobre las listas de evaluación de impacto sobre la protección de datos, presentadas al Comité por Liechtenstein y Noruega. Estas listas constituyen un instrumento importante para la aplicación coherente del Reglamento General de Protección de Datos (RGPD) en todo el Espacio Económico Europeo (EEE). La evaluación de impacto sobre la protección de datos (EIPD) es una herramienta para ayudar a identificar y mitigar los riesgos para la protección de datos que podrían afectar a los derechos y libertades de las personas. Aunque, en general, el responsable del tratamiento debe evaluar si es necesaria una EIPD antes de iniciar la actividad de tratamiento, las Autoridades Nacionales de Supervisión establecen una lista de los tipos de tratamientos sujetaos obligatoriamente al requisito de una EIPD. Estos dos dictámenes siguen los 22 dictámenes aprobados en el plenario de septiembre, y los cuatro dictámenes aprobados durante el plenario de diciembre, y seguirán contribuyendo a establecer criterios comunes para las listas de tratamientos que requieren una EIPD en el EEE.

Directrices sobre la certificación
El Comité Europeo de Protección de Datos adoptó la versión final de las directrices en materia de certificación tras una consulta pública. Además, el Comité también aprobó un nuevo anexo. La versión preliminar de las directrices se aprobó durante el primer plenario del CEPD en mayo de 2018. El principal objetivo de estas directrices es determinar los criterios generales que pueden ser pertinentes para los tipos de mecanismos de certificación emitidos de conformidad con el artículo 42 y el artículo 43 del RGPD. Como tales, las directrices analizan la justificación para la certificación como herramienta de rendición de cuentas, proporcionan explicaciones sobre los conceptos clave de las disposiciones de certificación en el artículo 42 y el artículo 43, explican el alcance de lo que puede certificarse y describen la finalidad de la certificación. Las directrices ayudarán a los Estados miembros, a las autoridades de supervisión y a los organismos nacionales de acreditación (NAB, por sus siglas en inglés) a revisar y aprobar los criterios de certificación de conformidad con el artículo 42 y el artículo 43 del RGPD. El anexo se someterá a consulta pública.

Respuesta a la Autoridad de Supervisión de Australia sobre la notificación de brechas de seguridad
En octubre de 2018, el presidente del CEPD recibió una solicitud por escrito de la Oficina del Comisionado de la Información de Australia en relación con la publicación de las notificaciones de brechas de seguridad por parte de las autoridades de supervisión. El Comité acoge con satisfacción el interés del Comisionado australiano en cooperar con el Comité Europeo de Protección de Datos en esta cuestión y subraya la importancia de la colaboración internacional. En su respuesta, el CEPD proporciona más información sobre el modo en el que las autoridades de supervisión gestionan la publicación de información relativa a las notificaciones de brechas de seguridad.

22 January 2019

On January 22 and 23, the European Data Protection Board's sixth plenary is taking place in Brussels. For further information, please consult the agenda.

Agenda of Sixth Plenary