Comité Europe de Protección de Datos

EDPB News

2020

03 April 2020

The European Data Protection Board is speeding up its guidance work in response to the COVID-19 crisis. Its monthly plenary meetings are being replaced by weekly remote meetings with the Members of the Board.
 
Andrea Jelinek, Chair of the EDPB, said: "The Board will prioritise providing guidance on the following issues: use of location data and anonymisation of data; processing of health data for scientific and research purposes and the processing of data by technologies used to enable remote working. The EDPB will adopt a horizontal approach and plans to issue general guidance with regard to the appropriate legal bases and applicable legal principles."

The agenda of today's remote meeting is available here

23 March 2020

Following a decision by the EDPB Chair, the EDPB April Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The April Plenary Session was scheduled to take place on 20 and 21 April. Earlier, the EDPB March Plenary was also cancelled for the same reasons. You can find an overview of upcoming EDPB Plenary Meetings here

20 March 2020

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak via written procedure. The full statement is available here

16 March 2020

Governments, public and private organisations throughout Europe are taking measures to contain and mitigate COVID-19. This can involve the processing of different types of personal data.  

Andrea Jelinek, Chair of the European Data Protection Board (EDPB), said: “Data protection rules (such as GDPR) do not hinder measures taken in the fight against the coronavirus pandemic. However, I would like to underline that, even in these exceptional times, the data controller must ensure the protection of the personal data of the data subjects. Therefore, a number of considerations should be taken into account to guarantee the lawful processing of personal data.”

The GDPR is a broad legislation and also provides for the rules to apply to the processing of personal data in a context such as the one relating to COVID-19. Indeed, the GDPR provides for the legal grounds to enable the employers and the competent public health authorities to process personal data in the context of epidemics, without the need to obtain the consent of the data subject. This applies for instance when the processing of personal data is necessary for the employers for reasons of public interest in the area of public health or to protect vital interests (Art. 6 and 9 of the GDPR) or to comply with another legal obligation.

For the processing of electronic communication data, such as mobile location data, additional rules apply. The national laws implementing the ePrivacy Directive provide for the principle that the location data can only be used by the operator when they are made anonymous, or with the consent of the individuals. The public authorities should first aim for the processing of location data in an anonymous way (i.e. processing data aggregated in a way that it cannot be reversed to personal data). This could enable to generate reports on the concentration of mobile devices at a certain location (“cartography”).  

When it is not possible to only process anonymous data, Art. 15 of the ePrivacy Directive enables the member states to introduce legislative measures pursuing national security and public security *. This emergency legislation is possible under the condition that it constitutes a necessary, appropriate and proportionate measure within a democratic society. If such measures are introduced, a Member State is obliged to put in place adequate safeguards, such as granting individuals the right to judicial remedy.

Update:

On March 19th, the European Data Protection Board adopted a formal statement on the processing of personal data in the context of the COVID-19 outbreak. The full statement is available below.

* In this context, it shall be noted that safeguarding public health may fall under the national and/or public security exception.

10 March 2020

Following a decision by the EDPB Chair, the EDPB March Plenary Session has been cancelled due to safety concerns surrounding the outbreak of the Coronavirus (COVID-19). The EDPB hereby follows the example of other EU institutions, such as the European Parliament, which have restricted the number of large-scale meetings.

The March Plenary Session was scheduled to take place on 19 and 20 March. You can find an overview of upcoming EDPB Plenary Meetings here

20 February 2020

Bruselas, 20 de febrero — El 18 de febrero y el 19 de febrero, las autoridades de control del EEE y el Supervisor Europeo de Protección de Datos, reunidos en el Consejo Europeo de Protección de Datos,  celebraron su 18.ª sesión plenaria.Durante el pleno se debatió una amplia gama de temas.
 
El CEPD y las autoridades de supervisión individuales del EEE han contribuido a la evaluación y revisión del Reglamento general de protección de datos, tal como se exige en el artículo 97 del RGPD. El CEPD opina que la aplicación del Reglamento  General de Protección de Datos en los primeros 20 meses ha tenido éxito.Sin embargo, la necesidad de recursos suficientes para todas las  Autoridades de Supervisión (AS) sigue siendo preocupante y siguen existiendo algunos retos, debido, por ejemplo, al mosaico de procedimientos nacionales, el Comité está convencido de que la cooperación entre las  AS tendrá como resultado una cultura de protección de datos y una aplicación consistente.El CEPD está estudiando posibles soluciones para superar estos retos y mejorar los procedimientos de cooperación existentes.Asimismo, pide a la Comisión Europea que compruebe si los procedimientos nacionales repercuten en la eficacia de los procedimientos de cooperación y considera que los legisladores también pueden desempeñar un papel a la hora de garantizar una mayor armonización.En su análisis, el CEPD también aborda cuestiones como los instrumentos de transferencia internacionales, el impacto en las pymes, los recursos de  las ASy el desarrollo de nuevas tecnologías.El CEPD concluye que es prematuro  revisar el RGPD  en este momento.

El CEPD adoptó un proyecto de directrices para aclarar la aplicación del artículo 46.2, letra a), y del artículo 46.3, letra b), del RGPD. Estos artículos se refieren a las transferencias de datos personales desde autoridades u organismos públicos del EEE a organismos públicos de terceros países o a organizaciones internacionales, cuando estas transferencias no estén cubiertas por una decisión de adecuación.Las directrices recomiendan las salvaguardias que deben aplicarse en instrumentos jurídicamente vinculantes (artículo 46.2, letra a)) o en acuerdos administrativos (artículo 46.3, letra b) para garantizar que el nivel de protección de las personas físicas conforme al Reglamento General de Protección de Datos se cumpla y no se vea menoscabado.Las directrices se someterán a consulta pública.

Declaración sobre las implicaciones en materia de privacidad de las fusiones
Tras el anuncio de la intención de Google LLC de adquirir Fitbit, el CEPD adoptó una declaración en la que destacaba que la posible combinación y acumulación de datos personales sensibles relativos a personas en Europa por parte de una empresa de tecnología importante podría implicar un alto nivel de riesgo para los derechos fundamentales a la intimidad y la protección de datos.El  Comité Europeo de Protección de Datos recuerda a las partes  la propuesta de concentración, de conformidad con el principio de responsabilidad, las obligaciones que les incumben en virtud del RGPD para llevar a cabo una evaluación completa de los requisitos en materia de protección de datos y de las consecuencias para la  privacidadde la fusión de forma transparente.El Comité también insta a las partes a mitigar los posibles riesgos de la fusión con los derechos a la intimidad y a la protección de datos antes de notificar la fusión a la Comisión Europea.El CEPD tendrá en cuenta las implicaciones que esta fusión puede tener para la protección de los datos personales en el Espacio Económico Europeo y está dispuesta a prestar su asesoramiento sobre la fusión propuesta a la Comisión si así se lo solicita.

Nota a los editores:
Tenga en cuenta que todos los documentos aprobados durante el pleno del Consejo Europeo de Protección de Datos están sujetos a los controles jurídicos, lingüísticos y de formato necesarios y se publicarán en el sitio web del Consejo Europeo de Protección de Datos una vez hayan sido completados.

18 February 2020

On February 18th and 19th, the eighteenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Eighteenth Plenary

30 January 2020

Bruselas, 30 de enero — El 28 de enero y el 29 de enero, las autoridades de protección de datos del EEE y el Supervisor Europeo de Protección de Datos, reunidos en el Comité Europeo de Protección de Datos, se reunieron para su decimoséptima sesión plenaria. Durante el pleno se debatió una amplia gama de temas.
 
El Comité Europeo de Protección de Datos adoptó sus dictámenes sobre los requisitos de acreditación de los organismos de supervisión de códigos de conducta presentados a la Junta al Comité por las autoridades de supervisión belgas, españolas y francesas. El objetivo de estos dictámenes es garantizar la coherencia y la correcta aplicación de los criterios entre las autoridades de control del EEE.

El Comité Europeo de Protección de Datos adoptó un proyecto de directrices sobre vehículos conectados. A medida que los vehículos están cada vez más conectados, la cantidad de datos generados sobre los conductores y pasajeros por estos vehículos conectados está creciendo rápidamente. Las directrices del CEPD se centran en el tratamiento de datos personales en relación con el uso no profesional de vehículos conectados por los interesados. Más concretamente, las directrices abordan los datos personales tratados por el vehículo y los datos comunicados por el vehículo como un dispositivo conectado. Las directrices se someterán a consulta pública.

El Comité adoptó la versión definitiva de las Directrices sobre el tratamiento de datos personales a través de dispositivos de vídeo tras una consulta pública. Las directrices tienen por objeto aclarar cómo se aplica el Reglamento general de protección de datos al tratamiento de datos personales al utilizar aparatos de vídeo y garantizar la aplicación coherente del Reglamento general de protección de datos a este respecto. Las directrices abarcan tanto los dispositivos de vídeo tradicionales como los aparatos de vídeo inteligentes. Las directrices abordan, entre otras cosas, la legalidad del tratamiento, incluido el tratamiento de datos de categorías especiales, la aplicabilidad de la exención doméstica y la divulgación de las grabaciones a terceros. Tras la consulta pública, se introdujeron varias modificaciones.

El Consejo Europeo de Protección de Datos adoptó sus dictámenes sobre los proyectos de requisitos de acreditación de los organismos de certificación que las autoridades y del Reino Unido y Luxemburgo someten al Comité. Se trata de los primeros dictámenes sobre requisitos de acreditación de los organismos de certificación adoptados por el Comité. Su objetivo es establecer un enfoque coherente y armonizado en relación con los requisitos que las Autoridades y los organismos nacionales de acreditación aplicarán en la acreditación de organismos de certificación.

El Comité Europeo de Protección de Datos adoptó su dictamen sobre el proyecto de Decisión relativa a las normas corporativas vinculantes (BCR) del Grupo Fujikura Automotive Europe presentadas por la AEPD al Comité.

Carta sobre algoritmos injustos
El CEPD adoptó una carta en respuesta a la solicitud de la diputada Sophie in ʼt Veld sobre el uso de algoritmos injustos. La carta proporciona un análisis de los retos que plantea el uso de algoritmos, una visión general de las disposiciones del RGPD pertinentes y las directrices existentes para abordar estas cuestiones, y describe el trabajo ya realizado por las Autoridades de supervisión.

Carta al Consejo de Europa sobre el Convenio sobre la Ciberdelincuencia
Tras la contribución del Comité al proceso de consulta sobre la negociación de un segundo protocolo adicional al Convenio del Consejo de Europa sobre la Ciberdelincuencia (Convenio de Budapest), varios miembros del Comité Europeo de Protección de Datos participaron activamente en la Conferencia Octopus del Consejo de Europa (T-CY). El Comité adoptó una carta de seguimiento de la conferencia, subrayando la necesidad de integrar sólidas salvaguardias de protección de datos en el futuro Protocolo adicional del Convenio y garantizar su coherencia con el Convenio 108, así como con los Tratados y la Carta de los Derechos Fundamentales de la UE.

Nota a los editores:
Tenga en cuenta que todos los documentos aprobados durante el pleno del Consejo Europeo de Protección de Datos están sujetos a los controles jurídicos, lingüísticos y de formato necesarios y se publicarán en el sitio web del Consejo Europeo de Protección de Datos una vez hayan sido completados.

28 January 2020

On January 28th and 29th, the seventeenth plenary session of the European Data Protection Board is taking place in Brussels. For further information, please consult the agenda.

Agenda of Seventeenth Plenary