Aspectos profesionales: Protección de Datos, Cloud Computing y Sistemas de Gestión.

Blog dedicado a compatibilizar INNOVACIÓN con GRC (Gobierno, Riesgo y Cumplimiento normativo) en las organizaciones. Trata COMPLIANCE penal de la PJ y PBC/FT para Sujetos Obligados. Se alinea con Derecho Digital (TIC) focalizando en Privacidad con visión jurídica y organizativa. Incluye Sistemas de Gestión de la Seguridad de la Información (SGSI) bajo ISO27001 y ENS. Analiza tendencias tecnológicas innovadoras junto a sus cláusulas contractuales.

sábado, 13 de febrero de 2016

Dictamen preliminar del EDPS sobre el acuerdo entre EE.UU. y la UE sobre la protección de datos personales relativos a la prevención, investigación, detección y persecución de delitos

Resumen: Por su interés y actualidad se transcribe la traducción “no oficial” del dictamen 1/2016, de 12 de febrero de 2016, emitido por el Supervisor Europeo de Protección de Datos (EDPS) y referido a la protección de datos respecto al acuerdo marco US-UE sobre prevención, investigación, detección y persecución de delitos. Sus conclusiones son interesantes de cara al desarrollo jurídico del acuerdo político alcanzado en sustitución de Safe Harbor y conocido como EU-US Privacy Shield.

Autor del artículo		Colaboración
Giovanni Buttarelli SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS (EDPS)
Actualizado	13 de febrero de 2016

Índice

1. INTRODUCCIÓN

2. RESUMEN EJECUTIVO

3. DICTAMEN

I. Contexto del acuerdo inicial

II. Normas del Derecho de la UE con respecto a las transferencias internacionales de datos y el respeto de los derechos fundamentales

III. Propósito, alcance y efectos del acuerdo

IV. Análisis de las disposiciones sustantivas del Acuerdo

V. Conclusiones

4. ANOTACIONES Y REFERENCIAS

5. DERECHOS DE AUTOR

1. INTRODUCCIÓN

El presente dictamen se basa en la obligación general de que los acuerdos internacionales celebrados por la Unión Europea deben cumplir con las disposiciones del Tratado de Funcionamiento de la Unión Europea (TFEU – por sus siglas en inglés) y el respeto de los derechos fundamentales que se sitúa en el núcleo de la legislación de la UE. En particular, se hace la evaluación con el fin de analizar el cumplimiento del contenido del acuerdo general con los artículos 7, 8 y 47 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16 del TFEU, lo que garantiza la protección de datos personales.

2. RESUMEN EJECUTIVO

La investigación y persecución de la delincuencia es un objetivo policial legítimo, y la cooperación internacional, incluyendo el intercambio de información, se ha vuelto más importante que nunca. Hasta ahora, la UE ha carecido de un marco común sólido en esta área de modo que no hay garantías consistentes para los derechos y libertades fundamentales de las personas. Como el EDPS ha sostenido durante mucho tiempo, la UE necesita acuerdos sostenibles para el intercambio de datos personales con terceros países con fines policiales, totalmente compatibles con los Tratados de la UE y la Carta de los Derechos Fundamentales.

Por lo tanto, damos la bienvenida y apoyamos activamente los esfuerzos de la Comisión Europea para llegar a un primer acuerdo marco con los EE.UU. Este acuerdo internacional de aplicación de la Ley tiene por objeto establecer por primera vez la protección de datos como base para el intercambio de información. Aunque reconocemos que no es posible replicar completamente la terminología y las definiciones de la legislación de la UE en un acuerdo con un tercer país, las garantías de los individuos deben ser claras y eficaces con el fin de cumplir plenamente con la principal legislación europea.

El Tribunal de Justicia Europeo en los últimos años se ha reafirmado en los principios de protección de datos, incluyendo la imparcialidad, la exactitud y la pertinencia de la información, una supervisión independiente y los derechos individuales de las personas. Estos principios son tan relevantes para los organismos públicos como lo son para las empresas privadas, con independencia de cualquier hallazgo formal respecto a la adecuación de la UE en relación a terceros países sobre las garantías de protección de datos; de hecho se convierten en aún más importantes teniendo en cuenta la sensibilidad de los datos necesarios para una investigación criminal.

El presente dictamen tiene como objetivo proporcionar asesoramiento constructivo y objetivo a las instituciones de la UE tan pronto la Comisión finalice esta delicada tarea, con ramificaciones amplias, no sólo para la cooperación policial en la UE y Estados Unidos, sino también para los futuros acuerdos internacionales. El acuerdo marco es independiente, pero tiene que ser considerado en conjunto, con el recientemente anunciado 'Privacy Shield' entre la UE y Estados Unidos, sobre la transferencia de información personal en el entorno comercial. Pueden ser necesarias consideraciones adicionales para analizar la interacción entre estos dos instrumentos y la reforma del marco de protección de datos de la UE.

Antes de que el Acuerdo se somete a la aprobación del Parlamento, animamos a las Partes a considerar cuidadosamente los desarrollos significativos desde septiembre pasado, cuando había señales de su intención de concluir el Acuerdo una vez que se aprobó la Ley de Compensación Judicial. Muchas de las garantías que ya se contemplan son bienvenidas, pero deben ser reforzadas, también a la luz de la sentencia Schrems en octubre de invalidar la Decisión de Puerto Seguro (Safe Harbor) y del acuerdo político sobre la reforma de la UE en relación a la protección de datos en diciembre, que cubre las transferencias y la cooperación judicial y policial.

El EDPS ha identificado tres mejoras esenciales que se recomiendan en relación al texto, para garantizar el cumplimiento de la Carta y el artículo 16 del Tratado:

Aclarar de que todas las garantías se aplican a todas las personas, no sólo a los nacionales de la UE.
Garantizar que las disposiciones de recurso jurisdiccional son eficaces en el sentido de la Carta.
Aclarar de que las transferencias de datos sensibles de forma masiva no están autorizadas.

En el Dictamen se ofrecen recomendaciones adicionales para la clarificación de las garantías previstas por medio de un documento explicativo que la acompaña. Quedamos a disposición de las instituciones para más información y diálogo sobre este tema.

3. DICTAMEN

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16,
vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, sus artículos 7, 8 y 47,
vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos,
visto el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas respecto al tratamiento de sus datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, y, en particular, el artículo 41 (2) y 46 (d),

HA ADOPTADO EL SIGUIENTE DICTAMEN:

I. Contexto del acuerdo inicial

1. El 3 de diciembre de 2010, el Consejo adoptó una decisión que autoriza a la Comisión a entablar negociaciones sobre un Acuerdo entre la Unión Europea (UE) y los Estados Unidos de América (EE.UU.), sobre la protección de los datos personales cuando se transfieren y tratan con el fin de prevenir, investigar, detectar o perseguir delitos, incluido el terrorismo, en el marco de la cooperación policial y judicial en materia penal (en lo sucesivo el "Acuerdo"). [1]

2. Las negociaciones entre la Comisión y los EE.UU. comenzaron oficialmente el 29 de marzo de 2011 [2]. El 25 de junio de 2014, el Fiscal General de Estados Unidos anunció que se tomarán las medidas legislativas con el fin de proporcionar el recurso jurisdiccional en relación con los derechos de privacidad de los EE.UU. para los ciudadanos de la UE [3]. Después de varias rondas de negociaciones, que se extendieron durante 4 años, el Acuerdo se rubricó el 8 de septiembre de 2015. Según la Comisión, el objetivo es firmar y finalizar formalmente el Acuerdo sólo después de que la US Judicial Redress Act se adopte. [4]

3. El Parlamento Europeo debe dar su consentimiento para el texto del Acuerdo rubricado, mientras que el Consejo debe firmarlo. Mientras esto no haya tenido lugar y el Acuerdo no está firmado formalmente, observamos que las negociaciones pueden ser reabiertas para puntos específicos. Es en este contexto que el EDPS plantea esta opinión, basada en el texto del Acuerdo rubricado publicada en la página web de la Comisión. [5] Esta es una opinión preliminar sobre la base de un primer análisis de un texto jurídico complejo y se elabora sin perjuicio de las posibles recomendaciones adicionales que puedan hacerse sobre la base de la información adicional disponible, incluyendo los desarrollos legislativos en los EE.UU. tales como la adopción de la Judicial Redress Act. El EDPS ha identificado tres puntos esenciales que requieren mejoras y también pone de relieve otros aspectos donde se recomiendan aclaraciones importantes. Con estas mejoras, el Acuerdo puede considerarse compatible con la principal legislación de la UE.

II. Normas del Derecho de la UE con respecto a las transferencias internacionales de datos y el respeto de los derechos fundamentales

4. De conformidad con el artículo 216 (2) del TFEU, los acuerdos internacionales de los que la UE es una de las Partes, tales como el Acuerdo, “se obliga a las instituciones de la Unión y de los Estados miembros". Por otra parte, de acuerdo con la jurisprudencia reiterada del Tribunal de Justicia de la Unión Europea (TJUE), los acuerdos internacionales se convierten desde su entrada en vigor en "una parte integral de [el orden jurídico europeo]", [6] y pueden tener primacía sobre legislación secundaria, o derivada, de la Unión. [7]

5. El TJUE ha encontrado, con respecto a los acuerdos internacionales celebrados por la Unión Europea, que "las obligaciones impuestas por un acuerdo internacional no pueden tener el efecto de menoscabar los principios constitucionales del Tratado CE, que incluyen el principio de que todos los actos comunitarios deben respetar los derechos fundamentales, cuyo respeto constituye un requisito de legalidad que corresponde al Tribunal de Justicia en el marco del sistema completo de recursos legales establecidos por el Tratado". [8] El posterior análisis toma como punto de partida la necesidad de que los acuerdos internacionales deben ser compatible con el sistema de la UE para la protección de los derechos fundamentales.

6. A partir de una variedad de instrumentos jurídicos en diferentes áreas de aplicación, se infiere que el régimen de la Ley de protección de datos de la UE, que ahora debe leerse a la luz del artículo 8 de la Carta y el artículo 16 del TFEU, establece, en principio, que las transferencias internacionales de datos pueden tener lugar a un tercer país sin requisitos adicionales sólo cuando ese país garantiza un nivel adecuado de protección. Cuando el tercer país no ha sido declarado como adecuado, se aplican excepciones para las transferencias específicas, siempre y cuando se deduzcan las garantías adecuadas.

7. La última ronda de negociaciones sobre el Acuerdo se celebró antes que dos acontecimientos importantes en la UE:

El acuerdo político sobre el paquete de reforma de la protección de datos, incluyendo el Reglamento General de Protección de Datos (GDPR/EU) [10] y la Directiva de Protección de Datos en materia penal. [11]
El juicio del Tribunal de Justicia en el caso Schrems que sirvió para invalidar la Decisión de puerto seguro. [12]

A pesar de que este juicio no se refiere directamente a las transferencias internacionales de datos en el ámbito de hacer cumplir la Ley, se recomienda tomarlo en cuenta para evaluar el papel que el Acuerdo tendrá en el régimen jurídico de protección de datos de la UE. Esto se debe a que las principales conclusiones [13] de la Corte interpretan o aplican directamente los artículos 7, 8 y 47 de la Carta en relación con las transferencias [14], los cuales también se aplican en el ámbito del cumplimiento legal.

8. El marco jurídico de la UE para la protección de datos en el ámbito de hacer cumplir la ley está bajo la modernización. El marco actual se compone de varias fuentes jurídicas diferentes, tales como:

a) Decisión marco del Consejo 2008/977/JHA15 (en lo sucesivo, la Decisión marco), que se aplica a las transferencias internacionales de datos en el ámbito de hacer cumplir la Ley en la medida en que los datos transferidos fueron inicialmente puestos a disposición del Estado miembro que transmite a las autoridades competentes de otro Estado miembro;
b) La regulación 45/200116, que se aplica a las transferencias internacionales de datos en la medida que éstos son transferidos por una institución u organismo de la UE;
c) una serie de legislación secundaria de la UE (lex specialis), que se aplica a las transferencias de datos específicos en el ámbito de hacer cumplir la Ley, que prohíbe ya sea por completo las transferencias [17] o con excepciones muy estrictas [18], o exigir garantías tales como la existencia de un nivel adecuado de protección en el tercer país receptor; [19]
d) los acuerdos internacionales específicos celebrados tanto en la UE como en los Estados miembros que sirven como bases legales para transferencias; [20]
e) las leyes nacionales de protección de datos de los Estados miembros que regulan otras transferencias en el ámbito de hacer cumplir la Ley.

Si bien esto demuestra la diversidad de instrumentos de transferencia, se asegura la coherencia de la aplicación horizontal de la Carta y el TFEU mencionado anteriormente. También hay que tener en cuenta que todos los Estados miembros son signatarios del Convenio 108 del Consejo de Europa, [21] que se aplica en el ámbito de hacer cumplir la Ley y también está en proceso de modernización.

9. En la siguiente evaluación de la propuesta de acuerdo se tendrán en cuenta las normas actuales antes mencionadas, correspondientes a la legislación de la UE respecto a las transferencias internacionales de datos personales, ya que son las empleadas por el TJUE, y la perspectiva de su modernización.

III. Propósito, alcance y efectos del acuerdo

III.1 Alto nivel de protección

10. De acuerdo con el artículo 1 (1) del Acuerdo, el propósito del acuerdo es "para garantizar un alto nivel de protección de la información personal" y "mejorar la cooperación entre los Estados Unidos y la Unión Europea en relación con la prevención, investigación, detección y enjuiciamiento de delitos, incluido el terrorismo". Ambas Partes contratantes reconocen en el primer párrafo del preámbulo que ambas se están "comprometido a garantizar un alto nivel de protección de la información personal intercambiada en el contexto de la prevención, investigación, detección y enjuiciamiento de delitos". Por lo tanto, el Acuerdo reconoce la necesidad de un alto umbral para su aplicación futura. El EDPS celebra esta conclusión, que está en línea con el marco jurídico general de protección de datos de la UE, [22] y la jurisprudencia del TJUE, en la interpretación y aplicación del derecho a la protección de los datos personales recogidos en el artículo 8 de la Carta [23]. Sin embargo, el EDPS destaca que para que el alto nivel de protección sea eficaz y para cumplir con la principal legislación de la UE, debe reflejarse plenamente en las disposiciones del Acuerdo y en su posterior aplicación.

III.2 La presunción de cumplimiento y autorizaciones

11. Con respecto a los efectos del Acuerdo, el artículo 5 (3), establece que, "por hacer efectivo el párrafo 2" - en referencia a la aplicación de las leyes nacionales, "el tratamiento de los datos personales por parte de Estados Unidos o la Unión Europea y sus Estados miembros, con respecto a las materias incluidas en el ámbito de este convenio, se considerará el cumplir con sus respectivas leyes de protección de datos restringiendo o condicionando las transferencias internacionales de datos personales, y no se requerirá una nueva autorización en virtud de dicha legislación". El artículo 5 (3) parece establecer que, cuando las Partes hayan aplicado a su ordenamiento jurídico interno las disposiciones del Acuerdo, cada tratamiento de datos personales en el ámbito de aplicación del Acuerdo se considera que cumple con las leyes “internas” de protección de datos de los países exportadores que regulan las transferencias internacionales de datos.

12. La formulación utilizada para esta disposición es similar a la utilizada en el Acuerdo UE-EE.UU PNR [*1] que establece la adecuación del sistema del Departamento de Seguridad Nacional de Estados Unidos para el tratamiento y utilización de los datos PNR (artículo 19, "adecuación") [24]. Sin embargo, el Acuerdo no constituye una decisión de búsqueda de adecuación [25] y no aparece como un instrumento jurídico autónomo, ya que complementa a una base jurídica específica para las transferencias.

[*1] NOTA DEL EDITOR: PNR es la contracción en inglés del “Registro de Nombres de Pasajeros”

13. No obstante, el acuerdo crea una presunción general de cumplimiento. Sin perjuicio de la existencia de una base jurídica específica, las transferencias futuras no necesitarán ninguna autorización. Por lo tanto, es crucial para asegurar que esta "presunción" se vea reforzada por todas las garantías necesarias en el texto del Acuerdo.

14. La "arquitectura" del artículo 5 del Acuerdo indica que el artículo 5 (3) sólo tendrá efecto después de que el artículo 5 (2) esté totalmente cumplido. El artículo 5 (2) obliga a las Partes a adoptar todas las medidas necesarias para aplicar el Acuerdo, y en particular las disposiciones en materia de acceso, rectificación y recursos administrativos y judiciales. Además, se establece claramente que "la protección y los recursos establecidos en el presente Acuerdo beneficiarán a las personas y entidades de forma práctica en las leyes nacionales correspondientes de cada Parte", lo que significa que el Acuerdo, con el fin de representar beneficios eficaces ("para individuos y entidades"), debe ponerse en práctica en los ordenamientos jurídicos internos de las Partes. Se requiere mayor análisis para verificar en qué medida, también a la luz de la jurisprudencia Medellín [26], el Acuerdo puede ser considerado como un acuerdo de aplicación directa en el ordenamiento jurídico de Estados Unidos, y que pueden ser necesarias disposiciones sustantivas para ser ejecutado por el Congreso de Estados Unidos con el fin de elaborar legislación nacional vinculante.

15. El Acuerdo se refiere a las medidas que se introducirán en el marco jurídico aplicable a las Partes. Sin embargo, no parece proporcionar un mecanismo específico para evaluar el grado de su aplicación en el derecho interno de las Partes con el fin de dar cumplimiento al artículo 5 (3). El mecanismo periódico de evaluación conjunta prevista en el artículo 23 parece tener el propósito general de la evaluación de la eficacia de "las políticas y procedimientos de aplicación de este Acuerdo", con la obligación de las Partes para llevar a cabo la primera revisión conjunta "a más tardar tres años a partir de la fecha de entrada en vigor del Acuerdo”. En este contexto, una pregunta esencial es "¿Cuándo se consideran que las transferencias de datos, con respecto a las materias que entran en el ámbito del Acuerdo, deben cumplir con los restrictivos requisitos de protección de datos de la Ley de la UE respecto a las transferencias internacionales, sin necesidad de ninguna autorización ulterior?”.

16. En relación con el hecho de que el artículo 5 (3) del Acuerdo elimina la función de las autoridades competentes (autoridades de control de protección de datos u otras instituciones, dependiendo del sistema jurídico de los Estados miembros de la UE) de autorizar las transferencias, el EDPS recuerda que el establecimiento en los Estados miembros de la UE de las autoridades nacionales de supervisión independiente es un componente esencial [27] de la protección de las personas con respecto al tratamiento de sus datos personales [28]. Las autoridades nacionales de supervisión son responsables de vigilar el cumplimiento de la ley de protección de datos de conformidad con el artículo 8 (3) de la Carta y cada autoridad está facultada para comprobar si una transferencia de datos personales de su propio Estado miembro a un tercer país cumple ley de protección de datos incluso cuando el sistema legal de un tercer país se considere adecuado [29] o una presunción de cumplimiento se introduzca en base a un acuerdo. Por lo tanto, el EDPS pone de manifiesto que la ausencia de cualquier otra autorización para las transferencias en aplicación del artículo 5 (3) del Acuerdo se entiende sin perjuicio de las competencias y atribuciones de las autoridades de control independientes para supervisar la legalidad de las transferencias y el cumplimiento de la ley de protección de datos, también sobre la base del artículo 21 del Acuerdo. De ahí que el artículo 5 (3), debe interpretarse en el respeto de este papel de los supervisores de manera que sea compatible con el artículo 8 (3) de la Carta. El EDPS recomienda que para la plena claridad, se introduzca esta conclusión en la declaración de motivos del Acuerdo.

III.3. Relación entre el Acuerdo y la base jurídica específica para las transferencias

17. Se desprende del segundo párrafo del preámbulo que el Acuerdo tiene como objetivo "facilitar el intercambio de información en las áreas relevantes para la materia penal, mediante el establecimiento de un marco que contemple la protección de los datos personales cuando se transfieren entre las Partes” [artículo 1 (2)]. Además, se afirma claramente en el artículo 1 (3) que el Acuerdo "en y por sí mismo no es la base legal para cualquier transferencia de datos personales" y "deberá ser necesaria siempre una base jurídica para estas transferencias". El marco jurídico completo para las garantías en relación con las transferencias cubiertas por el Acuerdo se compone de las disposiciones del Acuerdo, la forma en que se implementan en la legislación nacional de las Partes y la base legal específica para las transferencias. La relación entre el Acuerdo y las bases legales posteriores entre las Partes para las transferencias es muy importante. Hemos leído el artículo 5 (1) en el sentido de que todos los instrumentos específicos para proporcionar la base legal para las transferencias deberán cumplir con los requisitos del Acuerdo, que han de ser considerados para proporcionar un nivel mínimo de garantías en relación a las transferencias. Para los fines de la seguridad jurídica, el EDPS recomienda que las Partes consideren que confirma, al menos dentro de las declaraciones explicativas que acompañan al Acuerdo, que las bases legales específicos para las transferencias deben cumplir plenamente con las garantías previstas en el Acuerdo y que, en el caso de conflicto dispuesto entre la base jurídica específica y el Acuerdo, prevalecerá este último.

III.4. transferencias posteriores a las autoridades del Estado

18. El artículo 5 (2) del Acuerdo especifica que "para los Estados Unidos, se aplicarán las obligaciones de una manera consistente con sus principios fundamentales del federalismo". Esta disposición puede tener un impacto sobre las transferencias posteriores de las autoridades federales competentes de los Estados Unidos que son receptores iniciales de datos, respecto a las autoridades a nivel estatal, que no están vinculados por el Acuerdo. En este sentido, el artículo 2 (5) define la "autoridad competente", en los EE.UU. como un "cuerpo de seguridad nacional responsable de la prevención, investigación, detección y enjuiciamiento de delitos, incluido el terrorismo", excluyendo así a las autoridades a nivel estatal. [30] Por el contrario, todas las autoridades de la UE y sus Estados miembros que sean competentes en las mismas áreas están obligados por el Acuerdo, de acuerdo con la definición del artículo 2 (5).

19. Algunos de los posibles efectos negativos de la cláusula analizada en virtud del artículo 5 (2) pueden ser contrarrestados por el artículo 14 (2) del Acuerdo, según el cual las transferencias de datos de nivel federal al Estado pueden suspenderse si los Estados federados "no están protegiendo de manera efectiva la información personal teniendo en cuenta los efectos del presente Acuerdo". El EDPS acoge con satisfacción esta disposición, pero recomienda aclarar, al menos dentro de las declaraciones explicativas del Acuerdo, que en caso de falta de protección para los datos transferidos a nivel nacional, que las medidas pertinentes en virtud del artículo 14 (2) incluirán, en su caso, las medidas relativas a datos ya transferidos.

III.5. exención de seguridad nacional

20. El artículo 3 establece que el Acuerdo se aplica a la "información personal transferida" entre las autoridades competentes de las Partes, o "transferida de otro modo, de conformidad con un acuerdo" entre los EE.UU. y la UE o sus Estados miembros, "para la prevención, detección, investigación y persecución de delitos, incluido el terrorismo". El EDPS celebra que los acuerdos bilaterales entre los Estados miembros y los EE.UU. también son tenidos en cuenta en el ámbito del Acuerdo. Observamos también que "las transferencias u otras formas de cooperación entre las autoridades de los Estados miembros y de los Estados Unidos distintos de los mencionados en el artículo 2 (5), encargadas de salvaguardar la seguridad nacional" no están en el ámbito de aplicación del Acuerdo, de conformidad con el artículo 3 (2).

21. Sin embargo, teniendo en cuenta la amplia definición de "autoridad competente" en virtud del artículo 2 (5), la cual, con respecto a las autoridades estadounidenses, se refiere a una autoridad "fuerzas de seguridad nacionales responsables de la prevención, la investigación, la retención y el enjuiciamiento de criminales delitos, incluido el terrorismo", en relación con lo dispuesto en el artículo 6 (2), que aseguran que el tratamiento posterior de compartir información personal "por otra aplicación de la ley nacional, las autoridades reguladoras o administrativas respetará las demás disposiciones del presente Acuerdo", entendemos que las autoridades nacionales responsables de velar por la seguridad nacional estarán sujetas a las disposiciones del Acuerdo sobre el tratamiento de datos transferidos para los fines establecidos en el Acuerdo. En su caso, y para la plena claridad, esta conclusión se puede insertar dentro de una declaración de motivos del Acuerdo. Por último, el EDPS observa que la amplia definición de "autoridad competente" también cubre las fiscalías y las autoridades judiciales, en la medida en que ejercen las tareas mencionadas en los delitos.

III.6. Las transferencias de los particulares a las autoridades competentes

22. El EDPS observa que, si bien el Acuerdo se aplica principalmente a los datos transferidos entre las autoridades competentes de las Partes, también puede aplicarse a las transferencias organizadas entre Partes privadas y las autoridades competentes, siempre y cuando exista un acuerdo entre los EE.UU. y la UE o sus Estados miembros. A este respecto, el artículo 3 (1) especifica que el Acuerdo se aplica a los datos personales transferidos entre las autoridades competentes "o de otra manera transferidos en virtud de un acuerdo celebrado entre [Estados Unidos] y la [UE] o sus Estados miembros" en la aplicación de la legislación local. Por lo tanto, entendemos que el Acuerdo también puede cubrir las transferencias de datos de empresas privadas pertinentes, tales como las compañías aéreas (por ejemplo, transferencias PNR) o proveedores de servicios que ofrecen servicios de comunicaciones electrónicas disponibles al público, a las autoridades competentes de las Partes, pero sólo cuando los las transferencias se basan en un acuerdo internacional.

III.7. Aplicación de las garantías a los individuos

23. El artículo 3 ("Ámbito de aplicación") no contiene ninguna referencia específica al ámbito de aplicación personal del Acuerdo. Se establece un amplio ámbito de aplicación material, al afirmar que el Convenio se aplica a (cualquier) "información personal transferida" entre las Partes en el área de aplicación de la ley. Esta referencia general a la información personal parece dar a entender que la información personal de cualquier individuo goza igualmente de las garantías consagradas en el Acuerdo. Esta interpretación se siente alentada por las referencias específicas a un amplio ámbito de aplicación personal de los artículos 16 "acceso", 17 "rectificación" y 18 "recurso administrativo" (ya que se refieren a "cualquier persona"). Sin embargo, puede ser contradicho por la disposición general "no discriminación" en el artículo 4. De acuerdo con este artículo, cada Parte deberá cumplir con las obligaciones del Acuerdo para proteger "la información personal de sus propios nacionales y los nacionales de la otra Parte" sin discriminación arbitraria. Además, el artículo 19 "Reparación judicial" sólo se aplica a los "ciudadanos" de las Partes.

24. En el caso de que sea implementado únicamente para no excluir a nadie que sea nacional de la UE desde el ámbito de aplicación personal del Acuerdo, el acuerdo no sería compatible con la protección garantizada por los artículos 7, 8 y 47 de la Carta, según los cuales los derechos fundamentales a la intimidad, protección de datos personales y la tutela efectiva se deben aplicar a "todos" en la UE, con independencia de la nacionalidad o condición. Por lo tanto, el EDPS recomienda una aclaración importante, al menos dentro de las declaraciones interpretativas del Acuerdo, para confirmar que el ámbito de aplicación personal del Acuerdo está en conformidad con la Carta.

IV. Análisis de las disposiciones sustantivas del Acuerdo

IV.1. Definiciones

25. El régimen jurídico de protección de datos de la UE establece claramente las definiciones de conceptos tales como "datos personales" y "tratamiento [de los datos personales]". A pesar de que la terminología escogida para el texto del Acuerdo difiere en parte del régimen jurídico relevante en la UE - como el Acuerdo se refiere a la "información personal", y no a los "datos personales", el EDPS se felicita de la amplia definición del artículo 2 ( 1) de la "información personal", que sigue a la correspondiente definición de "datos personales" consagrado en la Directiva 95/46/CE y el Reglamento 45/2001. Sin embargo, la definición del artículo 2 (1) del Acuerdo, no se refiere a "toda la información", sino a "información". Por lo tanto, por ejemplo, pueden surgir dudas sobre si los metadatos que se refieren a una persona física identificada o identificable serán considerados como información personal en el marco del Acuerdo.

26. Con respecto a la definición de "tratamiento de datos personales" en el artículo 2 (2) del Acuerdo, algunas diferencias sustantivas se observó en comparación con la definición de "tratamiento de datos personales", consagrado en la Decisión marco, la Directiva 95/46/CE y el Reglamento 45/2001. Tal como se define en el Acuerdo, "tratamiento de información personal" significa "cualquier operación o conjunto de operaciones de recogida, mantenimiento, uso, alteración, organización o estructuración, la divulgación o difusión, o la disposición". Al contrario de los instrumentos pertinentes de la UE, esta definición excluye del ámbito de las operaciones de acuerdo que implique "la grabación, almacenamiento, recuperación, consulta, alineación o combinación, bloqueo, supresión o destrucción". Por otra parte, el artículo 2 (1) del Acuerdo, a diferencia de la definición en el régimen jurídico de la UE, se refiere a "mantenimiento" y "disposición". No parece que estos dos conceptos cubran el significado de las operaciones enumeradas en el Derecho de la UE.

27. Se recomienda una aclaración para garantizar la aplicación de las garantías previstas en el Acuerdo respecto a las operaciones clave, por ejemplo, cuando una autoridad competente registra los datos o cuando la autoridad simplemente almacena la información que recibe, sin hacer otro uso de ella. Debe quedar claro que la "consulta", que también está presente en la definición, está cubierta por el término "uso", dado que el mal uso se origina a menudo en la práctica por medio de consultas ilegítimas de los datos personales.

28. Por consiguiente, el EDPS recomienda una definición de las operaciones de tratamiento de acuerdo con los requisitos básicos de la legislación de la UE, para incluir las operaciones clave mencionados anteriormente, tales como el registro y el almacenamiento de información. En el caso de que las Partes no se alineen completamente de las definiciones de "información personal" y "operación de tratamiento" con los previstos en la legislación de la UE, el EDPS recomienda que se aclare en los documentos explicativos que acompañan el Acuerdo que la aplicación de las dos nociones no difieren en sustancia a partir de la comprensión de la ley de la UE.

IV.2. Limitación de la finalidad y las transferencias posteriores

29. El EDPS recibe con agrado el reconocimiento de los principios de proporcionalidad y necesidad establecidos en el último párrafo del preámbulo. A la luz de esto, el artículo 6 (1) del Acuerdo limita la transferencia de información personal a "fines específicos autorizados por la base jurídica para la transferencia (...)", y el artículo 6 (5) añade que debe ser tratados "de forma que sean directamente relevantes y no excesivos o demasiado amplios en relación con los efectos de dicho tratamiento". Además, el artículo 6 (2) prohíbe el tratamiento ulterior que sea incompatible con los fines para los que fue transferido.

30. Con respecto a las transferencias posteriores a un Estado que no sea parte del Acuerdo, los artículos 7 (1) y 7 (2) requieren el consentimiento de la autoridad competente que inicialmente transfiere los datos de carácter personal y, para este fin, deben tenerse en cuenta "todos los factores pertinentes" detallados en la disposición. Este nivel de protección es reforzado aún más por la posibilidad de suspender la transferencia de información personal a las autoridades de las entidades territoriales constitutivas de las Partes, de conformidad con el artículo 14 (2) del Acuerdo, cuando las disposiciones sobre limitación de la finalidad y las transferencias posteriores no se cumplan. El EDPS celebra estas disposiciones.

31. El artículo 7 (3) estipula además que cuando las Partes lleguen a un acuerdo sobre transferencias distintas de las relacionadas con casos específicos, deben seguir las "condiciones específicas" incluidas en el acuerdo que autoriza las transferencias. Observamos que esas transferencias también pueden implicar, en la práctica, transferencias masivas de datos. Las condiciones no están definidas en el artículo 7 (3). El tratamiento de datos a gran escala constituye una grave violación de los derechos a la intimidad y la protección de los datos personales, debido a la cantidad de personas y la cantidad de datos de carácter personal involucrados. [31] Una lista indicativa de las "condiciones específicas" mencionados anteriormente será bien recibida siempre que forme parte de la declaración explicativa.

IV.3. Seguridad de la información

32. El EDPS acoge con satisfacción las disposiciones del artículo 9 sobre seguridad de la información. Sin embargo, con respecto a la notificación de los incidentes de seguridad de la información, el artículo 10 (2) (b) permite la omisión de la notificación de una violación de datos cuando la notificación "puede poner en peligro la seguridad nacional", con un efecto claro sobre la base de una posible consecuencia ("may") en la seguridad nacional no está clara. El EDPS también cuestiona la necesidad de omitir la notificación por completo, y no sólo retrasar o restringir por razones de seguridad la naturaleza de los destinatarios que tienen derecho a recibir la información. Por otra parte, no se hace referencia en el texto a las condiciones específicas para retrasar las notificaciones a la autoridad competente de la transferencia. El EDPS recomendaría, destacándolo en una declaración de motivos, la intención de las Partes a aplicar estas disposiciones con el fin de limitar lo más posible la omisión de las notificaciones, por un lado, y para evitar retrasos excesivos de las notificaciones, lo que llevaría a un largo período de tiempo para que una autoridad competente no sea consciente de las violaciones de datos relativos a los datos que transfieren, en el otro lado.

IV.4. Retención de datos

33. El artículo 12 (1) obliga a las Partes "para asegurar que la información personal no se conserva durante más tiempo del necesario y apropiado". A la luz del principio de limitación de la finalidad invocado por las Partes en el Acuerdo, la siguiente especificación se debe añadir: "para los fines específicos para los cuales fueron transferidos".

34. Además, el artículo 12 (2), en referencia a las reglas de retención de datos de la situación de las transferencias masivas, también debería hacer referencia a los criterios que deben tenerse en cuenta para determinar la duración del período de retención según lo establecido en el artículo 12 (1), teniendo en cuenta los principios de proporcionalidad y necesidad.

IV.5. Transferencias masivas de datos sensibles

35. A la luz del hecho de que la noción de datos sensibles difiere entre las Partes, [32] de las categorías especiales de datos que figuran en el artículo 13 (1) se acoge con satisfacción porque el texto aclara el significado de los datos sensibles a los efectos del Acuerdo y lo alinea con la definición de la UE. [33]

36. Sin embargo, al EDPS le preocupa que el artículo 13 (2) abre la posibilidad a las transferencias masivas de datos sensibles, ya que permite a partir de un acuerdo celebrado entre los EE.UU. y la Unión Europea o de un Estado miembro, a prever la posibilidad de una "transferencia de información personal distinta en relación con casos específicos, investigaciones o enjuiciamientos". Si bien el artículo 13 (2) requiere tomar en cuenta la naturaleza de la información, que deja a cada convenio específico la determinación de las categorías de datos que se intercambian. En este contexto, el EDPS recuerda sus anteriores dictámenes sobre el uso de datos de pasajeros (PNR), en el que abogaba por la completa exclusión de los datos sensibles en el contexto de las transferencias masivas. [34] Por ejemplo, el EDPS había cuestionado específicamente el tratamiento de datos confidenciales por parte del Departamento de Seguridad Nacional, y se recomienda que el acuerdo en cuestión especifique que las compañías aéreas no deben transferir datos sensibles al Departamento. [35]

37. Por lo tanto, el EDPS recomienda que las transferencias masivas de datos sensibles serán excluidas del ámbito de aplicación del Acuerdo.

IV.6. Derechos del interesado

38. El EDPS celebra que el Acuerdo prevea varios derechos objeto de las personas: el derecho a ser informado (artículo 20), el derecho de acceso (artículo 16), el derecho de rectificación - que también se refiere a la supresión y bloqueo (artículo 17), el derecho a la tutela judicial y administrativa (artículos 18 y 19) y el derecho a no ser objeto de decisiones automatizadas (artículo 15). El EDPS desea recordar que los derechos del titular de los datos, y en particular los derechos de acceso y rectificación, están consagrados como elementos esenciales del derecho a la protección de datos personales en el artículo 8 (2) de la Carta.

39. Las excepciones previstas en el Acuerdo para el ejercicio de los derechos de acceso a la información son considerables. En relación con el derecho de acceso, el artículo 16 (2) prevé la restricción de acceso en los siguientes criterios adicionales tales como la evitación de obstruir "investigaciones oficiales o legales, investigaciones y procedimientos", la protección de la "información sensible en aplicación de la ley", evitar perjudicar "la prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales", además de ambos "seguridad pública y nacional". Otra exención establece que las restricciones al acceso pueden imponerse para "proteger los intereses previstos en la legislación en materia de libertad de información y el acceso público a los documentos". [36] Es difícil concebir una situación en la que los datos personales transferidos a los efectos del presente Acuerdo no serán considerados "información sensible en aplicación de la ley" por la autoridad competente, en ausencia de criterios específicos para determinar [37] que significa "la aplicación de la ley de información sensible".

40. El EDPS recomienda reconsiderar la lista de excepciones con el fin de asegurarse, de hecho, la posibilidad de que la persona acceda a sus propios datos, seguirá existiendo, aunque limitada o realizada por un tercero de confianza en situaciones donde el acceso se niega para proteger la información sensible en aplicación de la ley. En ese sentido, el artículo 16 (4) es bienvenido, ya que proporciona una forma indirecta de acceso, aunque su aplicación se limita sólo a los casos “que lo permita la legislación nacional aplicable”.

41. Además, el artículo 16 (1) permite el acceso a los datos "de conformidad con el marco legal vigente en el Estado en que se solicitan medidas". Si el régimen actual de acceso disponible en los EE.UU. es aplicable a los datos transferidos en el ámbito del Acuerdo, no parece, a primera vista, que se cumplan las condiciones del artículo 8 (2) de la Carta. Aunque la Ley de Privacidad de Estados Unidos de 1974 otorga a los individuos el derecho a acceder a sus datos personales, [38] este derecho se redujo de manera significativa por varias excepciones [39].

En primer lugar, una exención especial estipula que este derecho no se aplica a cualquier información ''compilado en una anticipación razonable de una acción civil o procedimiento'' [40].
En segundo lugar, las exclusiones generales suprimen la obligación de conceder el acceso cuando un organismo cuya actividad principal pertenece a la aplicación de la ley penal solicita la exención mediante la promulgación de una norma en este sentido 41.
En tercer lugar, las exenciones específicas proporcionan, entre otras cosas, que una agencia puede publicar una regla de exención de la obligación de conceder el derecho a acceder a un sistema de registro que contiene la información clasificada que es ''la defensa nacional o material de la política exterior o material de investigación compilado con fines policiales”.

Estas excepciones afectan significativamente el ejercicio del derecho de acceso, si es que llegara a ser ejercido de conformidad con la ley aplicable en cada momento en los EE.UU.

42. Un reconocimiento efectivo del derecho a ser informado es importante. En este sentido, el TJUE estableció que "la obligación de comunicar a los interesados sobre el tratamiento de sus datos personales es aún más importante, ya que afecta el ejercicio de los afectados de su derecho de acceso y rectificación de los datos que están siendo tratados". [43] La disposición relativa a la "transparencia" (artículo 20) tiene un efecto muy limitado, debido al hecho de que los anuncios de información vayan a ser publicados "en una forma y en el momento previsto por la ley aplicable a la autoridad que los avisos", lo que podría significar, en la práctica, que los anuncios de información generales, incluso podrían ser publicados después de un cierto tiempo de que hubieran tenido lugar transferencias o determinadas operaciones de tratamiento. Además, todas las limitaciones aplicables al derecho de acceso se aplican por igual a las obligaciones de transparencia.

43. Como resultado de este análisis preliminar, el EDPS considera que las Partes en el Acuerdo deben aumentar sus esfuerzos para asegurar que las restricciones al ejercicio del derecho de acceso se limitan selectivamente a lo que es indispensable para preservar los intereses públicos enumerados y a consolidar la obligación de transparencia.

44. El EDPS celebra que las decisiones automatizadas "no puedan basarse únicamente en un tratamiento automatizado de los datos personales sin la intervención humana", en virtud del artículo 15. Esto es especialmente importante en el ámbito de aplicación de la ley, donde las consecuencias de trazar perfiles de los individuos son potencialmente más graves. Sin embargo, el umbral que debe cumplirse antes de desencadenar la aplicabilidad del artículo 15 es bastante alto, ya que requiere la decision de producir "acciones adversas significativas" con el fin de no basarse únicamente en un tratamiento automatizado, mientras que la legislación de la UE por lo general prohíbe este tipo de decisiones que producen "efectos legales adversos o afectan de manera considerable" al individuo. [44]

IV.7. Acciones judiciales y recursos administrativos

45. En los diferentes contextos de la idoneidad de una decisión de adecuación (por ejemplo Safe Harbor), el TJUE ha encontrado [45] que la falta de tutela judicial efectiva cuando se transfieren datos personales a un tercer país apunta a la esencia del artículo 47 de la Carta, que proporciona el derecho a la tutela judicial efectiva. En ese contexto, el TJUE consideró que "la legislación no prevé mecanismo alguno para que un individuo pueda buscar soluciones legales con el fin de tener acceso a los datos personales que le conciernen, o para obtener la rectificación o cancelación de estos datos, no respeta la esencia del derecho fundamental a la tutela judicial efectiva consagrada en el artículo 47 de la Carta" y que "el primer párrafo del artículo 47 de la Carta requiere que toda persona cuyos derechos y libertades, garantizados por la legislación de la Unión Europea, sean violados, tenga el derecho a un recurso efectivo ante un tribunal en cumplimiento de las condiciones establecidas en dicho artículo". [46]

46. El artículo 19 (1) y (2) del Acuerdo, exige que las Partes que faciliten en su ordenamiento jurídico aplicable la posibilidad de que sus ciudadanos puedan solicitar la revisión judicial de la denegación del acceso o modificación de sus registros de información o su divulgación ilegal intencional. Mientras que el artículo 19 (1) y (2) prevé la posibilidad de que a los ciudadanos de la UE se provea de los recursos legales en relación con algunas de las disposiciones sustantivas del Acuerdo, los individuos que no son ciudadanos de la UE deberían estar protegidos de otra manera por la Carta (por ejemplo, en situación de asilo o los extranjeros residentes en la UE) dado que no se deduce una base en estos dos párrafos para disponer de la posibilidad de emprender acciones legales para tener acceso a los datos personales relativos a ellos o para obtener la rectificación. Además, ni los ciudadanos, ni los individuos que no son ciudadanos de la Unión Europea tienen ninguna posibilidad de ejercer acciones legales para obtener el borrado de sus datos. El artículo 19 (3) establece que estas limitaciones son "sin perjuicio de cualquier otra revisión judicial, con respecto al tratamiento de información personal del individuo, bajo la Ley del Estado en que se solicite la medida". El EDPS no está en condiciones de evaluar plenamente en el presente dictamen preliminar la efectividad de los recursos legales alternativos que pueden establecerse en la legislación sectorial, sobre todo en los EE.UU., como a nivel de Estado, y en qué medida podían ofrecer un remedio orgánico e integral de todas las personas afectadas. Por lo tanto, tiene serias preocupaciones sobre el cumplimiento del artículo 19 de la Carta. En cuanto a la naturaleza efectiva de los recursos legales, lo cual es también un requisito del artículo 47 de la Carta, debe ser evaluado después de que las disposiciones del Acuerdo se implementen en el derecho interno de los EE.UU. [47]

47. Con respecto a la reparación administrativa, el EDPS observa que el artículo 18 se refiere a la reparación administrativa proporcionada por la autoridad competente, tal como se define en el artículo 2 del Acuerdo, y no por una autoridad de supervisión. El artículo 18 (1) establece que este tipo de reparación administrativa estará disponible para la presunta infracción de los derechos de acceso, rectificación y cancelación. El TJUE ha hecho hincapié en que es esencial que los individuos sean capaces de presentar quejas ante las autoridades independientes de supervisión [48] y buscar, por lo tanto, el recurso administrativo. El EDPS interpreta en la disposición referente a la supervisión efectiva (artículo 21) y en la disposición relativa a la reparación administrativa (artículo 18), que no se restrinja la posibilidad de un individuo a presentar una queja ante la autoridad de vigilancia, en relación con las infracciones de los artículos 16 y 17 del Acuerdo (derechos de acceso, rectificación y cancelación).

IV.8. Supervisión eficaz

48. El EDPS acoge con satisfacción las disposiciones sobre la rendición de cuentas en el artículo 14, como se ha mencionado en el párrafo 19 de las presentes conclusiones. Sin embargo, estas disposiciones deben completarse con una supervisión externa independiente.

49. A este respecto, el EDPS recuerda que el artículo 8 (3) de la Carta establece que el respeto de las normas sobre protección de datos tiene que ser supervisado por una autoridad independiente, [49] lo que significa, según el TJUE, una autoridad capaz de tomar decisiones con independencia de cualquier influencia externa directa o indirecta. Una autoridad de supervisión, no sólo debe ser independiente de las partes que supervisa, sino que además no debe formar parte del gobierno, ya que el propio gobierno puede ser un parte interesada. [50]

50. El EDPS recibe con agrado el requisito establecido en el artículo 21 (1) (a) de que las autoridades de supervisión deban "ejercer funciones de supervisión independientes y empoderadas". Sin embargo, también a la luz del debate actual en cuanto a los poderes efectivos para hacer valer la protección de datos y la ley de privacidad de algunas de las autoridades de supervisión de los Estados Unidos [51] enumeradas en el artículo 21 (3), consideramos necesario que, una declaración explicativa bilateral respecto al Acuerdo, sea firmada por las partes para indicar de manera concreta:

Las autoridades de control que tienen competencia en esta materia y el mecanismo para que las Partes se informen mutuamente acerca de los cambios futuros;
Los poderes efectivos que pueden ejercer;
La identidad y las coordenadas del punto de contacto, que ayudarán a la identificación del órgano de control competente (véase el artículo 22 (2)). [52]

IV.9. Revisión conjunta y la suspensión

51. El EDPS recibe con agrado el artículo 23 sobre la revisión conjunta del Acuerdo. El artículo 23 (3) evita que la "duplicación" de los exámenes conjuntos, pueda tener un impacto en las revisiones conjuntas ya previstas en los acuerdos existentes: sin embargo, se recomienda a la Comisión de la UE que aclare cómo esto puede tener un impacto en la aplicación de los acuerdos específicos tales como las relacionadas con el intercambio de datos de pasajeros [53] [54] o de registros financieros.

52. El EDPS también acoge con satisfacción el hecho de que el artículo 26 permita la suspensión del Acuerdo en caso de incumplimiento de sus disposiciones. Para este efecto, el EDPS destaca el papel primordial de la supervisión independiente en la aplicación del Acuerdo a fin de que las infracciones sean identificadas.

V. Conclusiones

53. El EDPS acoge con satisfacción la intención de establecer un instrumento jurídicamente vinculante que tiene por objeto garantizar un alto nivel de protección de datos, para los datos personales transferidos entre la UE y los EE.UU. con el fin de prevenir, investigar, detectar o perseguir delitos, incluido el terrorismo.

54. La mayor parte de las disposiciones sustantivas del Acuerdo se espera se correspondan total o parcialmente con las garantías esenciales del derecho a la protección de datos personales en la UE (como los derechos del titular de los datos, la supervisión independiente y el derecho a la tutela judicial efectiva).

55. Aunque el Acuerdo no constituye técnicamente una decisión de adecuación, se crea una presunción general de cumplimiento para las transferencias sobre una base jurídica específica, en el marco del Acuerdo. Por lo tanto, es crucial para asegurar que esta "presunción" se refuerza con todas las garantías necesarias en el texto del Acuerdo, para evitar cualquier violación de la Carta, en particular de los artículos 7, 8 y 47.

56. Hay tres mejoras esenciales que el EDPS recomienda incrporar al texto para garantizar el cumplimiento de la Carta y el artículo 16 del TFUE:

1) la aclaración de que todas las garantías se aplican a todas las personas, no sólo a los nacionales de la UE;
2) velar para que las disposiciones de tutela judicial sean eficaces en el sentido de la Carta;
3) la aclaración de que las transferencias de grandes volúmenes de datos sensibles no están autorizadas.

57. Por otra parte, con el propósito de obtener seguridad jurídica, el EDPS recomienda que las siguientes mejoras o aclaraciones sean introducidas en el texto del Acuerdo o, en declaraciones explicativas que se adjunte al Acuerdo, o en la fase de ejecución del Acuerdo, como se detalla dentro de estas conclusiones:

1) que el artículo 5 (3), debe interpretarse como que respeta el papel de los supervisores, de manera que sea compatible con el artículo 8 (3) de la Carta;

2) que las bases jurídicas específicas para las transferencias (Artículo 5 (1)) deben cumplir plenamente con las garantías previstas en el Acuerdo y que, en el caso de disposiciones contradictorias entre una base jurídica específica y el Acuerdo, prevalecerá este último;

3) que en el caso de falta de protección para los datos transferidos a las autoridades a nivel de Estado, las medidas pertinentes en virtud del artículo 14 (2) incluirán, en su caso, las relativas a los datos que ya se hayan compartido;

4) que las definiciones de las operaciones de tratamiento e información personal (artículo 2) se alinean para estar de acuerdo con su comprensión bien establecida en virtud de la legislación de la Unión Europea; en caso de que las Partes no se alinearán totalmente con estas definiciones, debe hacerse una aclaración en los documentos explicativos que acompañan el Acuerdo, indicando que la aplicación de ambos conceptos no diferirá en sustancia de lo que se entiende en la legislación de la UE;

5) que presenta una lista indicativa de las "condiciones específicas", para que los datos se transfieran de forma masiva (artículo 7 (3)) que podría incluirse en la declaración explicativa;

6) que las Partes tienen la intención de aplicar las disposiciones relativas a las notificaciones de violación de información (artículo 10), a fin de limitar lo más posible la omisión de las notificaciones, por un lado, y para evitar retrasos excesivos de las mismas;

7) que la disposición sobre retención de datos en el artículo 12 (1) se complementa con la especificación "para los fines específicos para los cuales fueron transferidos", a la luz del principio de limitación de finalidad invocado por las partes en el Acuerdo;

8) que las Partes del Acuerdo posibiliten incrementar sus esfuerzos para asegurar que las restricciones al ejercicio del derecho de acceso se limitan a lo indispensable para preservar los intereses públicos enumerados y para reforzar la obligación de transparencia;

9) que una declaración explicativa detallada del Acuerdo enumere específicamente (artículo 21):

las autoridades de control que tienen competencia en esta materia y el mecanismo por el que las Partes se informan mutuamente acerca de los cambios futuros;
los poderes efectivos que pueden ejercer;
la identidad y las coordenadas del punto de contacto, que ayudarán a la identificación del órgano de control competente (véase el artículo 22 (2)).

58. Por último, el EDPS recuerda la necesidad de que cualquier interpretación, aplicación y medida de aplicación del Acuerdo se debe hacer, en el caso de falta de claridad y aparente conflicto de intereses, de una manera compatible con los principios constitucionales de la UE, en particular en relación al artículo 16 TFUE y a los artículos 7 y 8 de la Carta, independientemente de las mejoras que se incorporen siguiendo las recomendaciones de este dictamen.

Hecho en Bruselas, el 12 de febrero del año 2016

(Firmado)

Giovanni BUTTARELLI

Supervisor Europeo de Protección de Datos

4. ANOTACIONES Y REFERENCIAS

1 See MEMO 10/1661 of the European Commission, published on 3 December 2010, available here: http://europa.eu/rapid/press-release_IP-10-1661_en.htm.

2 See MEMO 11/203 of the European Commission, published on 29 March 2011, available here: http://europa.eu/rapid/press-release_MEMO-11-203_en.htm.
3 See Press release 14-668 of the Office of the Attorney General, published on 25 June 2014, available here: http://www.justice.gov/opa/pr/attorney-general-holder-pledges-support-legislation-provide-eu-citizens-judicial-redress.

4 See MEMO 15/5612 of the European Commission, published on 8 September 2015, available here: http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm.

5 Text available here: http://ec.europa.eu/justice/data-protection/files/dp-umbrella-agreement_en.pdf.

6 See Case-181/73, R. & V. Haegeman v. Belgian State, ECLI:EU:C:1974:41, at 5 (in the "Grounds" section).

7 Case C-308/06, Intertanko and Others, ECLI:EU:C:2008:312, at 42.

8 Joined cases C-402/05 P and C-415/05 P, Kadi v. Council, ECLI:EU:C:2008:461, at 285.

9 To this effect, see the relevant provisions:

· for the area of the common single market: Articles 25 and 26 of Directive 95/46/EC;

· for the law enforcement area, regarding only data processed as a result of a cross-border transfer: Article 13 of the Council Framework Decision 2008/977/JHA on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters OJ L 350/60;

· for transfers of data from Europol to third countries: Article 23(6)(b) of the Council Decision 2009/371/JHA of 6 April 2009 establishing the European Police Office, OJ L 121/37;

· for transfers of data by EU institutions and bodies: Article 9 of Regulation 45/2001.

There is no available overview of national data protection laws in the area of law enforcement. In addition, see the Study for the LIBE Committee, "A Comparison between US and EU Data Protection Legislation for Law Enforcement" (Author: F. Boehm), PE 536.459, published in September 2015 (hereinafter "Boehm study"), p. 30 to 35.

10 Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) COM(2012)11 [first reading] (hereinafter ''proposed GDPR'').

11 The Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data COM(2012)10 [first reading] (hereinafter ''proposed Data Protection Directive in criminal matters'').

12 Case C-362/14, Schrems, ECLI:EU:C:2015:650 (hereinafter "Schrems").

13 See Schrems at 38, 40, 47, 53, 54, 58, 64, 66, 72, 91, 94, 95.

14 More precisely, the Court of Justice recently affirmed that the requirements for ensuring lawful international transfers of personal data enshrined in secondary EU legislation, in particular the possibility of the Commission to adopt adequacy decisions for the purpose to "protect the private lives and basic freedoms of individuals" [Article 25(6) of Directive 95/46], stem from Article 8(1) of the Charter of Fundamental Rights of the EU (the Charter) and the obligation expressly enshrined therein "to protect personal data". In this regard see Schrems at 72: "Thus, Article 25(6) of Directive 95/46 (n. – conditions for the European Commission to find that a third country has an adequate level of protection) implements the express obligation laid down in Article 8(1) of the Charter to protect personal data and, as the Advocate General has observed in point 139 of his Opinion, is intended to ensure that the high level of that protection continues where personal data is transferred to a third country". In addition, the Court requires that ensuring an "adequate level of protection" must be understood as "requiring the third country in fact to ensure, by reason of its domestic law or its international commitments, a level of protection that is essentially equivalent to that guaranteed within the European Union by virtue of Directive 95/46 read in the light of the Charter" [Schrems, at 73].The condition of the existence of an essentially equivalent level of protection is foreseen both in the forthcoming General Data Protection Regulation [Recital 81 of the Preamble] and the Data Protection Directive in criminal matters [Recital 47 of the Preamble].

15 Council Framework Decision 2008/977/JHA on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters OJ L 350/60.

16 Regulation (EC) No 45/2001 of the European Parliament and of the Council of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data.

17 Article 54 of the Council Decision 2007/533/JHA of 12 June 2007 on the establishment, operation and use of the second generation Schengen Information System II, OJ L 205/63.

18 Article 31 of Regulation 767/2008/EC of 9 July 2008 concerning the Visa Information System (VIS) and the exchange of data between Member States on short-stay visas, OJ L 218/60.

19 Article 23(6)(b) of the Council Decision 2009/371/JHA.

20 See, for instance, the Agreement between the United States of America and the European Union on the use and transfer of passenger name records to the United States Department of Homeland Security, OJ L 215/5; Council Decision 2009/820/CFSP of 23 October 2009 on the conclusion on behalf of the European Union of the Agreement on extradition between the European Union and the United States of America and the Agreement on mutual legal assistance between the European Union and the United States of America, OJ L 291/40; see also different Mutual Legal Assistance Treaties between Member States and third countries.

21 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Strasbourg, 28 January 1981, ETS 108.

22 Recital 10 of Directive 95/46/EC and Recital 10 of the Council Framework Decision 2008/977/JHA expressly foresee that, in general, the legal regime for data protection created under each of the two legal acts "must (...) seek to ensure a high level of protection".

23 See, for instance, Joined cases C-293/12 and C-594/12, Digital Rights Ireland (C-293/12) and Seitlinger (C-594/12), ECLI:EU:C:2014:238 (hereinafter "DRI"), at 67 and Schrems, at 39 and 72.

24 "In consideration of this Agreement and its implementation, DHS shall be deemed to provide, within the meaning of relevant EU data protection law, an adequate level of protection for PNR processing and use. In this respect, carriers which have provided PNR to DHS in compliance with this Agreement shall be deemed to have complied with applicable legal requirements in the EU related to the transfer of such data from the EU to the United States.".

25 The EDPS recalls that the Court of Justice of the EU underlined in its case-law applying Article 8(1) of the Charter that the term "adequate level of protection" "must be understood as requiring the third country in fact to ensure, by reason of its domestic law or its international commitments, a level of protection of fundamental rights and freedoms that is essentially equivalent to that guaranteed within the European Union" (Schrems at 73). The Court further established that "when examining the level of protection afforded by a third country", the assessment must refer to "the content of the applicable rules in that country resulting from its domestic law or international commitments and the practice designed to ensure compliance with those rules" (Schrems at 75) and also that it must "take account of all circumstances surrounding a transfer of personal data to a third country" (Schrems at 75). Moreover, one of the main reasons of the CJEU to invalidate the 2000 Safe Harbor decision was that it did not in fact contain any reasoned finding that the legal system in question “ensures” an adequate level of protection (Schrems at 96 to 98).

26 See the judgment of the US Supreme Court in Medellin v Texas 552 US (2008) at 505 and 505 n.2: "What we mean by self-executing is that the treaty has automatic domestic effect as federal law upon ratification"; "In sum, while treaties may comprise international commitments... they are not domestic law unless Congress has either enacted implementing statutes or the treaty itself conveys an intention that it be self-executing and is ratified on these terms". See "International Law and Agreements: Their Effect upon U.S. law", issued by the Congressional Research Service, February 18, 2015, available on www.crs.gov.

27 DRI, at 68.

28 Recital 33 of the Framework Decision reiterates that it "is an essential component of the protection of personal data processed within the framework of police and judicial cooperation between the Member States". See also Case C-518/07, Commission v Germany, EU:C:2010:125, at 25; Case C-288/12, Commission v Hungary, EU:C:2014:237, at 48 and Schrems, at 41.

29 Schrems, at 47, which specifically refers to Article 8(3) of the Charter when establishing the power of supervisory authorities to check whether transfers are lawful.

30 For a possible indication on the impact of such transfers, see the Study for the LIBE Committee, "The US legal system on data protection in the field of law enforcement. Safeguards, rights and remedies for EU citizens" (Author: F. Bignami), PE 519.215, published in May 2015 (hereinafter "Bignami study"), p. 6 and 7.

31 Schrems at 93 and 94; See also the Bignami study, p.6.

32 To this effect, see Bignami study, p.12.

33 Article 8(1) of the Directive 95/46/EC lists "personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade-union membership, and the processing of data concerning health or sex life as special categories of personal data".

34 See, for instance, Opinion of the EDPS on the EU-Canada PNR Agreement, 30.09.2013, at 47; EDPS Opinion on the Communication from the Commission on the global approach to transfers of Passenger Name Record (PNR) data to third countries, 19.10.2010, at 26; EDPS Opinion on the Proposal for a Directive of the European Parliament and of the Council on the use of Passenger Name Record data for the prevention, detection, investigation and prosecution of terrorist offences and serious crime, 25.03.2011, at 6; EDPS Opinion on the EU-Australia PNR Agreement, 15.07.2011, at 26; See also the Opinion 4/2003 of the Article 29 Data Protection Working Party on the Level of Protection ensured in the United States for the Transfer of Passengers' Data, adopted on 23 June 2003, p.7.

35 EDPS Opinion on the Proposal for a Council Decision on the conclusion of the Agreement between the United States of America and the European Union on the use and transfer of Passenger Name Records to the United States Department of Homeland Security, 9.12.2011, at 15 and 16.

36 For comparison, Article 9 of Council of Europe's Convention 108 allows exceptions to the right to access, including in the law enforcement area, when they are provided for by law and are necessary in a democratic society in the interests of "(a) protecting State security, public safety, the monetary interests of the State or the suppression of criminal offences; and (b) protecting the data subject or the rights and freedoms of others".

37 As required, by analogy, in DRI, at 60 to 62.

38 5 U.S.C. §552a(d)(1).

39 See Bignami study in general and Boehm study, p. 53 and 54.

40 5 U.S.C. §552a(d)(5); see also Bignami study, p. 12.

41 5 U.S.C. §552a(j).

42 5 U.S.C. §552a(k).

43 Case C-201/14 Bara v CNAS, ECLI:EU:C:2015:638, at 33.

44 Article 7 of the Council Decision 2008/977/JHA and Article 19 of the proposed Data Protection Directive in criminal matters.

45 Schrems, at 95.

46 Schrems, at 95.

47 The bill was passed by the Congress on 10 February 2016, but further procedures are needed before it will be considered adopted. The draft bill has been met with criticism by US observers, who consider that it provides insufficient legal protection to citizens of the EU and in any case significantly less protection than the one afforded to US persons under the Privacy Act 1974. See, in this regard, the Bignami study, p. 13 and the letter sent by EPIC to US House of Representatives Committee on the Judiciary, 16 September 2015, available here https://epic.org/foia/umbrellaagreement/EPIC-Statement-to-HJC-on-HR1428.pdf.

48 Schrems, at 56 to 58.

49 Case C-614/10, Commission v Austria, ECLI:EU:C:2012:631, at 36; Case C-288/12, Commission v Hungary, at 47; Schrems, at 40.

50 Case C-518/07, Commission v Germany, at 18-19, 25 and 30.

51 See Bignami study, p. 34 and Boehm study, p. 54 and 72.

52 Commission v Austria, at 36; Commission v Hungary; Commission v Germany and Schrems.

53 Council Decision 2012/472/EU of 26 April 2012 on the conclusion of an Agreement between the European Union and the United States of America on the processing and transfer of passenger name records to the United States Department of Homeland Security, OJ L 215.

54 Council Decision 2010/412/EU of 13 July 2010 on the conclusion of an Agreement between the European Union and the United States of America on the processing and transfer of Financial Messaging Data from the European Union to the United States for the purposes of the Terrorist Finance Tracking Program, OJ L 195.

5. DERECHOS DE AUTOR

Giovanni BUTTARELLI, en calidad de Supervisor Europeo de Protección de Datos, en Bruselas, el 12 de febrero del año 2016.

El Supervisor Europeo de Protección de Datos (EDPS – por sus siglas en inglés) es una institución independiente de la UE, responsable de conformidad con el artículo 41 (2) del Reglamento 45/2001 “En lo que respecta al tratamiento de datos personales ... para asegurar que los derechos y libertades fundamentales de las personas físicas, y en particular su derecho a la intimidad, sean respetados por las instituciones y órganos comunitarios ", y " ... para asesorar a las instituciones y los organismos comunitarios, y a los interesados, en todas las cuestiones relativas al tratamiento de datos personales”. Fue nombrado en diciembre de 2014, junto con el supervisor adjunto con instrucciones específicas de ser constructivo y proactivo. El EDPS público en marzo el año 2015 una estrategia de cinco años que establece cómo tiene la intención de poner en práctica este mandato, y para rendir cuentas por ello.