Agencia española de protección de datos

Preparación de la Revisión conjunta anual del Escudo de Privacidad (Privacy Shield)

---Traducción no oficial---

Press release

(13 de junio de 2017). El 12 de julio de 2016, la Comisión Europea adoptó la Decisión de Adecuación del Escudo de Privacidad UE-EEUU. Tras evaluar la jurisprudencia del TJUE y del TEDH, la legislación relevante de EEUU, así como el borrador y la decisión de adecuación finales, el Grupo de Trabajo del Artículo 29 (GT29), compuesto por las Autoridades de Protección de Datos de los Estados miembros, emitió varios dictámenes y subrayó que sus preocupaciones deberían abordarse en el marco de la revisión conjunta anual del Escudo de privacidad UE-EEUU. Por lo tanto, la primera Revisión anual conjunta será un momento clave para que el GT29 evalúe la solidez y la eficacia del mecanismo Escudo de Privacidad.

De acuerdo con la decisión de adecuación, la Comisión llevará a cabo esta Revisión, que tendrá lugar en septiembre en EEUU. La participación en las reuniones estará abierta a las Autoridades de Protección de Datos de la UE del Grupo de Trabajo del Artículo 29. En vísperas de esta primera Revisión Conjunta, el GT29 ha estado preparando intensamente este ejercicio, tanto en relación con el fondo como con la dimensión operativa de la Revisión. En particular, ha adoptado una carta que se enviará a la Comisión Europea para compartir sus opiniones y recomendaciones.

En esta carta, el GT29 recuerda que la misión a EEUU será una misión de investigación para recopilar la información relevante y las pruebas necesarias para evaluar la solidez del Escudo de Privacidad. Para asegurarse de que las autoridades de EEUU puedan responder de forma constructiva a las preocupaciones sobre la aplicación concreta de la Decisión del Escudo de Privacidad, el GT29 comunicará a la Comisión la información y aclaraciones que busca sobre la parte comercial así como la que se refiere al acceso por razones de cumplimiento de la ley (“law enforcement”) y de seguridad nacional, en consonancia con los puntos planteados en los anteriores dictámenes del GT29.

En cuanto a la parte comercial, el GT29 tiene preguntas sobre, entre otras cuestiones, la existencia de garantías legales en relación con la toma de decisiones automatizadas o la existencia de cualquier directriz emitida por el Departamento de Comercio de EEUU (DOC) sobre la aplicación de los principios de Privacy Shield a organizaciones que actúan como agentes/encargados de tratamientos. Las aclaraciones que se buscarán también incluirán la definición de datos de recursos humanos.

En lo que respecta a la parte de aplicación de la ley y seguridad nacional, el GT29 tiene preguntas relacionadas en particular con los últimos desarrollos de la legislación y la jurisprudencia de EEUU en el ámbito de la privacidad. El GT29 también busca, entre otras cosas, evidencias precisas que demuestren que la recolección masiva, cuando exista, es "tan ajustada como sea factible", limitada y proporcionada. Además, el GT29 subraya la necesidad de obtener información sobre la designación de los miembros para ocupar las cuatro vacantes del Privacy and Civil Liberties Oversight Board (PCLOB), así como sobre el nombramiento del “Ombudsperson” previsto en el Escudo de Privacidad y los procedimientos que rigen el mecanismo de “Ombudsperson”, ya que son elementos clave de la arquitectura de supervisión del Escudo de Privacidad.

Naturalmente, estas preguntas serán sin prejuicio de cualquier otra cuestión adicional que pueda parecer necesaria en el curso de la preparación de la Revisión Conjunta o de la propia Revisión Conjunta.

Por lo que se refiere a los representantes de las Autoridades de Protección de Datos que participarán en la Revisión Conjunta, el GT29 ha designado a 8 participantes para que formen parte del equipo de Revisión, tanto Comisionados como personal experto de las Autoridades. En su opinión, para tener tiempo suficiente para realizar una evaluación, el GT29 considera que el examen en EEUU debe durar al menos 2-3 días.

El GT29 también ha sugerido una lista de autoridades estadounidenses que deberían formar parte de la Revisión Conjunta, tanto para la parte comercial como para la parte de aplicación de la ley y seguridad nacional. También considera tener contactos con representantes de sociedad civil en la UE y en EEUU.

El GT29 espera que se le dé la oportunidad de presentar sus comentarios sobre el informe de la Comisión antes de que este informe se haya terminado. No obstante, sujeto al resultado de la Revisión Conjunta y del informe de la Comisión, el GT29 se reserva el derecho de publicar su propio informe, sobre la base de las conclusiones del equipo de revisión del Grupo de Trabajo.