COMISIÓN EUROPEA Bruselas, 29.4.2016 COM(2016) 238 final

Anuncio
COMISIÓN
EUROPEA
Bruselas, 29.4.2016
COM(2016) 238 final
2016/0127 (NLE)
Propuesta de
DECISIÓN DEL CONSEJO
sobre la firma, en nombre de la Unión Europea, de un Acuerdo entre los Estados Unidos
de América y la Unión Europea sobre la protección de los datos personales en relación
con la prevención, la investigación, la detección y el enjuiciamiento de infracciones
penales
ES
ES
EXPOSICIÓN DE MOTIVOS
1.
CONTEXTO DE LA PROPUESTA
•
Razones y objetivos de la propuesta
En noviembre de 2006 se creó un Grupo de contacto de alto nivel compuesto de altos
funcionarios de la Comisión, la Presidencia del Consejo y los Departamentos de Justicia,
Seguridad Nacional y de Estado de EE.UU., para estudiar las posibilidades de que la UE y los
EE.UU. pudieran trabajar más estrechamente y con mayor eficacia en el intercambio de
información entre los servicios de seguridad, garantizando al mismo tiempo la protección de
la privacidad y de los datos personales. La conclusión a que se llegó en el informe final del
Grupo de contacto de octubre de 20091 fue que la mejor opción para aplicar los principios
comunes acordados en materia de protección de datos para las transferencias transatlánticas
de datos en el ámbito policial era un acuerdo internacional vinculante tanto para la UE como
para los EE.UU. ya que ofrecería la ventaja de establecer los mecanismos fundamentales de
una protección efectiva de la privacidad y de los datos personales que rigen cualquier
intercambio de información policial y proporcionaría el mayor nivel posible de seguridad
jurídica.
El 3 de diciembre de 2010, el Consejo adoptó una Decisión que autorizaba a la Comisión a
entablar negociaciones para la celebración de un Acuerdo entre la Unión Europea y los
Estados Unidos de América sobre la protección de los datos personales cuando se transfieren
y tratan con el fin de prevenir, investigar, detectar o perseguir infracciones penales, incluido el
terrorismo, en el marco de la cooperación policial y judicial en materia penal (en lo sucesivo,
«el Acuerdo marco»)2.
El 28 de marzo de 2011, la Comisión inició las negociaciones. El 8 de septiembre de 2015, las
Partes rubricaron el texto.
El Acuerdo marco establece, por primera vez, un marco general de principios y salvaguardias
de la protección de datos en los casos en los que los datos personales3 se transfieren a efectos
policiales o judiciales entre los Estados Unidos, por una parte, y la Unión Europea y sus
Estados miembros, por otra. El doble objetivo es garantizar un alto nivel de protección de los
datos y, de este modo, reforzar la cooperación entre las Partes. Aunque no constituya en sí
mismo la base jurídica para todas las transferencias de datos personales a los Estados Unidos,
el Acuerdo marco, en caso necesario, complementa las garantías de protección de datos en los
1
2
3
ES
Informes del Grupo de Contacto de Alto Nivel entre la UE y los EE. UU. sobre el intercambio de
información y la protección de la vida privada y los datos personales, Bruselas, 23 de noviembre de
2009, 15851/09, JAI 822 DATAPROTECT 74 USA 102.
Junto con la adopción de la reforma relativa a la protección de datos y el nuevo escudo en materia de
privacidad UE-EE.UU. relativo a las transferencias de datos en el ámbito comercial, la celebración de
un Acuerdo marco global y coherente constituye un elemento esencial de la estrategia establecida en la
Comunicación de la Comisión sobre la regeneración de la confianza en los flujos de datos entre la UE y
los EE.UU. (COM(20123) 846), de 27 de noviembre de 2013, que puede consultarse en
http://ec.europa.eu/justice/data-protection/files/com_2013_846_en.pdf, y corroboradas también en las
directrices políticas del presidente Juncker y en la Comunicación de la Comisión al Parlamento Europeo
y al Consejo «Los flujos transatlánticos de datos: recuperar la confianza instaurando estrictas
salvaguardias», COM(2016) 117 final, de 29 de febrero de 2016, disponible en:
http://ec.europa.eu/justice/data-protection/files/privacy-shield-adequacy-communication_en.pdf.
El concepto de «información de carácter personal», tal y como se utiliza en el Acuerdo marco, es
sinónimo del concepto de «datos personales».
2
ES
acuerdos en materia de transferencia de datos actuales y futuros o las disposiciones nacionales
que autorizan tales transferencias.
Esto representa una mejora sustancial en comparación con la situación actual, en la que los
datos personales se transfieren a través del Atlántico sobre la base de instrumentos jurídicos
(acuerdos internacionales o legislación nacional) que generalmente contienen pocas o ninguna
disposición sobre protección de datos.
•
Coherencia con las disposiciones existentes en la misma política sectorial
El Acuerdo marco permitirá mejorar la protección ofrecida a todos los datos personales de los
interesados de la UE cuando se intercambien con los EE.UU. a efectos policiales o judiciales.
Al establecer un marco global de garantías en relación con la protección de datos, el Acuerdo
servirá de complemento a los acuerdos existentes (tanto los acuerdos bilaterales entre los
Estados miembros y los EE.UU., como acuerdos UE-EE.UU.) sobre cuya base se envían
datos personales a los Estados Unidos con fines policiales, en los casos y en la medida en que
no exista el nivel necesario de protección y salvaguardias.
Además, el Acuerdo preverá una «red de seguridad» para los futuros acuerdos UE/Estados
miembros-EE.UU que constituirá el nivel mínimo de protección. Esto constituye una garantía
importante para el futuro y un cambio radical de la situación actual, en la que las
salvaguardias, la protección y los derechos tienen que negociarse en cada nuevo acuerdo.
En general, el Acuerdo marco aportará un valor añadido considerable en términos de refuerzo
del nivel de protección de los titulares de los datos en consonancia con los requisitos del
Derecho primario y secundario de la UE. Por primera vez, se introducirá un instrumento de
protección de datos que abarque de manera global y coherente todas las transferencias de
datos en una zona determinada (es decir, los intercambios transatlánticos de datos en el
ámbito de la cooperación policial y judicial en materia penal). Además, el Acuerdo marco
fundamentará, en el contexto trasatlántico, los requisitos generales sobre trasferencia de datos
internacionales previstos en la futura Directiva relativa a la protección de las personas físicas
en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes
para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o
de ejecución de sanciones penales, y la libre circulación de dichos datos (en lo sucesivo, «la
Directiva de policía»)4 adoptada el 14 de abril de 2016. En vista de lo anterior, el Acuerdo
marco también sienta un importante precedente para acuerdos similares con otros socios
internacionales.
•
Coherencia con otras políticas de la Unión
Se espera que el Acuerdo marco tenga un impacto significativo sobre la cooperación policial
y judicial con los Estados Unidos. Al establecer un marco común y global en materia de
normas de protección de datos y garantías, permitirá a las autoridades policiales y judiciales
penales de la UE o de sus Estados miembros y de EE.UU. cooperar más eficazmente entre sí.
Por otra parte, garantizará que los acuerdos existentes incluyan todas las medidas de
protección necesarias. Con ello se contribuirá a la continuidad en la cooperación policial,
4
ES
Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes
para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de
ejecución de sanciones penales, y la libre circulación de dichos datos [COM(2012) 010 final 2012/0010
(COD)]
disponible
en:
http://eur-lex.europa.eu/legalcontent/EN/TXT/PDF/?uri=CELEX:52012PC0010&from=en
3
ES
garantizando al mismo tiempo una mayor seguridad jurídica en el momento de las
transferencias. El Acuerdo facilitará asimismo la celebración de futuros acuerdos de
transferencia de datos con los Estados Unidos en el ámbito de la cooperación policial y
judicial penal en la medida en que las garantías de protección de datos habrán sido acordadas,
y por lo tanto no tienen que negociarse una y otra vez. Por último, el establecimiento de
normas comunes en este importante pero complejo ámbito de cooperación constituye un logro
importante que puede contribuir de manera significativa a restaurar la confianza en los flujos
de datos transatlánticos.
2.
BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD
•
Base jurídica
La base jurídica de la presente propuesta es el artículo 16, leído en relación con el
artículo 218, apartado 5, del TFUE.
•
Subsidiariedad
El Acuerdo marco es competencia exclusiva de la UE con arreglo al artículo 3, apartado 2, del
TFUE. No es por lo tanto aplicable el principio de subsidiariedad.
•
Proporcionalidad
El Acuerdo marco establece las garantías de protección de los datos impuestas por el mandato
de negociación del Consejo. Dichas garantías se consideran elementos necesarios para lograr
el nivel exigido de protección cuando se transfieran datos personales a un tercer país, tanto en
virtud de la Carta de los Derechos Fundamentales como de la evolución del acervo de la UE.
Tal nivel de protección no podría alcanzarse con un conjunto mucho menor de tales garantías
ni con un instrumento con menor fuerza vinculante. Por consiguiente, la propuesta no va más
allá de lo necesario para alcanzar el objetivo de establecer un marco para la protección de los
datos personales que se transmiten entre los Estados Unidos, por una parte, y la Unión
Europea y sus Estados miembros, por otra parte, en un contexto policial y judicial.
•
Elección del instrumento
El establecimiento de un marco vinculante para la protección de los datos personales, que
servirá de complemento a los acuerdos existentes y constituye una base de referencia para
futuros acuerdos, solo puede garantizarse a través de un acuerdo internacional celebrado entre
la UE y los Estados Unidos.
Además, como se puso de relieve en el informe final del Grupo de contacto de alto nivel de
octubre de 2009, un acuerdo internacional garantiza un mayor grado de seguridad jurídica.
3.
RESULTADOS DE LAS EVALUACIONES EX POST, DE LAS CONSULTAS
CON LAS PARTES INTERESADAS Y DE LAS EVALUACIONES DE
IMPACTO
•
Evaluaciones ex post / control de calidad de la legislación existente
No procede.
•
Consultas con las partes interesadas
La Comisión ha informado de forma periódica oralmente y por escrito al Comité especial
designado de los avances en las negociaciones. El Parlamento Europeo ha sido informado
ES
4
ES
periódicamente, a través de su Comisión de Libertades Civiles, Justicia y Asuntos de Interior
(LIBE), tanto oralmente como por escrito.
•
Obtención y utilización de asesoramiento técnico
La Iniciativa aplica el mandato de negociación del Consejo de 3 de diciembre de 2010.
•
Evaluación de impacto
No era necesario realizar una evaluación de impacto. El Acuerdo propuesto está en
consonancia con el mandato de negociación del Consejo.
•
Adecuación y simplificación de la reglamentación
No procede.
•
Derechos fundamentales
Las disposiciones del Acuerdo marco tienen por objeto la protección del derecho fundamental
a la protección de datos personales y el derecho a una tutela judicial efectiva y un juicio justo
tal como han quedado consagrados en los artículos 8 y 47 de la Carta de los Derechos
Fundamentales de la Unión Europea.
4.
INCIDENCIA PRESUPUESTARIA
El Acuerdo propuesto no tiene ninguna incidencia presupuestaria.
5.
OTROS ELEMENTOS
•
Planes de ejecución y modalidades de seguimiento, evaluación e información
La aplicación por parte de los Estados miembros será necesaria, aunque no se espera que se
produzcan importantes cambios en la legislación, ya que las disposiciones sustantivas del
Acuerdo marco reflejan en gran medida las normas ya aplicables a la UE y a las autoridades
nacionales con arreglo a la legislación nacional y/o de la UE.
•
Explicación detallada de las disposiciones específicas de la propuesta
El Acuerdo marco, de conformidad con el mandato de negociación del Consejo, abarca cinco
categorías de disposiciones: i) disposiciones horizontales; ii) principios y salvaguardias de la
protección de datos; iii) derechos individuales; iv) aspectos relativos a la aplicación del
Acuerdo y la supervisión; y v) disposiciones finales.
i)
Disposiciones horizontales
i) Objeto del Acuerdo (artículo 1)
Para alcanzar la finalidad del Acuerdo (es decir, para garantizar un alto nivel de protección de
los datos personales y reforzar la cooperación en el ámbito policial y judicial), el Acuerdo
marco establece un marco para la protección de los datos personales cuando se transfieren
entre los Estados Unidos, por una parte, y la Unión Europea y sus Estados miembros, por otra,
para la prevención, la investigación, la detección o el enjuiciamiento de infracciones penales,
incluido el terrorismo. Mediante la referencia a las nociones de «prevención, detección,
investigación y enjuiciamiento de infracciones penales» (en lo sucesivo, conjuntamente,
«acciones policiales y judiciales») garantiza que el presente Acuerdo será compatible con la
ES
5
ES
estructura del actual y futuro acervo en materia de protección de datos de la UE (en particular,
la separación entre el Reglamento relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos datos
(«Reglamento general de protección de datos»5) y la «Directiva de policía» en relación con
sus ámbitos respectivos.
Al especificar que el «Acuerdo marco» en sí mismo no constituirá la base jurídica para todas
las transferencias de datos personales y que una base jurídica (separada) será siempre
necesaria, el artículo 1 también deja claro que el Acuerdo marco es un verdadero Acuerdo en
materia de derechos fundamentales por el que se establece una serie de medidas de protección
y garantías aplicables a esas transferencias.
ii) Definiciones (artículo 2)
Los términos fundamentales del Acuerdo marco se definen en el artículo 2. Las definiciones
de «datos personales», «tratamiento de datos personales», «Partes», «Estado miembro» y
«autoridad competente» se ajustan sustancialmente a la manera en que esos conceptos se han
definido en otros Acuerdos UE-EE.UU. y/o en el acervo de la UE sobre protección de datos.
iii) Ámbito de aplicación del Acuerdo (artículo 3)
El artículo 3 del Acuerdo marco define el ámbito de aplicación del Acuerdo marco.
Garantizará que las medidas de protección y las garantías ofrecidas por el Acuerdo marco se
aplican a todos los intercambios de datos en el marco de la cooperación policial y judicial
transatlántica en materia penal. Esto incluye transferencias de conformidad con las leyes
nacionales, los acuerdos UE-EE.UU. (por ejemplo, el Tratado de Asistencia Judicial Mutua
UE-EE.UU.), los acuerdos Estados miembros - EE.UU. (por ejemplo, los acuerdos de
asistencia judicial mutua, los acuerdos sobre el refuerzo de la cooperación en la prevención y
la lucha contra las formas graves de delincuencia o los acuerdos o instrumentos en materia de
información sobre control terrorista), así como los acuerdos que permiten la transferencia de
datos personales por entidades privadas a efectos policiales y judiciales [por ejemplo, en el
Acuerdo UE-EE.UU. sobre Registros de Nombres de los Pasajeros6 (en lo sucesivo «PNR») y
el Acuerdo sobre el Programa de Seguimiento de la Financiación del Terrorismo7 (en lo
sucesivo, «el TFTP») del Acuerdo]. El ámbito de aplicación se basa en una «transferencia de
datos», es decir, abarca, en principio, todas las transferencias de datos a efectos policiales o
judiciales entre la UE y los EE.UU., independientemente de la nacionalidad o del lugar de
residencia del interesado concernido.
El Acuerdo marco no cubrirá las transferencias de datos personales (u otras formas de
cooperación) entre Estados Unidos y las autoridades de los Estados miembros responsables de
velar por la seguridad nacional.
iv) No discriminación (Artículo 4)
5
6
7
ES
Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos
(Reglamento general de protección de datos) [COM(2012) 11 final, 2012/0011 (COD)], disponible en:
http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf
Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la utilización y la transferencia
de los registros de nombres de los pasajeros al Departamento de Seguridad del Territorio Nacional de
los Estados Unidos, DO de 11.8.2012, L 215/5.
Acuerdo entre la Unión Europea y los Estados Unidos sobre el tratamiento y la transferencia de datos de
mensajería financiera de la Unión Europea a los Estados Unidos, a efectos del Programa de
Seguimiento de la Financiación del Terrorismo, DO de 27.7.2010, L 195/5.
6
ES
El artículo 4 establece que cada Parte cumplirá el Acuerdo marco sin ninguna discriminación
arbitraria o injustificable entre sus propios nacionales y los de la otra Parte.
Este artículo complementa y refuerza otras disposiciones del Acuerdo (en particular, los
artículos que prevén salvaguardias para las personas físicas, tales como el derecho de acceso,
rectificación y recurso administrativo, véase infra), ya que asegura que los nacionales
europeos se beneficiarán, en principio, de una igualdad de trato con los ciudadanos de los
EE.UU. en lo que se refiere a la aplicación práctica de estas disposiciones por parte de las
autoridades de los Estados Unidos.
v) Efecto del Acuerdo (artículo 5)
Por lo que respecta a los acuerdos existentes entre la UE o los Estados miembros y los
Estados Unidos, el Acuerdo marco los completará según proceda, es decir, cuando y en la
medida en que carezcan de las salvaguardias necesarias en materia de protección de datos8.
La aplicación efectiva del Acuerdo marco (y, en particular, de sus artículos sobre derechos
individuales) da lugar a una presunción de compatibilidad con las normas sobre transferencias
internacionales de datos. Esto no es ni automático ni una presunción general y, como todas las
presunciones, puede ser refutada. No se trata de una presunción automática porque su
aplicación depende expresamente de la aplicación efectiva del Acuerdo marco por los EE.UU.
y, más concretamente, como precisa explícitamente el apartado 2 del artículo 5, para la
aplicación efectiva de los artículos sobre los derechos individuales (en particular, el derecho
de acceso y rectificación y los recursos administrativos y judiciales). No se trata tampoco de
una presunción general. Dado que el Acuerdo marco no es un instrumento específico para las
transferencias, tal presunción opera necesariamente en función de las circunstancias de cada
caso, es decir, analizando si la combinación del Acuerdo marco y la base jurídica específica
para la transferencia ofrecen un grado de protección en consonancia con las normas europeas
de protección de datos. En otras palabras, a diferencia de una decisión que constatara que el
nivel de protección era el adecuado, esta cláusula no prevé un reconocimiento «en bloque» del
nivel de protección previsto en los EE.UU. como tal o una autorización general de las
trasferencias.
ii)
Principios y salvaguardias de la protección de datos
Los artículos descritos a continuación abarcan importantes principios que regulan el
tratamiento de los datos personales, así como las garantías y limitaciones.
i) Limitación de los fines y de la utilización (artículo 6)
En consonancia con la Carta de Derechos Fundamentales de la UE y el acervo de la UE, el
artículo 6 se aplica el principio de limitación de los fines de todas las transferencias de datos
personales amparados por el Acuerdo marco, tanto en el caso de las transferencias en relación
con casos específicos y cuando los EE.UU. y la UE y sus Estados miembros celebren un
acuerdo que autorice importantes transferencias de datos personales. El tratamiento (lo cual
incluye las transferencias) no puede hacerse más que para fines precisos y legítimos en el
8
ES
El cuarto considerando del preámbulo indica que el Acuerdo marco no modificará, condicionará o
derogará los acuerdos para los que se demuestre que ofrecen un nivel adecuado de protección de datos,
con la excepción de la protección jurisdiccional prevista en el artículo 19, que se aplicaría también a
ellos. Esto afecta a los acuerdos PNR y TFTP.
7
ES
ámbito del Acuerdo marco, es decir, la prevención, la investigación, la detección o el
enjuiciamiento de infracciones penales, incluido el terrorismo.
Por otra parte, el tratamiento ulterior de los datos personales por otras autoridades (policiales,
judiciales, administrativas o con funciones reguladoras) distintas de la autoridad de una de las
Partes que recibe los datos en primer lugar está autorizada siempre y cuando no sea
incompatible con los fines para los que fue originalmente transferida y siempre que la nueva
autoridad se ajuste a todas las demás disposiciones del Acuerdo marco.
La autoridad competente de transferencia podrá imponer asimismo condiciones adicionales
(por ejemplo, sobre el uso de los datos) en casos específicos.
Por último, los datos personales solo se tratarán de una manera que sea «directamente
pertinente y no excesiva o demasiado amplia en relación a los fines de dicho tratamiento».
El artículo 6 constituye una disposición clave del Acuerdo: garantiza la aplicación de las
salvaguardias a todo el «ciclo de vida» de un determinado conjunto de datos desde la primera
transferencia de la UE a su tratamiento por una autoridad competente de los EE.UU. y
viceversa, así como su posible posterior intercambio con/nuevo tratamiento por otra autoridad
de los EE.UU. o, en el caso de una transferencia de datos de EEUU a una autoridad
competente de la UE o uno o más de sus Estados miembros, su posible posterior intercambio
con/tratamiento por otra autoridad de la UE o de los Estados miembros.
ii) Transferencia ulterior(artículo 7)
Las limitaciones fijadas en el artículo 7 para las transferencias ulteriores implica que, en caso
de que una autoridad de los EE.UU. tenga la intención de volver a transferir los datos que
recibió de la UE o de uno de sus Estados miembros a un tercer país u organización
internacional que no esté vinculado por el Acuerdo, tendrá que obtener en primer lugar el
consentimiento de la autoridad policial o judicial de la UE que ha cedido inicialmente los
datos a los Estados Unidos. Esta regla se aplica igualmente en el caso de que una autoridad de
la UE o de uno de sus Estados miembros tenga la intención de volver a transferir los datos que
recibió de los Estados Unidos a un tercer país u organización internacional.
Al decidir conceder su aprobación, la autoridad emisora inicial deberá tener debidamente en
cuenta todos los factores pertinentes, incluidos el fin para el que los datos fueron inicialmente
transferidos y si el tercer Estado u organización internacional ofrecen un nivel adecuado de
protección de los datos personales. Además, podrá someter la transferencia a determinadas
condiciones.
Por otra parte, por lo que se refiere a los artículos sobre limitación de los fines (art. 6), período
de conservación (art. 12) y categorías especiales de datos personales (art. 13), este artículo
tiene expresamente en cuenta la especial sensibilidad que lleva aparejada una importante
transferencia de datos personales de personas no sospechosas (por ejemplo, los datos PNR de
todos los pasajeros que efectúen un vuelo, con independencia de que exista una sospecha
concreta), en la medida en que exige que cualquier transferencia ulterior de datos personales
«excepto en relación con casos específicos» solo pueda producirse en condiciones particulares
contempladas en el Acuerdo que establece la necesidad de justificación para la transferencia
ulterior.
La situación específica de las transferencias ulteriores a otro Estado dentro de la UE (por
ejemplo, la policía francesa comparte con la policía alemana información recibida del FBI de
ES
8
ES
los EE.UU.) también es abordada en este artículo (apartado 4), estableciendo que, si esas
transferencias están sujetas, en virtud de las normas aplicables, al consentimiento previo, la
autoridad que haya remitido la información (por ejemplo, el FBI de EE.UU.) no podrá
denegar su consentimiento o imponer condiciones por motivos de protección de datos, ya que
todas las instancias implicadas están vinculadas por el Acuerdo marco).
iii) Mantener la calidad de los datos y la integridad de la información (artículo 8)
Las Partes adoptarán todas las medidas razonables para garantizar que los datos personales
transferidos se conservan con la exactitud, pertinencia, puntualidad y exhaustividad necesaria
y adecuada para el tratamiento lícito de los datos. En los casos en que la autoridad de
transferencia o receptora tenga conocimiento de la existencia de serias dudas en cuanto a la
pertinencia, puntualidad, exhaustividad y exactitud de los datos personales recibidos o
transferidos, procederá, cuando sea factible, a asesorar a la autoridad de transferencia o
receptora al respecto.
iv) Seguridad de la información (artículo 9) y notificación de incidentes de seguridad de la
información (artículo 10)
Estos artículos contribuyen a garantizar un alto nivel de protección de los datos personales
intercambiados por las Partes en el Acuerdo marco.
En primer lugar, con arreglo al artículo 9, las medidas de carácter técnico, de seguridad y
organizativas serán aplicadas por las Partes de cara a la protección de los datos personales
contra la destrucción, accidental o ilícita, la pérdida accidental, la difusión no autorizada y la
alteración y el acceso u otros tratamientos. Estos acuerdos establecerán también que el acceso
a los datos personales solo se concederá al personal autorizado.
En segundo lugar, con arreglo al artículo 10, en caso de un incidente de seguridad que plantee
un riesgo de perjuicio significativo, se tomarán inmediatamente las medidas adecuadas para
atenuar los daños, incluida la notificación a la autoridad transmisora y, en su caso, habida
cuenta de las circunstancias del incidente, a la persona afectada. Las excepciones a la
obligación de notificación se enumeran de forma exhaustiva en la disposición y corresponden
a limitaciones razonables (por ejemplo, la seguridad nacional).
v) Llevanza de registros (artículo 11)
Las Partes dispondrán de métodos eficaces (tales como registros diarios) para demostrar la
licitud del tratamiento y la utilización de los datos personales.
Este requisito constituye una salvaguardia importante para los ciudadanos, ya que supone
exigir a las autoridades policiales y judiciales que demuestren que una determinada operación
de tratamiento se llevó a cabo de conformidad con la ley. La obligación de documentar las
operaciones de tratamiento de datos conlleva, en particular, que habrá una «traza» en caso de
tratamiento ilícito. De este modo, se facilitará la tramitación de las denuncias y la
introducción de las reclamaciones relativas a la legalidad de las operaciones de tratamiento.
vi) Período de conservación (artículo 12)
El tratamiento de los datos se realizará sin perjuicio de los periodos de conservación con el fin
de garantizar que los datos no se conservan durante más tiempo del necesario y apropiado.
Para determinar la duración de estos periodos de conservación, existe una serie de elementos
ES
9
ES
que deben tenerse en cuenta, en particular, la finalidad de la transformación o utilización, la
naturaleza de los datos y la repercusión sobre los derechos e intereses de los interesados.
Asimismo, se especifica que, cuando las Partes celebren un Acuerdo sobre importantes
transferencias de datos, tal acuerdo debe contener una disposición específica sobre el período
de conservación aplicable. A través de esta disposición, las Partes aceptan el principio de que
tales acuerdos de transferencia global contendrán un determinado período de conservación
que, por lo tanto, no tendrá que negociarse de nuevo.
Los períodos de conservación serán objeto de revisiones periódicas para determinar si un
cambio en las circunstancias exige alguna modificación del período aplicable.
Para garantizar la transparencia, los períodos de conservación se publicarán o se pondrán a
disposición del público de cualquier otro modo.
vii)
Categorías especiales de datos personales (artículo 13)
El tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas
o religiosas u otras creencias, la pertenencia a sindicatos o datos personales relativos a la
salud o la vida sexual solo puede tener lugar cuando se establezcan las garantías adecuadas de
conformidad con la ley (por ejemplo, ocultando la información una vez cumplida la finalidad
para la cual fueron tratados los datos personales o cuando se requiera la aprobación de la
entidad supervisora para el acceso a la información).
Los acuerdos que permitan importantes transferencias de datos personales deberán especificar
las normas y condiciones con arreglo a las cuales las categorías especiales de datos podrán ser
objeto de tratamiento.
Las disposiciones relativas a las categorías especiales de datos son coherentes con la
exigencia de que el tratamiento será directamente pertinente y no excesivo de conformidad
con el artículo 6 «Limitación de los fines y de la utilización».
viii) Decisiones automatizadas (artículo 15)
El tratamiento de datos que pueda desembocar en la adopción de decisiones que tengan
efectos negativos para una persona (por ejemplo, en el contexto de la elaboración de perfiles)
no podrán basarse exclusivamente en el tratamiento automatizado de datos personales, a
menos que lo autorice la legislación nacional y siempre que existan salvaguardias adecuadas,
incluida la posibilidad de obtener la intervención humana.
ix) Transparencia (artículo 20)
Las personas tienen derecho a recibir información general o individual (mediante información
de carácter general o concreta y sujeta a «restricciones razonables») relativa a la finalidad del
tratamiento y el posible uso posterior de sus datos personales, las leyes o normas en virtud de
las cuales se lleva a cabo el tratamiento, la identidad de los terceros a quienes podrán
comunicarse los datos personales, así como el acceso, la rectificación y los mecanismos de
recurso disponibles.
Aumentar la sensibilización de los individuos sobre por qué y por quién son tratados sus datos
contribuye a la posibilidad de que las personas físicas ejerzan sus derechos de acceso,
rectificación o recurso (véanse los artículos 16 a 19).
ES
10
ES
iii)
Derechos individuales
Estos derechos son de especial importancia para la protección de los interesados, que podrán,
por primera vez, hacer uso de derechos de aplicación general para cualquier transferencia
transatlántica de datos personales en el ámbito policial o judicial.
i) Acceso y rectificación (artículos 16 y 17)
El derecho de acceso confiere a toda persona la posibilidad de solicitar y obtener el acceso a
sus datos personales. Los motivos para restringir el acceso se enumeran de manera exhaustiva
y corresponden a restricciones razonables (por ejemplo, salvaguardar la seguridad nacional,
evitar el perjuicio para la investigación o enjuiciamiento de infracciones penales, y proteger
los derechos y libertades de terceros). Los gastos excesivos no podrán imponerse como
condición para acceder a los propios datos.
El derecho de rectificación otorga derecho a cualquier persona a solicitar la corrección o
rectificación de sus datos personales en caso de que sean inexactos o que hayan sido
incorrectamente tratados. Esto podrán suponer completar, suprimir, bloquear o bien adoptar
cualquier otra medida o método para abordar las inexactitudes o el tratamiento incorrecto de
los datos.
Cuando la autoridad competente del país beneficiario concluya, a raíz de una solicitud de una
persona física, en relación con una notificación presentada por el proveedor de los datos
personales o a raíz de su propia investigación, que los datos son inexactos o han sido tratados
de manera abusiva, adoptará medidas para completarlos, suprimirlos, bloquearlos, o bien otras
medidas de corrección o rectificación.
Cuando lo permita la legislación nacional, cualquier persona podrá autorizar a una autoridad
de supervisión (es decir, una autoridad nacional de protección de datos en el caso de un
interesado que sea nacional de la UE) a solicitar en su nombre el acceso o la rectificación.
Esta posibilidad del ejercicio indirecto de los derechos a través de una autoridad y en un
ordenamiento jurídico conocido, debe concretamente ayudar a los interesados a hacer valer
sus derechos.
Si se deniega o se restringe la solicitud de acceso o rectificación, la autoridad requerida
ofrecerá a la persona (o a su representante debidamente autorizado) una respuesta indicando
los motivos de la denegación o restricción del acceso o rectificación. Del mismo modo, la
obligación de facilitar a las personas una respuesta motivada tiene por objeto permitir y
facilitar el ejercicio de su derecho al recurso administrativo y judicial en caso de que la
autoridad policial o judicial se deniegue o restringa el acceso o la rectificación.
ii) Recursos administrativos (artículo 18)
Si una persona está en desacuerdo con el resultado de su solicitud de acceso o rectificación de
los datos personales, tendrá derecho a presentar un recurso administrativo. Por lo que se
refiere al acceso y rectificación, con el fin de facilitar el ejercicio efectivo de este derecho, el
interesado tendrá derecho a autorizar a una autoridad de supervisión (es decir, una autoridad
nacional de protección de datos en el caso de un interesado que sea nacional de la UE) o a
otro representante, cuando así lo autorice la legislación nacional aplicable.
La autoridad ante la que se presente el recurso proporcionará al interesado una respuesta
escrita que indique, en su caso, las medidas correctoras o reparadoras adoptadas.
ES
11
ES
iii) Recursos judiciales (artículo 19)
Los ciudadanos de cada una de las Partes deberán poder plantear un recurso por vía judicial
ante i) la denegación del acceso, ii) la denegación de rectificación o iii) la divulgación ilícita
por las autoridades de la otra Parte.
Por parte de EE.UU., esto se ha reflejado en la Judicial Redress Act (Ley sobre recursos
judiciales) firmada por el Presidente Obama el 24 de febrero de 2016. Esta ley ampliará a los
ciudadanos de los «países cubiertos»9 estos tres tipos de motivos para el recurso judicial,
según lo dispuesto en la Privacy Act (Ley de protección de la privacidad estadounidense) de
1974, actualmente reservados a ciudadanos estadounidenses y residentes permanentes. El
cuarto considerando del preámbulo del Acuerdo marco precisa que esta ampliación cubrirá
también los datos intercambiados en virtud de acuerdos como PNR y TFTP. En combinación
con la adopción de la Ley sobre recursos judiciales, el artículo 19 mejorará por lo tanto
significativamente la protección judicial de los ciudadanos de la UE.
Aunque la Ley sobre recursos judiciales contiene una serie de limitaciones (concretamente,
sólo será aplicable a los datos de los ciudadanos procedentes de «países cubiertos» cuyos
datos hayan sido transferidos, en particular, por las autoridades policiales y judiciales de la
UE, pero no solo de ciudadanos de la UE), el artículo 19 del Acuerdo marco aborda una vieja
aspiración de la UE.
El artículo se corresponde asimismo con las orientaciones políticas del presidente Juncker,
según el cual «los Estados Unidos deberán [...] garantizar que todos los ciudadanos de la UE
pueden hacer valer sus derechos en materia de protección de datos ante los tribunales de los
Estados Unidos, aunque no residan en suelo estadounidense. La supresión de esa
discriminación es esencial para el restablecimiento de la confianza en las relaciones
transatlánticas». Asimismo, responde a la Resolución del Parlamento Europeo, de 12 de
marzo de 2014, sobre el programa de vigilancia de la ANS de los EE.UU., mediante la cual el
Parlamento solicitaba que se reanudasen inmediatamente las negociaciones con los EE.UU.
sobre el «Acuerdo marco» para poner «los derechos de los ciudadanos de la UE en el mismo
plano que los derechos de los ciudadanos de los EE.UU (...)» y proporcionar «recursos
administrativos y judiciales eficaces y aplicables a todos los ciudadanos de la UE en los
Estados Unidos, sin discriminación alguna»10.
El párrafo 3 del artículo 19 aclara que la ampliación de los tres motivos de recurso judicial
antes mencionados se entenderá sin perjuicio de otras vías de recurso judicial disponibles con
respecto al tratamiento de los datos (por ejemplo, en virtud de la Ley de procedimiento
9
10
ES
Un «país cubierto» con arreglo a la Ley sobre recursos judiciales de los Estados Unidos es un país que
i) ha celebrado con los Estados Unidos un acuerdo que prevé una protección adecuada de la privacidad
de la información compartida con fines policiales o judiciales (o que efectivamente ha compartido
información con fines policiales o judiciales y cuenta con las adecuadas medidas de protección de la
privacidad necesarias para proceder a compartir la información); ii) permite la transferencia de datos
personales con fines comerciales a través de un acuerdo con los Estados Unidos o mediante otros
instrumentos; iii) cuyas políticas en lo que se refiere a la transferencia de datos personales con fines
comerciales no obstaculizan sensiblemente los intereses de seguridad nacional de los Estados Unidos.
La designación de un país como «país cubierto» corresponde al Fiscal General de los Estados Unidos.
Véase el apartado 57 y el considerando BJ de la Resolución, de 12 de marzo de 2014, sobre el programa
de vigilancia de la Agencia Nacional de Seguridad de los EE.UU., los órganos de vigilancia en diversos
Estados miembros y su impacto en los derechos fundamentales de los ciudadanos de la UE y en la
cooperación transatlántica en materia de justicia y asuntos de interior, (2013/2188(INI)), disponible en
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-20140230+0+DOC+XML+V0//EN
12
ES
administrativo, la Ley sobre protección de la privacidad en las comunicaciones electrónicas o
la Ley de libertad de información). Estas otras bases jurídicas para las vías de recurso judicial
están abiertas a todos los interesados afectados por la transferencia de datos a efectos
policiales y judiciales, con independencia de su nacionalidad o lugar de residencia.
iv)
Aspectos relativos a la aplicación del Acuerdo y la supervisión
i) Rendición de cuentas (artículo 14)
Deberán tomarse medidas para fomentar la rendición de cuentas de las autoridades que tratan
los datos personales amparados por el Acuerdo marco. Cuando los datos personales sean
compartidos de nuevo por la autoridad receptora con otras autoridades, éstas deberán ser
informadas de las medidas de salvaguardia aplicables en virtud del presente Acuerdo, así
como las posibles condiciones adicionales (restrictivas) que se hayan adjuntado a la
transferencia con arreglo a lo dispuesto en el artículo 6, apartado 3 (sobre limitación de los
fines y de la utilización). Toda falta grave será castigada mediante sanciones penales, civiles o
administrativas adecuadas y disuasorias.
Las medidas para fomentar la rendición de cuentas incluyen también, en su caso, la supresión
de las posteriores transferencias de datos personales a las entidades de las partes no cubiertas
por el Acuerdo marco, en el caso de que no garanticen una protección eficaz de los datos
personales a la luz del objetivo del Acuerdo (y, en particular, las disposiciones sobre
limitación de los fines y sobre transferencia ulterior). Esta disposición aborda los casos en los
que los datos personales son enviados por una autoridad de la UE a una autoridad federal de
los EE.UU. (es decir, un órgano cubierto por el presente Acuerdo) y, posteriormente,
transferidos a las autoridades policiales o judiciales a nivel estatal. De conformidad con sus
normas constitucionales, los Estados Unidos tiene una capacidad limitada para obligar a sus
Estados federados a escala internacional11. No obstante, para garantizar la continuidad de la
protección de los datos transferidos a las agencias federales de los EE.UU. y compartidos con
las autoridades policiales y judiciales en el ámbito estatal, este artículo i) incluye en su ámbito
de aplicación a las «otras autoridades» de las Partes (es decir, las autoridades no cubiertas por
el presente Acuerdo, tales como las autoridades de los EE.UU.); ii) estipula que se les
notifiquen las salvaguardias previstas en el marco del Acuerdo marco; y (iii) exige que, según
convenga, las transferencias a dichos entes se interrumpan en caso de que no protejan
eficazmente los datos personales a la luz de la finalidad del Acuerdo marco y, en particular,
de sus artículos sobre la limitación en cuanto a los fines y las transferencias ulteriores.
Al garantizar que las autoridades policiales y judiciales competentes serán responsables de
conformidad con el «Acuerdo marco», este artículo constituye un componente importante de
un sistema eficaz de observancia y control en el marco del Acuerdo. Contribuirá asimismo a
la introducción de derechos individuales en casos de conducta indebida (y la consiguiente
responsabilidad de los poderes públicos).
Por último, las autoridades de la UE podrán plantear sus preocupaciones y recibir información
pertinente de sus homólogos estadounidenses sobre cómo cumplen sus obligaciones en virtud
del artículo 14 (incluidas las medidas adoptadas al respecto). Además, en el contexto de las
revisiones conjuntas (véase, más abajo, el artículo 23), se prestará especial atención a la
aplicación efectiva de este artículo.
11
ES
Siendo una República federal, existe un reparto de competencias entre el Gobierno Federal y el
Gobierno de cada uno de los Estados (véase también el artículo 5, apartado 2, del Acuerdo marco a este
respecto).
13
ES
ii) Supervisión efectiva (artículo 21)
Las Partes contarán con una o varias autoridades públicas independientes que ejercen
funciones y competencias de supervisión, incluidas la revisión, la investigación y la
intervención. Dichas autoridades tendrán la facultad de aceptar e intervenir en relación con las
reclamaciones presentadas por particulares relativas a las medidas de ejecución del Acuerdo
marco y de denunciar las violaciones de la ley relacionadas con el presente Acuerdo para su
enjuiciamiento o de cara a una acción disciplinaria. Teniendo en cuenta las particularidades
del sistema estadounidense, una combinación de las autoridades de supervisión (incluido el
Director encargado de la protección de la privacidad, los inspectores generales, el Consejo de
Supervisión de la Privacidad y las Libertades Civiles, etc.) ejercerá de forma acumulativa las
funciones de supervisión que llevan a cabo las autoridades de protección de datos de la UE.
Este artículo complementa las salvaguardias existentes sobre la base de las disposiciones en
materia de acceso, rectificación y vías de recurso administrativo. En particular, permite a los
particulares presentar denuncias ante las autoridades independientes acerca de la forma en que
la otra Parte ha aplicado el Acuerdo marco.
iii) Cooperación entre autoridades de supervisión (artículo 22)
Las autoridades de supervisión cooperarán con vistas a la aplicación efectiva del Acuerdo y,
en particular, por lo que respecta al sistema de ejercicio indirecto de los derechos individuales
en relación con el acceso, la rectificación y el recurso administrativo (véanse artículos 16 a
18).
Además, se crearán puntos de contacto nacionales que ayuden a la identificación de la
autoridad de supervisión a la que dirigirse en un caso concreto. Teniendo en cuenta, en
particular, la existencia de diversas autoridades de supervisión en los EE.UU., la creación de
un «punto de entrada» central para las solicitudes de asistencia y cooperación contribuirá a
una gestión eficaz de las solicitudes.
iv) Revisión conjunta (artículo 23)
Las Partes llevarán a cabo revisiones conjuntas periódicas sobre la aplicación y eficacia del
Acuerdo marco, prestando especial atención a la aplicación efectiva de los artículos relativos
a los derechos individuales (acceso, rectificación, recursos administrativo y judicial), así
como a la cuestión de las transferencias a entidades territoriales no cubiertas por el Acuerdo
(es decir, estadounidenses). La primera revisión conjunta se realizará a más tardar tres años
después de la entrada en vigor del Acuerdo y, en adelante, de forma periódica.
La composición de las delegaciones respectivas incluirá a representantes de las dos
autoridades de protección de datos y a las autoridades policiales y judiciales. Las conclusiones
de las revisiones conjuntas se harán públicas.
v)
Disposiciones finales
El Acuerdo marco contiene una serie de cláusulas finales relativas a:

ES
la notificación a la otra Parte de toda acción que afecte significativamente a la
aplicación del Acuerdo; los EE.UU. notificarán específicamente a la UE cualquier
14
ES
medida relativa a la aplicación de las disposiciones de la Ley sobre recursos
judiciales (artículo 24);
ES

las consultas, en el caso de que existan diferencias en cuanto a la manera en que el
Acuerdo se interpreta o aplica (artículo 25);

la posibilidad de suspender el Acuerdo por una de las Partes en caso de
incumplimiento sustancial del Acuerdo por la otra Parte (artículo 26);

el ámbito de aplicación territorial del Acuerdo a fin de tener en cuenta la situación
específica de Dinamarca, Irlanda y el Reino Unido (artículo 27);

la duración indeterminada del Acuerdo, que está justificada por la naturaleza del
Acuerdo como marco de protección y garantías, así como en relación con la
posibilidad de suspender o rescindir el Acuerdo (artículo 28);

la posibilidad de que cada una de las Partes resuelva el Acuerdo mediante
notificación a la otra Parte, al tiempo que se precisa que los datos personales
transferidos antes de la rescisión se seguirán tratando de acuerdo con las normas del
Acuerdo marco (artículo 29, apartados 2 y 3);

la entrada en vigor del Acuerdo el primer día del mes siguiente a la fecha en que las
Partes se hayan notificado la finalización de sus procedimientos internos de
aprobación (artículo 29, apartado 1);

la cláusula sobre lenguas (que se encuentra inmediatamente antes de la firma) prevé
que: i) el Acuerdo se firmará en inglés y será vertido por la UE a las otras 23 lenguas
oficiales de la UE; ii) existe la posibilidad, tras la firma, de autenticar el texto del
Acuerdo en cualquiera de las otras lenguas oficiales de la Unión Europea por medio
de un canje de notas diplomáticas con los Estados Unidos; iii) en caso de
discrepancia entre las diferentes versiones lingüísticas autenticadas del Acuerdo,
prevalecerá la versión en inglés.
15
ES
2016/0127 (NLE)
Propuesta de
DECISIÓN DEL CONSEJO
sobre la firma, en nombre de la Unión Europea, de un Acuerdo entre los Estados Unidos
de América y la Unión Europea sobre la protección de los datos personales en relación
con la prevención, la investigación, la detección y el enjuiciamiento de infracciones
penales
EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y, en particular, su artículo 16,
leído en relación con su artículo 218, aparado 5,
Vista la propuesta de la Comisión Europea,
Considerando lo siguiente:
ES
(1)
El 3 de diciembre de 2010, el Consejo autorizó a la Comisión a entablar negociaciones
con el Gobierno de los Estados Unidos de América acerca de un Acuerdo sobre la
protección de los datos personales cuando se transfieren y tratan dichos datos con el
fin de prevenir, investigar, detectar o perseguir infracciones penales, incluido el
terrorismo.
(2)
Las negociaciones con el Gobierno de los Estados Unidos de América han concluido y
el texto del Acuerdo fue rubricado el 8 de septiembre de 2015.
(3)
El Acuerdo persigue establecer un marco general de principios y salvaguardias de la
protección de los datos personales cuando dichos datos se transfieren a efectos
policiales y judiciales en materia penal entre los Estados Unidos, por una parte, y la
Unión Europea y sus Estados miembros, por otra. El objetivo es garantizar un alto
nivel de protección de los datos y, de este modo, reforzar la cooperación entre las
Partes. Aunque no constituya en sí mismo la base jurídica para todas las transferencias
de datos personales a los Estados Unidos, el Acuerdo marco, en caso necesario,
complementa las garantías de protección de datos previstas en los acuerdos en materia
de transferencia de datos actuales y futuros o las disposiciones nacionales que
autorizan tales transferencias.
(4)
La Unión tiene competencia sobre todas las disposiciones del Acuerdo. En particular,
la
Unión
ha
adoptado
la
Directiva
2016/XXX/EU12
relativa
a
la protección de las personas físicas en lo que respecta al tratamiento de datos
personales por parte de las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de
ejecución
de
sanciones
penales,
y
la
libre
circulación
de
dichos datos.
12
Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de
prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de
sanciones penales, y la libre circulación de dichos datos, y por la que se deroga la Decisión
2008/977/JAI
16
ES
(5)
La Unión Europea tiene competencia exclusiva en la medida en que el Acuerdo pueda
afectar a las normas comunes de la Unión o alterar su ámbito de aplicación.
(6)
De conformidad con el artículo 6 bis del Protocolo nº 21 sobre la posición del Reino
Unido y de Irlanda respecto del espacio de libertad, seguridad y justicia, anejo al TUE
y al TFUE, el Reino Unido e Irlanda no están vinculados por las normas establecidas
en el Acuerdo que se refieran al tratamiento de los datos personales en el ejercicio de
las actividades comprendidas en el ámbito de aplicación del capítulo 4 (cooperación
judicial en materia penal) y el capítulo 5 (cooperación policial) del título V de la Parte
Tercera del TFUE en los casos en que el Reino Unido e Irlanda no estén obligados por
las normas que requieran el cumplimiento del Acuerdo.
(7)
De conformidad con los artículos 1 y 2 del Protocolo 22 sobre la posición de
Dinamarca anejo al Tratado de la Unión Europea y al Tratado de Funcionamiento de la
Unión Europea, Dinamarca no participa en la adopción de la presente Decisión y, por
tanto, no queda vinculada por el Acuerdo ni sujeta a su aplicación.
(8)
Debe firmarse el Acuerdo a reserva de su celebración en una fecha posterior.
HA ADOPTADO LA PRESENTE DECISIÓN:
Artículo 1
Se autoriza por la presente la firma del Acuerdo entre los Estados Unidos de América y la
Unión Europea sobre la protección de los datos personales en relación con la prevención,
investigación, detección y enjuiciamiento de infracciones penales, en nombre de la Unión, a
reserva de la celebración de dicho Acuerdo.
El texto del Acuerdo que debe firmarse se adjunta a la presente Decisión.
Artículo 2
La Secretaría General del Consejo establecerá el instrumento de plenos poderes para firmar el
Acuerdo, a reserva de su celebración, para la persona indicada por la Comisión.
Artículo 3
La presente Decisión entrará en vigor el día de su adopción.
Hecho en Bruselas, el
Por el Consejo
El Presidente
ES
17
ES
Descargar