El Comité Europeo de Protección de Datos presenta su informe anual

El Comité Europeo de Protección de Datos (CEPD) o European Data Protection Board (EDPB) ha presentado este mes su informe anual de actividad. Un informe que ofrece un balance detallado del trabajo desarrollado por el Comité durante el 2020.

Resumimos, desde la visión del Comité, los aspectos más relevantes de un año caracterizado por el coronavirus.

El COVID-19 y la protección de datos personales

Al inicio de la pandemia, todos los países comenzaron a tomar medidas con el objetivo de mitigar la propagación del virus.

Entre estas medidas se encontraban los respectivos estados de alarma con sus correspondientes restricciones de derechos, la aparición de aplicaciones para la localización e identificación de posibles infectados, los tratamientos de datos de salud con fines de investigación científica, etc.

A raíz de este tipo de tratamientos, el CEPD emitió una serie de directrices, declaraciones y comentarios. A través de ellos, el Comité insistió en que los principios de protección de datos debían respetarse en todo momento. La actual legislación ya contaba, según la CEPD, con las operaciones de tratamiento de datos que eran necesarias en la lucha contra el virus.

Estos han sido algunos de los documentos publicados:

Caso Schrems II

La anulación, en el mes de julio, del «Escudo de privacidad» supuso un nuevo escenario para aquellas empresas que transferían datos personales desde cualquier país del Espacio Económico Europeo (EEE) a Estados Unidos.

Ante tal inestabilidad, el CEPD emitió varios documentos con la intención de arrojar luz a las implicaciones de la sentencia del Tribunal de Justicia de la Unión Europea. A esta sentencia se la conoce comúnmente como caso Schrems II.

Así, el Comité puso a disposición de autoridades de control y responsables interesados los siguientes documentos:

En este sentido, recordemos que este mes la Comisión Europea publicó dos conjuntos de cláusulas contractuales tipo para facilitar las transferencias.

Primera decisión vinculante del Comité

El Comité Europeo de Protección de Datos tiene entre sus funciones «garantizar la aplicación uniforme del Reglamento en todo el Espacio Económico Europeo». Bajo esta premisa, el artículo 60 del Reglamento General de Protección de Datos (RGPD) establece que la autoridad de control principal deberá cooperar con las restantes autoridades de control interesadas.

Una cooperación que se da en aras de alcanzar un consenso entre las distintas autoridades y que se materializa a través de:

  • El intercambio de información necesaria.
  • La comunicación de información entre la autoridad principal y las demás autoridades de control interesadas.
  • La presentación por parte de la autoridad principal al resto de autoridades de un proyecto de decisión con el objeto de que se emita un dictamen.

Tan solo en 2020 se registraron 628 casos transfronterizos que demandaron la cooperación entre los distintos países y autoridades. El mecanismo de ventanilla única exige de esa cooperación y juega un papel crucial.  

Resolución de conflictos entre autoridades de control

Una colaboración que en el pasado año se vio comprometida debido a un proceso sancionador que tenía como protagonista a la red social Twitter.

En diciembre, se publicaba la multa impuesta por la autoridad de control irlandesa (Data Protection Commissioner -DPC) a la red social con 450.000 €. Una sanción aplicada como consecuencia de no haber notificado una brecha de seguridad en tiempo y forma a la DPC.

La brecha afectó a miles de europeos de distintos países. Este alcance exigió que la DPC, como autoridad de control principal, se coordinase con el resto de autoridades. Sin embargo, fruto de esa cooperación surgieron discrepancias entre los distintos países a la hora dictaminar las infracciones y el importe de la multa.

A raíz de esta disputa, se hizo uso por primera vez del artículo 65 del RGPD relativo a la resolución de conflictos por parte del Comité. La norma establece que, en casos concretos y con el fin de garantizar una aplicación correcta del RGPD, el CEPD deberá adoptar una decisión vinculante.

Así, el 9 de noviembre, el Comité publicó su Decisión 01/2020 criticando la labor realizada por la autoridad de control irlandesa:

Decisión 01/2020 del Comité Europeo de Protección de Datos: la autoridad de control «debe buscar el consenso respecto al alcance del procedimiento antes de iniciar el procedimiento formalmente»

El CEPD también dejó de manifiesto su disconformidad con la propuesta inicial de multa de la autoridad irlandesa (entre 150 y 300.000 dólares estadounidenses). Una sanción que para el Comité no era disuasoria ni proporcionada (artículo 83.1 del RGPD), fijándose finalmente en 450.000 euros.

Directrices y recomendaciones publicadas

Para garantizar una aplicación coherente del RGPD en todos los países que conforman el EEE, el Comité publica distintas directrices y orientaciones generales. De esta forma, tanto responsables como autoridades de control disponen de un punto de referencia para cumplir la normativa de protección de datos.

En este sentido, el CEPD ha adoptado a lo largo del pasado año diez directrices relativas principalmente al coronavirus, las nuevas tecnologías y las transferencias de datos.

A lo largo del 2020, se publicaron también un par de recomendaciones del CEPD. Ambas relacionadas con las transferencias internacionales de datos a raíz de los «casos Schrems».

En cumplimiento del RGPD, se emitieron además dictámenes y opiniones como respuesta a la solicitud de aprobación de distintos mecanismos reflejados en el RGPD. Solicitudes realizadas por las autoridades de control con respecto a códigos de conducta, organismos de certificación, normas corporativas vinculantes, entre otros.

El futuro. Estrategia 2021-2023

En su informe de actividad, el Comité ha definido su estrategia para estos próximos cuatro años bajo cuatro pilares fundamentales:

  1. Fomentar la armonización y facilitar el cumplimiento de la normativa a través de la promoción de herramientas de cumplimiento y sensibilización.
  2. Apoyar la aplicación efectiva y cooperación entre las distintas autoridades de control. Para ello se establecerán mecanismos para facilitar la colaboración de autoridades y la creación de un grupo de expertos de apoyo.
  3. Promoción de los derechos fundamentales de cara al uso de nuevas tecnologías. El comité se encargará de evaluarlas y reforzar la protección de datos desde el diseño y por defecto, así como el principio de responsabilidad proactiva.
  4. Consecución de objetivos a través del desarrollo de acciones clave. Entre ellas, el fomento y concienciación sobre el uso de herramientas de transferencia de datos que aseguren una protección equivalente al exigido por el RGPD.

A principios de este año, el Comité adoptó su programa de trabajo 2021-2022 detallando sus prioridades desde el enfoque de los cuatro pilares u objetivos mencionados. Objetivos que pretende afrontar bajo el lema que encabeza el informe «Asegurando los derechos de protección de datos en un mundo en cambio».


Sigue esta y otras noticias a través de nuestro canal de Telegram

Las Autoridades europeas de protección de datos alertan sobre el uso de drones

En el día de ayer, las Autoridades europeas de protección de datos publicaron su primer Dictamen conjunto sobre el uso de drones.

Un documento que analiza los riesgos del uso a gran escala de esta tecnología, ya que por su naturaleza podrían suponer un peligro para la privacidad y la protección de datos de los ciudadanos. Se trata de aeronaves que generalmente están dotadas de dispositivos que captan imágenes, sonidos o datos de geolocalización asociados a personas “identificadas o identificables” y del que existe actualmente un gran desconocimiento sobre el tratamiento que se realiza de esos datos.

Read More