miércoles, 23 de septiembre de 2020

LA PROTECCIÓN DE DATOS COMO PILAR DEL EMPODERAMIENTO DE LOS CIUDADANOS Y DEL ENFOQUE DE LA UE PARA LA TRANSICIÓN DIGITAL - DOS AÑOS DE APLICACIÓN DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS.

 

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho
Université de Montpellier I Francia.
cferreyros@hotmail.com

PROLOGO

A fines de junio de este año la Comisión Europea emitió una Comunicación al Parlamento y al Consejo Europeo sobre la Protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la Unión Europea para la transición digital, reseñando dos años de aplicación del Reglamento General de Protección de Datos, RGPD.  

La Comunicación fue organizada en tres partes:

1 - LA PROTECCION DE DATOS COMO PILAR DEL EMPODERAMIENTO DE LOS CIUDADANOS Y DEL ENFOQUE DE LA UE PARA LA TRANSICION DIGITAL.
2  -   PRINCIPALES CONCLUSIONES
3  -   PERSPECTIVAS DE FUTURO

Un aspecto a tener en cuenta es la dimensión internacional en el tratamiento de los datos en la aplicación del RGPD, particularmente en Latinoamérica, sobre la garantía de cumplimiento y responsabilidades de los operadores extranjeros, el recurso a la cooperación y en el apoyo activo del Servicio Europeo de Acción Exterior, la red de delegaciones en terceros países y de las misiones a organizaciones internacionales. En consecuencia, las autoridades nacionales de protección de datos deberán tener en cuenta esta Comunicación a fin de evitar controversias.

_______________________________________________________________

 

COMISIÓN EUROPEA

 Bruselas, 24.6.2020

COM(2020) 264 final

COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO Y AL CONSEJO

La protección de datos como pilar del empoderamiento de los ciudadanos y del enfoque de la UE para la transición digital: dos años de aplicación del Reglamento General de Protección de Datos.

{SWD(2020) 115 final}

 

1- LA    PROTECCIÓN    DE    DATOS    COMO   PILAR   DEL    EMPODERAMIENTO   DE  LOS CIUDADANOS Y DEL ENFOQUE DE LA UE PARA LA TRANSICIÓN DIGITAL

 

El presente informe es el primero sobre la evaluación y revisión del Reglamento General de Protección de Datos1 (en lo sucesivo, el «RGPD»), en particular sobre la aplicación y el funcionamiento de las normas sobre la transferencia de datos personales a terceros países y organizaciones internacionales y de las normas sobre cooperación y coherencia, con arreglo al artículo 97 del RGPD.

El RGPD, en aplicación desde el 25 de mayo de 2018, ocupa un lugar central en el marco de la UE2 para la garantía del derecho fundamental a la protección de datos, consagrado en la Carta de los Derechos Fundamentales de la Unión Europea  (artículo 8) y en los Tratados (artículo 16 del Tratado de Funcionamiento de la Unión Europea, en adelante, el «TFUE») El RGPD ha reforzado las salvaguardias de protección de datos, aporta a los particulares derechos adicionales y más sólidos, una mayor transparencia, y garantiza que todos aquellos que tratan datos personales en el ámbito de su aplicación deban rendir más cuentas y tengan una mayor responsabilidad.  Dota a las autoridades independientes de protección de datos de competencias mayores y armonizadas e implanta un nuevo sistema de gobernanza. Asimismo, crea unas condiciones de competencia equitativas para todas las empresas que operan en el mercado de la UE, con independencia del lugar en el que estén establecidas, y garantiza la libre circulación de datos dentro de la UE, reforzando así el mercado interior.

El RGPD es un componente importante del enfoque tecnológico centrado en las personas y una guía para el uso de la tecnología en las dos transiciones, la verde y digital, que caracterizan la elaboración de políticas de la UE. Esto se ha puesto de relieve, más recientemente, en el Libro Blanco sobre la Inteligencia Artificial3  y en  la Comunicación sobre una estrategia europea de datos4 (en lo sucesivo, «la estrategia de datos») de febrero de 2020.

En una economía basada cada vez más en el tratamiento de datos, incluidos los datos personales, el RGPD es una herramienta esencial para garantizar que los particulares tengan un mayor control sobre sus datos personales y que estos datos se traten con fines legítimos, de una manera lícita, justa y transparente. Al mismo tiempo, el RGPD contribuye a fomentar la innovación digna de confianza, en particular a través de su enfoque y principios basados en el riesgo, como la protección de la privacidad desde el diseño y por defecto. La Comisión ha propuesto complementar el marco normativo sobre privacidad y protección de datos5 mediante el Reglamento sobre la Privacidad y las Comunicaciones Electrónicas6, destinado a sustituir a la actual Directiva sobre la privacidad y las comunicaciones electrónicas7. Esta propuesta está siendo examinada por los colegisladores y es muy importante garantizar su rápida adopción.

Como parte de las prioridades clave de la Comisión para una «Una Europa  Adaptada a la Era Digital8» y el «Pacto Verde Europeo9», pueden desarrollarse nuevas iniciativas para empoderar a los ciudadanos a fin de que desempeñen un papel más activo en la transición digital y en el aprovechamiento del uso de herramientas digitales para lograr una sociedad climáticamente neutra y un desarrollo más sostenible. El RGPD establece un marco para estas iniciativas y garantiza que estas estén diseñadas para empoderar eficazmente a los particulares.

La estrategia en materia de datos10 aboga por la creación de un «espacio común europeo de datos», un verdadero mercado único de datos, así como de diez espacios de datos sectoriales europeos comunes pertinentes para las dos transiciones, la verde  y la digital11. Para todas estas prioridades, es fundamental disponer de un marco claro y viable para el intercambio seguro de datos y un aumento de la disponibilidad de datos. La estrategia en materia de datos anunció también la intención de la Comisión de estudiar en la futura legislación cómo hacer posible el uso de los datos contenidos en bases  de datos públicas para fines de investigación científica de forma compatible con el RGPD. Los espacios de datos deben contar con el apoyo de la federación en la nube europea, que prestará servicios de tratamiento de datos e infraestructuras en la nube conformes con el RGPD. El RGPD garantiza un elevado nivel de protección de los datos personales y un papel central de las personas en todos estos espacios de datos, al tiempo que proporciona la flexibilidad necesaria para dar cabida a  diferentes enfoques.

La necesidad de garantizar la confianza y la demanda de protección de los datos personales no se limitan en modo alguno a la UE. Las personas de todo el mundo valoran cada vez más la privacidad y la seguridad de sus datos. Como muestra un reciente sondeo global12, consideran que es un factor importante que influye en sus decisiones de compra y en su comportamiento en línea. Un número cada vez mayor de empresas han respondido a esta demanda de privacidad, en particular mediante la ampliación voluntaria de algunos de los derechos y salvaguardias previstos en el RGPD a sus clientes de fuera de la UE. Muchas empresas también promueven el respeto de los datos personales como factor competitivo diferenciador y reclamo en el mercado mundial, al ofrecer productos y servicios innovadores con soluciones novedosas en materia de privacidad o de seguridad de los datos. Por otra parte, el aumento de la capacidad de los actores de los sectores público y privado  para recopilar y procesar datos a gran escala plantea cuestiones importantes y complejas que confieren a la privacidad un lugar cada vez más central en el debate público en distintas partes del mundo.

La adopción del RGPD ha inducido a otros países de muchas regiones del mundo a considerar la posibilidad de hacer lo propio. Se trata de una tendencia verdaderamente global que abarca desde Chile a Corea del Sur, desde Brasil a Japón, desde Kenia hasta la India, y desde California hasta Indonesia. El liderazgo de la UE en materia de protección de datos pone de manifiesto su capacidad de establecer normas de referencia a escala mundial para la regulación de la economía digital y ha sido bien acogido por importantes voces de la comunidad internacional, como el Secretario General de las Naciones Unidas, António Guterres, quien ha señalado que el RGPD ha «establecido un ejemplo [...] inspirador de medidas similares en otros lugares»    y

«[ha] insta[do] a la UE y a sus Estados miembros a que sigan liderando la configuración de la era digital y estén a la vanguardia de la innovación y la regulación tecnológicas»13.

La actual crisis pandémica de la COVID -  19 constituye un claro ejemplo de esta globalización del debate sobre la privacidad, tanto durante la crisis como en el período de recuperación mundial posterior. En la UE, varios Estados miembros han adoptado medidas de emergencia en un esfuerzo por proteger la salud pública. El RGPD es claro en el sentido de que cualquier restricción debe respetar el contenido esencial   de los derechos y libertades fundamentales y ser una medida necesaria y proporcionada en una sociedad democrática para salvaguardar un interés público como, por ejemplo, la salud pública. Dado que se están eliminando progresivamente las medidas de contención, los responsables de la toma de decisiones deben dar respuesta a las expectativas de los ciudadanos de que se les ofrezcan soluciones digitales fiables y respetuosas de los derechos a la intimidad y a la protección de los datos personales.

En muchos países, las medidas de protección de la privacidad incorporadas, como la inscripción voluntaria por los usuarios, la minimización y la seguridad de los datos o la exclusión de la geolocalización, se consideran esenciales para garantizar la fiabilidad y la aceptación social de las soluciones basadas en datos destinadas a controlar y contener la propagación del virus, calibrar las contramedidas de política pública, ayudar a los pacientes o aplicar estrategias de salida. En la UE, el marco normativo en materia de protección de datos y privacidad14 ha demostrado ser una herramienta lo suficientemente flexible para permitir el desarrollo de soluciones prácticas (por ejemplo, las aplicaciones de rastreo), garantizando al mismo tiempo un elevado nivel de protección de los datos personales. En este contexto, el 16 de abril de 2020, la Comisión publicó unas orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia en lo referente a la protección de datos15.

La protección de los datos personales también es fundamental para prevenir la manipulación de las opciones de los ciudadanos, en particular a través de la microsegmentación de los votantes basada en el tratamiento ilícito de datos personales, evitando las interferencias en los procesos democráticos y preservando el debate abierto, la equidad y la transparencia esenciales en una democracia. Por este motivo, en septiembre de 2018 la Comisión publicó las Orientaciones relativas a la aplicación de la legislación sobre protección de datos de la Unión en el contexto electoral16.

Para esta evaluación y revisión, la Comisión ha tenido en cuenta las contribuciones del Consejo17, del Parlamento Europeo18, del Comité Europeo de Protección de  Datos (en lo sucesivo, «el Comité»)19 y las diferentes autoridades de protección de datos20, del grupo multilateral de expertos21 y de otras partes interesadas, incluidas las observaciones realizadas respecto de la hoja de ruta22.

La opinión general es que, dos años después de que comenzara a aplicarse, el RGPD ha cumplido satisfactoriamente sus objetivos de reforzar la protección del derecho de los particulares a la protección de los datos personales y de garantizar la libre circulación de los datos personales en la UE23. Sin embargo, también se han detectado una serie de ámbitos en los que caben mejoras futuras. Como la mayoría de las partes interesadas y las autoridades de protección de datos, la Comisión opina que sería prematuro en estos momentos extraer conclusiones definitivas sobre la aplicación del RGPD. Es probable que la mayoría de los problemas detectados por los Estados miembros y las partes interesadas puedan mejorarse cuando se cuente con una  mayor

experiencia en la aplicación del RGPD en los próximos años. No obstante, el presente informe pone de relieve los retos a los que se ha enfrentado hasta ahora el RGPD y establece posibles maneras de abordarlos.

A pesar de su énfasis en las dos cuestiones destacadas en el artículo 97, apartado 2, del RGPD, a saber, las transferencias internacionales y los mecanismos de cooperación y coherencia, esta evaluación y revisión adopta un enfoque más amplio para abordar también cuestiones planteadas por diversos actores durante los dos últimos años.

 

2  -   PRINCIPALES CONCLUSIONES

 

Aplicación del RGPD y funcionamiento de los mecanismos de cooperación y coherencia

El RGPD estableció un sistema de gobernanza innovador, basado en autoridades independientes de protección de datos de los Estados miembros y en su cooperación en asuntos transfronterizos y en el Comité Europeo de Protección de Datos («el Comité»). La opinión general es que las autoridades de protección de datos han hecho un uso equilibrado de sus poderes correctivos reforzados, incluidas las advertencias, los apercibimientos, las multas y las limitaciones temporales o definitivas del tratamiento24. La Comisión observa que las autoridades han aplicado multas administrativas de entre unos pocos miles y varios millones de euros, dependiendo de la  gravedad  de  las  infracciones.  Otras  sanciones,  como  las  prohibiciones        del tratamiento, pueden tener un efecto disuasorio igual o incluso superior al de las multas. El objetivo último del RGPD es cambiar la cultura y el comportamiento de todos los actores participantes en beneficio de las personas. En el documento de trabajo de los servicios de la Comisión adjunto se ofrece información más detallada sobre el uso de los poderes correctivos por parte de las autoridades de protección de datos.

Aunque todavía es pronto para evaluar plenamente el funcionamiento de los nuevos mecanismos de cooperación y coherencia, las autoridades de protección de datos han desarrollado su cooperación a través del mecanismo de ventanilla única25 y de un amplio uso de la asistencia mutua26. El mecanismo de ventanilla única, que es un activo clave del mercado interior, se utiliza para resolver muchos casos transfronterizos27. Actualmente, están aún pendientes decisiones importantes con dimensión transfronteriza que estarán sujetas al sistema de ventanilla única. Estas decisiones, que afectan a menudo a grandes empresas tecnológicas multinacionales, tendrán un impacto sustancial en los derechos de las personas en muchos Estados miembros.

No obstante, el desarrollo de una cultura europea de protección de datos verdaderamente común entre las autoridades de protección de datos sigue siendo un proceso en curso. Las autoridades de protección de datos no han hecho aún pleno uso de los instrumentos que ofrece el RGPD, como las operaciones conjuntas que podrían llevar a investigaciones conjuntas. En ocasiones, la búsqueda de un enfoque común se tradujo en la adopción del mínimo común denominador y, como consecuencia de ello, se desaprovecharon las oportunidades de fomentar una mayor armonización28.

Es necesario seguir avanzando para que la tramitación de los casos transfronterizos sea más eficaz y esté más armonizada en toda la UE, también desde el punto de vista del procedimiento, por ejemplo en cuestiones como los procedimientos de tramitación de reclamaciones, los criterios de admisibilidad de las reclamaciones, la duración de los procedimientos debido a los diferentes calendarios o a la ausencia de plazos en el Derecho procesal administrativo nacional, el momento procedimental en que se concede el derecho a ser oído o la información y la participación de los reclamantes durante el procedimiento. Se acoge con satisfacción el proceso de reflexión iniciado por el Comité en relación con esta cuestión, y la Comisión participa en estos debates29.

Las actividades y las orientaciones del Comité son de una importancia fundamental para que sigan desarrollándose de forma coherente los intercambios entre el Comité y las partes interesadas30. A finales de 2019, el Comité había adoptado 67   documentos, incluidas 10 nuevas directrices31 y 43 dictámenes32. En general, las partes interesadas acogen con satisfacción las directrices del Comité y piden que se añadan otras sobre conceptos clave del RGPD, pero también señalan incoherencias entre  las orientaciones nacionales y las directrices del Comité. Subrayan la necesidad de un mayor asesoramiento práctico, en particular ejemplos más concretos, y la necesidad de que las autoridades de protección de datos estén dotadas de los recursos humanos, técnicos y financieros necesarios para llevar a cabo eficazmente sus tareas.

La Comisión ha subrayado sistemáticamente la obligación de los Estados miembros de asignar suficientes recursos humanos, financieros y técnicos a las autoridades nacionales de protección de datos33. La mayor parte de las autoridades se beneficiaron de un aumento de personal y de presupuesto entre 2016 y 201934; las autoridades irlandesas, neerlandesas, islandesas, luxemburguesas y finlandesas son las que se beneficiaron de los mayores aumentos relativos de personal. Dado que las multinacionales tecnológicas de mayor tamaño están establecidas en Irlanda y Luxemburgo, las autoridades de protección de datos de estos países actúan como autoridades  principales   en  muchos  casos  transfronterizos  importantes   y   pueden

necesitar más recursos de los que cabría esperar atendiendo a su población. Sin embargo, la situación sigue siendo desigual en función de los Estados miembros y todavía no es satisfactoria en términos generales. Las autoridades de protección de datos desempeñan un papel esencial a la hora de garantizar que el RGPD se aplique a nivel nacional y que los mecanismos de cooperación y coherencia en el seno del Comité funcionen de manera eficaz, incluido, en particular, el mecanismo de ventanilla única para los casos transfronterizos. Por consiguiente, se insta a  los Estados miembros a proporcionarles recursos suficientes, tal como exige el RGPD35.

Normas armonizadas, pero aún con cierto grado de fragmentación y enfoques divergentes

La Comisión está supervisando la aplicación del RGPD en la legislación nacional. En el momento de elaboración del presente informe, a excepción de Eslovenia, todos los Estados miembros han adoptado nueva legislación o han adaptado su legislación nacional en materia de protección de datos. Se ha pedido a Eslovenia36 que aporte aclaraciones a la Comisión sobre la finalización de este proceso37.

 El RGPD establece un enfoque coherente para las normas de protección de datos en toda la UE. Sin embargo, obliga a los Estados miembros a legislar en algunos ámbitos38 y les ofrece la posibilidad de especificar más el RGPD en otros39. Como consecuencia de ello, sigue existiendo un cierto grado de fragmentación que se debe sobre todo al uso generalizado de cláusulas de especificación facultativas. Por ejemplo, las diferencias entre Estados miembros en cuanto a la edad de consentimiento de los niños en relación con los servicios de la sociedad de la información crea incertidumbre para los niños y sus padres en cuanto a la aplicación de sus derechos de protección de datos en el mercado único. Esta fragmentación plantea también una serie de retos para la realización de actividades empresariales transfronterizas, la innovación —en particular por lo que respecta a los nuevos avances  tecnológicos—  y  las  soluciones  en  materia  de  ciberseguridad.  Para     el funcionamiento eficaz del mercado interior y para evitar cargas innecesarias a las empresas, también es esencial que la legislación nacional no vaya más allá de los márgenes establecidos por el RGPD ni introduzca requisitos adicionales cuando no exista margen para ello.

Un reto específico para la legislación nacional es la conciliación del derecho a la protección de los datos personales con la libertad de expresión y de información y la búsqueda del equilibrio adecuado de estos derechos. Algunas legislaciones nacionales establecen el principio de primacía de la libertad de expresión, mientras que otras establecen la primacía de la protección de los datos personales y únicamente eximen de la aplicación de las normas de protección de datos en situaciones específicas, como aquellas relacionadas con los personajes públicos. Por último, otros Estados miembros prevén una cierta ponderación —ya sea por parte del legislador y/o en una evaluación caso por caso— en lo que se refiere a las excepciones a determinadas disposiciones del RGPD.

La Comisión continuará su evaluación de la legislación nacional. La conciliación ha de operarse por ley, respetar el contenido esencial de dichos derechos y libertades fundamentales y ser una medida necesaria y proporcionada40. Las normas de protección de datos (así como su interpretación y aplicación) no deben afectar al ejercicio de la libertad de expresión y de información, por ejemplo mediante la creación de un efecto paralizante o la presión sobre los periodistas para que revelen sus fuentes. La búsqueda de un equilibrio entre estos dos derechos mediante la legislación nacional ha de tener en cuenta la jurisprudencia del Tribunal de Justicia y del Tribunal Europeo de Derechos Humanos41.

La legislación de los Estados miembros sigue planteamientos diferentes a la hora de aplicar excepciones a la prohibición general de tratamiento de categorías especiales de datos personales en lo que se refiere al nivel de especificación y salvaguardias, incluidas las relativas a la salud y a la investigación. Para hacer frente a  este problema, la Comisión está comenzando por examinar  -  como primer paso  -   los diferentes enfoques de los Estados miembros42; a continuación, apoyará la creación de un código (o códigos) de conducta que contribuya(n) a un enfoque más coherente en este ámbito y faciliten el tratamiento transfronterizo de datos personales43. Además, las futuras directrices del Comité sobre el uso de datos personales en el ámbito de la investigación científica contribuirán a un enfoque armonizado. La Comisión aportará su contribución al Comité, en particular en lo relativo a la investigación en materia de salud, incluido en forma de preguntas concretas y análisis de hipótesis específicas que haya recibido de la comunidad investigadora.

 Empoderar a las personas para que controlen sus datos

Según una encuesta sobre los derechos fundamentales44, el 69 % de la población de la UE de más de 16 años ha oído hablar del RGPD, y el 71 % de las personas en la UE saben cuál es su autoridad nacional de protección de datos.

Los particulares son cada vez más conscientes de sus derechos: los derechos de acceso, rectificación, supresión y portabilidad de sus datos personales, el derecho a oponerse al tratamiento y una mayor transparencia. El RGPD ha fortalecido los derechos procesales, incluyendo el derecho a presentar una reclamación ante una autoridad de protección de datos —incluso a través de acciones de representación— y el derecho a la tutela judicial. Los particulares hacen valer estos derechos cada vez más, pero es necesario facilitar su ejercicio y su plena aplicación. Las reflexiones que está dirigiendo el Comité aclararán y facilitarán aún más el ejercicio de los derechos individuales, mientras que se espera que la propuesta de Directiva sobre acciones de representación45, una vez adoptada, permita a los particulares presentar demandas colectivas en todos los Estados miembros y reduzca los costes de las demandas transfronterizas.

El derecho a la portabilidad de los datos tiene un claro potencial  -   aún por aprovechar en su plenitud  - para situar a las personas en el centro de la economía de los datos, permitiéndoles cambiar entre distintos proveedores de servicios, combinar diferentes servicios, utilizar otros servicios innovadores y elegir los servicios más favorables en términos de protección de datos. Esto fomentará la competencia de manera indirecta y apoyará la innovación. Liberar este potencial es una de las prioridades de  la Comisión, en particular porque, con el creciente uso de dispositivos conectados al «Internet de las cosas», cada vez son más los datos generados por los consumidores, que  corren  el  riesgo  de  verse  confrontados  a  prácticas  desleales  y  a  efectos   de «bloqueo». La portabilidad podría reportar importantes beneficios de salud y bienestar, de reducción de la huella ambiental y acceso a servicios públicos y privados, una mayor productividad en la fabricación, y una mayor calidad y seguridad de los productos.

La estrategia de datos puso de relieve la necesidad de abordar dificultades como la falta de estándares que permitan el suministro de datos en un formato legible por máquina y de aumentar el uso efectivo del derecho a la portabilidad de los datos, que actualmente se limita a unos pocos sectores (por ejemplo, la banca y las telecomunicaciones). Esto podría hacerse, en particular, mediante el diseño de las herramientas, el formato normalizado y las interfaces adecuados46. Este mayor uso también podría conseguirse haciendo obligatoria la utilización de interfaces técnicas y formatos legibles por máquina que permitan la portabilidad de los datos en tiempo real.  Una mayor utilización  del  derecho  a la portabilidad podría,  entre otras   cosas, hacer más fácil para las personas permitir la utilización de sus datos para el bien común (por ejemplo, para fomentar la investigación en el sector de la salud), en caso de que deseen hacerlo («altruismo en los datos»). En preparación del paquete normativo sobre servicios digitales47, la Comisión examinará de forma más amplia el papel de los datos y de las prácticas relacionadas con los datos en el ecosistema de plataformas.

 

Oportunidades y retos para las organizaciones, en particular para las pymes

El RGPD, junto con el Reglamento relativo a la libre circulación de datos no personales48, ofrece oportunidades a las empresas mediante el fomento de la competencia y la innovación, garantizando la libre circulación de datos dentro de la UE y creando condiciones de competencia equitativas con las empresas establecidas fuera de la UE49. El derecho a la portabilidad, unido al incremento del número de personas en busca de soluciones más respetuosas de la privacidad, puede reducir las barreras de entrada para las empresas y permitir aprovechar las posibilidades de crecimiento basadas en la confianza y la innovación. Algunas partes interesadas informaron de que la aplicación del RGPD plantea algunos retos, especialmente para las pymes. Según el enfoque basado en el riesgo, no sería apropiado establecer excepciones en función del tamaño de los operadores, ya que su tamaño no constituye

en mismo un indicador de los riesgos que el tratamiento de datos personales que realiza puede crear para los particulares. Varias autoridades de protección de datos han proporcionado instrumentos prácticos para facilitar la aplicación del RGPD por parte de las pymes con actividades de tratamiento de bajo riesgo. Estos esfuerzos deben intensificarse y extenderse, preferiblemente en el marco de un enfoque europeo común a fin de no crear obstáculos al mercado único.

Las autoridades de protección de datos han desarrollado una serie de actividades para ayudar a las pymes a cumplir lo dispuesto en el RGPD mediante, por ejemplo, el suministro de modelos de contratos de tratamiento y de registros para las actividades de tratamiento, así como los seminarios y las líneas directas de consulta. Algunas de estas  iniciativas  contaron  con  financiación  de  la  UE50.  Se  deben  considerar  más actividades para facilitar la aplicación del RGPD a las pymes.

El RGPD ofrece un conjunto de instrumentos a todo tipo de empresas y organizaciones para ayudarles a acreditar el cumplimiento, como los códigos de conducta, los mecanismos de certificación y la cláusula contractual tipo.  Este conjunto de instrumentos debe aprovecharse al máximo. Las pymes insisten, en particular, en la importancia y la utilidad de los códigos de conducta adaptados a su situación y que no conlleven costes desproporcionados. Por lo que se refiere a los regímenes de certificación, la seguridad (incluida la ciberseguridad) y la protección de datos desde el diseño son elementos clave que deben tenerse en cuenta en el RGPD, y que se verán reforzados por un enfoque común y ambicioso en toda la UE. La Comisión está trabajando actualmente en las cláusulas contractuales tipo entre los responsables  y los encargados del tratamiento51, basándose en los trabajos  en    curso para la modernización de las cláusulas contractuales tipo para las transferencias internacionales52.

Aplicación del RGPD a las nuevas tecnologías

Al haber sido concebido de manera tecnológicamente neutra, el RPGD se basa en principios y, por lo tanto, está diseñado para cubrir nuevas tecnologías a medida que estas vayan desarrollándose.

Es considerado como un instrumento esencial y flexible para garantizar que el desarrollo de nuevas tecnologías respete los derechos fundamentales. El marco normativo sobre protección de datos y privacidad demostró su importancia y flexibilidad durante la crisis de la COVID -  19, especialmente en relación con el diseño de las aplicaciones de rastreo y otras soluciones tecnológicas para luchar contra la pandemia. En el futuro, se plantearán nuevos desafíos a la hora de ver cómo aplicar los principios probados a tecnologías específicas como la inteligencia artificial, la cadena de bloques, el internet de las cosas o el reconocimiento facial, que requieren un  seguimiento  continuo.  El  Libro  Blanco  de  la  Comisión  sobre  la   Inteligencia Artificial53, por ejemplo, impulsó un debate público sobre las circunstancias específicas — en caso de haberlas— que podrían justificar el uso de inteligencia artificial para fines de identificación biométrica remota (como el reconocimiento facial) en lugares públicos, y sobre salvaguardias comunes. A este respecto, las autoridades de protección de datos deben estar preparadas para llevar a cabo un seguimiento de los procesos de diseño técnico desde una fase temprana.

Por otra parte, una aplicación estricta y eficaz del RGPD con respecto a las grandes plataformas digitales y las empresas integradas, incluido en ámbitos como la publicidad en línea y la microsegmentación, es un elemento esencial para proteger a los particulares.

 

Desarrollo de un conjunto de instrumentos moderno para la transferencia internacional de datos

El RGPD ofrece un conjunto de instrumentos modernizado para facilitar la transferencia de datos personales desde la UE a un tercer país u organización internacional, garantizando al mismo tiempo que los datos sigan gozando de un elevado nivel de protección. En los dos últimos años, la Comisión ha intensificado su trabajo para aprovechar plenamente el potencial de los instrumentos disponibles en el marco del RGPD.

Parte de este trabajo ha consistido en la colaboración activa con socios clave a fin de alcanzar una «decisión de adecuación». El efecto de dicha decisión es permitir la circulación segura y libre de datos personales al tercer país de que se trate sin necesidad de que el exportador de datos ofrezca más garantías u obtenga una autorización. En particular, las decisiones de adecuación mutua UE -  Japón, que entraron en vigor en febrero de 2019, han creado la mayor zona mundial de circulación  libre  y  segura  de  datos.  Además,  el  proceso  de  adecuación  con     la República de Corea se encuentra en una fase avanzada y continúan las conversaciones exploratorias con otros socios importantes en Asia y América Latina.

La adecuación también desempeña un papel importante en el contexto de la futura relación con el Reino Unido, siempre que se cumplan las condiciones aplicables. Constituye un factor favorecedor del comercio, incluido el comercio digital, y un requisito previo esencial para una cooperación estrecha y ambiciosa en el ámbito de la seguridad y la aplicación de la ley. Además, un alto grado de convergencia en la protección de datos constituye un elemento importante para garantizar unas condiciones de competencia equitativas entre dos economías tan estrechamente integradas. En consonancia con la Declaración política sobre las relaciones futuras entre la UE y el Reino Unido, la Comisión está llevando a cabo una evaluación de adecuación  tanto  con  arreglo  al  RGPD  como  a  la  Directiva  sobre  protección de datos54.

Como parte de la primera evaluación del RGPD, la Comisión también está obligada a revisar las decisiones de adecuación adoptadas con arreglo a las anteriores normas55. Los servicios de la Comisión han entablado un intenso diálogo con cada uno de los 11 terceros países y territorios afectados56 a fin de evaluar la manera en que han evolucionado sus sistemas de protección de datos desde la adopción de la decisión de adecuación y si se ajustan a los estándares fijados por el RGPD. La necesidad de garantizar la continuidad de estas decisiones como instrumento clave para el comercio y la cooperación internacional es uno de los factores que han llevado a varios de estos países y territorios a modernizar y reforzar su normativa en materia de privacidad. Se están debatiendo salvaguardias adicionales con algunos de estos países y territorios para abordar las diferencias pertinentes en materia de protección. No obstante, dado que el Tribunal de Justicia, en una sentencia que se espera para el 16 de julio, podría aportar aclaraciones potencialmente pertinentes para determinados elementos de la norma de adecuación, la Comisión informará por separado sobre la evaluación de las decisiones de adecuación existentes una vez que el Tribunal de Justicia haya dictado su sentencia en dicho asunto57.

Además de su trabajo en materia de adecuación, la Comisión está llevando a cabo una modernización completa de las cláusulas contractuales tipo a fin de actualizarlas a la luz de los nuevos requisitos introducidos por el RGPD. El objetivo es reflejar mejor la realidad de las operaciones de tratamiento en la economía digital moderna y considerar la posible necesidad, en función también de la jurisprudencia que sentará próximamente el Tribunal de Justicia58, de aclarar más determinadas garantías. Estas cláusulas representan, con mucho, el mecanismo de transferencia de datos más utilizado, al existir miles de empresas de la UE que dependen de ellas para ofrecer una amplia gama de servicios a sus clientes, proveedores, socios y empleados.

El Comité también ha desempeñado un papel activo en el desarrollo de los aspectos internacionales del RGPD. Esto incluye la actualización de las directrices sobre los mecanismos de transferencia existentes, tales como las normas corporativas vinculantes y las denominadas «excepciones», así como el desarrollo de la infraestructura jurídica para la utilización de los nuevos instrumentos introducidos por el RGPD, a saber, los códigos de conducta y certificación.

Para que las partes interesadas puedan hacer pleno uso del conjunto de instrumentos de transferencia del RGPD, es importante que el Comité intensifique sus trabajos en curso sobre los distintos mecanismos de transferencia, en particular mediante una mayor racionalización del proceso de aprobación de normas corporativas vinculantes, la finalización de las directrices sobre códigos de conducta y certificación como instrumentos para las transferencias, y la aclaración de la interacción entre las normas sobre transferencias internacionales de datos (capítulo V) y el ámbito de aplicación territorial del RGPD (artículo 3).

 Otro aspecto importante de la dimensión internacional de las normas de protección de datos de la UE es el ámbito territorial ampliado del RGPD, que abarca también las actividades de tratamiento de los operadores extranjeros activos en el mercado de la UE. A fin de garantizar el cumplimiento efectivo del RGPD y unas condiciones de competencia verdaderamente equitativas, es esencial que esta ampliación se refleje adecuadamente en las medidas de aplicación de la normativa por parte de las autoridades de protección de datos. En particular, estas deben velar por la participación, en caso necesario, del representante en la UE del responsable o del encargado del tratamiento, y debe ser posible dirigirse a dicho representante además de —o en lugar de— a la empresa establecida fuera de la UE. Este enfoque debe seguirse más vigorosamente para que quede claro que la falta de establecimiento en la UE no exime a los operadores extranjeros de sus responsabilidades con arreglo al RGPD.

 Promover la convergencia y la cooperación internacional en el ámbito de la protección de datos

 El RGPD se ha convertido ya en un punto de referencia clave a nivel internacional y ha servido de catalizador para que muchos países del mundo consideren la adopción de normas de privacidad modernas. Esta tendencia hacia la convergencia mundial es un acontecimiento muy positivo que ofrece nuevas oportunidades para proteger más a las personas en la UE cuando sus datos se transfieren al extranjero, facilitando al mismo tiempo la circulación de los datos.

Aprovechando esta tendencia, la Comisión ha intensificado su diálogo en una serie de foros bilaterales, regionales y multilaterales a fin de fomentar una cultura mundial de respeto a la privacidad y desarrollar elementos de convergencia entre los distintos sistemas de protección de la privacidad. Al realizar estos esfuerzos, la Comisión se ha basado   -  y seguirá haciéndolo  -   en el apoyo activo del Servicio Europeo de Acción Exterior, de la red de delegaciones de la UE en terceros países y de las misiones a organizaciones internacionales. Esto también ha permitido una mayor coherencia y complementariedad entre los distintos aspectos de la dimensión exterior de las políticas de la UE, desde el comercio hasta la nueva Asociación África -  UE. El G-20 y el G-7 también han reconocido recientemente la contribución de la protección de datos a la confianza en la economía digital y la circulación de datos, en particular a través del concepto de «libre circulación de datos con confianza», propuesto por primera vez por la Presidencia japonesa del G -  2059. La estrategia de datos pone de relieve la intención de la Comisión de seguir promoviendo el intercambio de datos con socios de confianza y luchar al mismo tiempo contra los abusos, como el acceso desproporcionado de los poderes públicos (extranjeros) a datos personales.

Al tiempo que promueve la convergencia de las normas de protección de datos a nivel internacional como forma de facilitar la circulación de datos y, con ello, el comercio, la Comisión también está decidida a abordar el proteccionismo digital, como se ha puesto de relieve recientemente en la Estrategia de datos60. Para ello, ha desarrollado disposiciones específicas sobre la circulación de datos y la protección de datos en los acuerdos comerciales61, que presenta sistemáticamente en su negociaciones bilaterales  -   las más recientes de ellas con Australia, Nueva Zelanda y el Reino Unido  -   y multilaterales, como las actuales conversaciones sobre comercio electrónico en la OMC62. Estas disposiciones horizontales excluyen las restricciones injustificadas, como los requisitos de localización de datos obligatoria, al tiempo que mantienen la autonomía normativa de las partes para proteger el derecho fundamental a la protección de los datos.

Así pues, deben seguir examinándose las sinergias entre los instrumentos de comercio y los de protección de datos a fin de garantizar una circulación internacional libre y segura de aquellos datos que sean esenciales para las operaciones empresariales y la competitividad y el crecimiento de las empresas europeas   -  incluidas las pymes  -   en una economía cada vez más digitalizada.

Del mismo modo, es importante garantizar que, cuando se pida a las empresas activas en el mercado europeo que, a raíz de una solicitud legítima, compartan datos para permitir la aplicación de la ley, puedan hacerlo sin enfrentarse a conflictos normativos y respetando plenamente los derechos fundamentales de la UE. Con el fin de mejorar estas transferencias, la Comisión se ha comprometido a desarrollar marcos jurídicos adecuados con sus socios internacionales para evitar los conflictos normativos y apoyar las formas eficaces de cooperación, en particular estableciendo las garantías a de protección de datos, contribuyendo así a una lucha más eficaz contra la delincuencia.

Por último, en un momento en que los problemas de observancia de las normas sobre privacidad o los incidentes relacionadas con la seguridad de los datos pueden afectar a un gran número de personas al mismo tiempo en varias jurisdicciones, debe seguir reforzándose la cooperación «sobre el terreno» entre los reguladores europeos e internacionales. En particular, esto requiere que se desarrollen instrumentos jurídicos adecuados para establecer formas más estrechas de cooperación y asistencia mutua, en particular permitiendo los intercambios de información necesarios en el contexto de las  investigaciones.  También  con  esta  intención,  la  Comisión  está  creando    una «Academia de Protección de Datos», una plataforma en la que las autoridades de protección de datos de la UE y de terceros países podrán compartir conocimientos, experiencias y mejores prácticas para facilitar y apoyar la cooperación entre las autoridades responsables de proteger la privacidad.

 

 3  -   PERSPECTIVAS DE FUTURO

 Para aprovechar plenamente el potencial del RGPD, es importante crear un enfoque armonizado y una cultura común europea de protección de datos, así como fomentar una gestión más eficaz y armonizada de los casos transfronterizos. Esto es lo que lo esperan los particulares y las empresas y constituye un objetivo esencial de la reforma de las normas de protección de datos de la UE. Es igualmente importante garantizar que todos los instrumentos disponibles en el RGPD se aprovechen al máximo para garantizar una aplicación eficaz a los particulares y a las empresas.

La Comisión continuará sus intercambios bilaterales con los Estados miembros sobre la aplicación del RGPD y, en caso necesario, seguirá utilizando todos los instrumentos a su disposición para fomentar el cumplimiento por parte de los Estados miembros de sus obligaciones en virtud del RGPD.

Dada la evaluación en curso de la legislación nacional, el breve período de experiencia práctica desde la entrada en vigor del RGPD y el hecho de que la legislación sectorial está aún siendo revisada en muchos Estados miembros, todavía es demasiado pronto para extraer conclusiones definitivas sobre el nivel actual de fragmentación. Por lo que se refiere al posible conflicto normativo debido a la aplicación  de  cláusulas  de  especificación  por  parte  de  los  Estados  miembros,  es necesario, en primer lugar, comprender mejor las consecuencias para los responsables y los encargados del tratamiento63.

Al realizar un seguimiento de estas cuestiones, la jurisprudencia pertinente de los tribunales nacionales y del Tribunal de Justicia contribuye a crear una interpretación coherente de las normas de protección de datos. Órganos jurisdiccionales nacionales han dictado recientemente sentencias que invalidan disposiciones de las legislaciones nacionales que contravienen el RGPD64.

 Por lo que se refiere a la dimensión internacional, la Comisión seguirá centrándose en promover la convergencia de las normas de protección de datos como forma de garantizar la seguridad de la circulación de datos. Esto incluye diversas formas de trabajo «ascendente», por ejemplo en el contexto de las reformas en curso para la adopción de leyes de protección de datos nuevas o actualizadas, o la promoción del concepto de «libre circulación de datos con confianza» en los foros multilaterales. También abarca varios diálogos sobre adecuación y la modernización y ampliación de nuestro conjunto de instrumentos de transferencia mediante la actualización de las cláusulas contractuales tipo y el trabajo de preparación de los mecanismos de certificación. Este trabajo también incluye las negociaciones internacionales, como, por ejemplo, en el ámbito del acceso transfronterizo a las pruebas electrónicas a fin de garantizar que las transferencias de datos se produzcan con garantías adecuadas en materia de protección de datos. Por último, al entablar negociaciones sobre cooperación internacional y asistencia mutua entre los responsables de la protección de datos, la Comisión se esforzará por lograr la convergencia «entre las normas y la práctica».

Sobre la base de esta evaluación de la aplicación del RGPD desde mayo de 2018, se ha llegado a la conclusión de que las medidas que se enumeran a continuación son necesarias para apoyar su aplicación. La Comisión supervisará su aplicación, también con vistas al próximo informe de evaluación en 2024.

 Aplicación y complemento del marco jurídico

Los Estados miembros deben

 -  completar la adaptación de sus legislaciones sectoriales al RGPD;

 - considerar la posibilidad de limitar el uso de cláusulas de especificación que puedan generar fragmentación y poner en peligro la libre circulación de datos dentro de la UE;

 - evaluar si la legislación nacional por la que se aplica el RGPD se encuentra en todas las circunstancias dentro de los márgenes previstos para la legislación de los Estados miembros.

La Comisión

 - llevará a cabo intercambios bilaterales con los Estados miembros sobre la conformidad de la legislación nacional con el RGPD, en particular sobre la independencia y los recursos de las autoridades nacionales de protección de datos; utilizará todos los instrumentos a su disposición, incluidos los procedimientos de infracción, para garantizar que los Estados miembros cumplan el RGPD;

 - apoyará la realización de más intercambios de puntos de vista y de prácticas nacionales entre los Estados miembros sobre asuntos que son objeto de una mayor especificación a nivel nacional a fin de reducir el nivel de fragmentación del mercado único, como el tratamiento de datos personales relativos a la salud y la investigación, o que deban ponderarse con otros derechos, como la libertad de expresión;

 - apoyará una aplicación coherente del marco de protección de datos en relación con las nuevas tecnologías para apoyar la innovación y el desarrollo tecnológico;

 - utilizará el grupo de expertos de los Estados miembros sobre el RGPD (establecido durante la fase transitoria anterior a la entrada en vigor  del RGPD) para facilitar el debate y el intercambio de experiencias entre los Estados miembros y con la Comisión;

 -  estudiará si, a la luz de la experiencia y de la jurisprudencia pertinente que se vayan acumulando, podría ser conveniente proponer en el futuro modificaciones específicas de determinadas disposiciones del RGPD, en particular en relación con los registros de tratamiento por parte de las pymes que no tienen el tratamiento de datos personales como su actividad principal (bajo riesgo)65, y la posible armonización de la edad de consentimiento de los niños en relación con los servicios de la sociedad de la información.

  Aprovechar todo el potencial del nuevo sistema de gobernanza

Se invita al Comité y a las autoridades de protección de datos a

 - elaborar acuerdos eficaces entre las autoridades de protección de datos en lo relativo al funcionamiento de los mecanismos de cooperación y coherencia, incluido en los aspectos procedimentales, basándose en la experiencia de sus miembros y reforzando la participación de su secretaría;

 - apoyar la armonización en la aplicación y la ejecución del RGPD utilizando todos los medios a su alcance, en particular aclarando en mayor medida conceptos clave del RGPD y garantizando que las orientaciones nacionales se ajusten plenamente a las directrices adoptadas por el Comité;

 - fomentar el uso de todos los instrumentos previstos en el RGPD para garantizar su aplicación coherente;

 -  intensificar la cooperación entre las autoridades de protección de datos mediante, por ejemplo, las investigaciones conjuntas.

La Comisión

 - seguirá supervisando de cerca la independencia efectiva y plena de las autoridades nacionales de protección de datos;

 - fomentará la cooperación entre los reguladores (en particular en ámbitos como la competencia, las comunicaciones electrónicas, la seguridad de las redes y los sistemas de información y la política de consumidores);

 - apoyará la reflexión en el seno del Comité sobre los procedimientos aplicados por las autoridades nacionales de protección de datos con el fin de mejorar la cooperación en los casos transfronterizos.

Los Estados miembros

  - asignarán a las autoridades de protección de datos recursos suficientes para que estas desempeñen sus funciones.

 Apoyo a las partes interesadas

Se invita al Comité y a las autoridades de protección de datos a

 - adoptar más directrices prácticas, fácilmente comprensibles y que ofrezcan respuestas claras y eviten la ambigüedad en cuestiones relacionadas con la aplicación del RGPD, por ejemplo en cuanto al tratamiento de datos de los niños y los derechos de los titulares de los datos, incluido el ejercicio del derecho de acceso y el derecho de supresión, consultando a las partes interesadas en el proceso;

 - revisar las directrices cuando sean necesarias aclaraciones adicionales en vista de la experiencia adquirida y de la evolución de la situación, incluida la jurisprudencia del Tribunal de Justicia;

 -  desarrollar instrumentos prácticos, como formularios armonizados para la violación de la seguridad de los datos y registros simplificados de las actividades de tratamiento, para ayudar a las pymes de bajo riesgo a que cumplan sus obligaciones.

La Comisión

 - proporcionará cláusulas contractuales tipo tanto para las transferencias internacionales como para las relaciones entre los responsables y los encargados del tratamiento;

 - proporcionará instrumentos para aclarar o apoyar la aplicación de las normas de protección de datos a los niños66;

 - estudiará, en consonancia con la estrategia de datos, los medios prácticos para facilitar una mayor utilización del derecho a la portabilidad por parte de los particulares, por ejemplo dándoles un mayor control sobre quién  puede acceder a los datos generados por máquinas y utilizarlos;

 - apoyará la normalización/certificación, en particular en aspectos relativos a la ciberseguridad, mediante la cooperación entre la Agencia de la Unión Europea para la Ciberseguridad (ENISA), las autoridades de protección de datos y el Comité;

 -  hará uso, cuando proceda, de su derecho a solicitar al Comité que elabore directrices y dictámenes sobre cuestiones específicas de importancia para las partes interesadas;

 -  ofrecerá orientación cuando sea necesario, respetando plenamente la función del Comité;

 - apoyará las actividades de las autoridades de protección de datos que faciliten la aplicación de las obligaciones del RGPD por parte de las pymes mediante el apoyo financiero, especialmente para la orientación práctica y los instrumentos digitales que puedan reproducirse en otros Estados miembros.

 Incentivos a la innovación

La Comisión

 -  supervisará la aplicación del RGPD a las nuevas tecnologías, teniendo también en cuenta posibles iniciativas futuras en el ámbito de la inteligencia artificial y en el marco de la estrategia de datos;

 - fomentará, también a través del apoyo financiero, la elaboración de códigos de conducta de la UE en el ámbito de la salud y la investigación;

 - seguirá de cerca el desarrollo y la utilización de aplicaciones en el contexto de la pandemia de COVID -  19.

Se invita al Comité a

 - elaborar directrices sobre la aplicación del RGPD en los ámbitos de la investigación científica, la inteligencia artificial, la cadena de bloques y otros posibles avances tecnológicos;

 - revisar las directrices cuando sean necesarias aclaraciones adicionales en vista de los avances tecnológicos.

  Continuar el desarrollo del conjunto de instrumentos para las transferencias de datos

La Comisión

 - mantendrá diálogos en materia de adecuación con los terceros países interesados, en consonancia con la estrategia establecida en su Comunicación de 2017 titulada «Intercambio y protección de los datos personales en un mundo globalizado», incluida, cuando sea posible, la transferencia de datos a las autoridades encargadas de hacer cumplir las leyes penales (con arreglo a la Directiva sobre protección de datos en el ámbito penal) y a otras autoridades públicas; esto incluye la finalización del proceso de adecuación con la República de Corea lo antes posible;

 - finalizará la evaluación en curso de las decisiones de adecuación existentes e informará al Parlamento Europeo y al Consejo;

 - concluirá los trabajos sobre la modernización de las cláusulas contractuales tipo con vistas a su actualización a la luz del RGPD, a abarcar todas las hipótesis de transferencia pertinentes y a reflejar mejor las prácticas empresariales modernas.

Se invita al Comité a

 -  aclarar más la interacción entre las normas sobre transferencias internacionales de datos (capítulo V) y el ámbito de  aplicación  territorial  del  RGPD (artículo 3);

 -  garantizar el cumplimiento efectivo de las normas por parte de los operadores establecidos en terceros países que entran en el ámbito territorial de aplicación del RGPD, también, cuando proceda, en lo que se refiere a la designación de un representante (artículo 27);

 - racionalizar la evaluación y la eventual aprobación de normas corporativas vinculantes con vistas a acelerar el proceso;

 - completar el trabajo sobre la arquitectura, los procedimientos y los criterios de evaluación de los códigos de conducta y los mecanismos de certificación como instrumentos para las transferencias de datos.

 Promover la convergencia y desarrollar la cooperación internacional

La Comisión

 - apoyará los procesos de reforma en curso en terceros países sobre normas de protección de datos nuevas o modernizadas mediante el intercambio de experiencias y mejores prácticas;

 - colaborará con los socios africanos para promover la convergencia  normativa y apoyar el desarrollo de capacidades de las autoridades de supervisión en el marco del capítulo digital de la nueva Asociación África -  UE;

 - evaluará las formas en que podría facilitarse la cooperación entre los operadores privados y las autoridades encargadas de hacer cumplir la ley, en particular mediante la negociación de marcos bilaterales y multilaterales para las transferencias de datos en el contexto del acceso de las autoridades extranjeras encargadas de hacer cumplir la ley a las pruebas electrónicas a fin de evitar conflictos normativos, velando al mismo tiempo por la aplicación de garantías adecuadas en materia de protección de datos;

 - colaborará con organizaciones internacionales y regionales como la OCDE, la ASEAN o el G -  20 para promover la circulación de datos fiables basada en normas estrictas de protección de datos, incluido en el contexto de la iniciativa de «libre circulación de datos con confianza»;

 - creará una «Academia de Protección de Datos» para facilitar y apoyar los intercambios entre reguladores europeos e internacionales;

 - promoverá la cooperación internacional en materia de cumplimiento de la normativa entre las autoridades de supervisión, incluido mediante la negociación de acuerdos de cooperación y asistencia mutua.

 

 ________________________________________________________________  

 1 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (DO L 119 de 4.5.2016, p. 1).

2 A raíz de su incorporación al Acuerdo sobre el Espacio Económico Europeo (EEE), el Reglamento se aplica también a Noruega, Islandia y Liechtenstein.

3  https://ec.europa.eu/info/publications/white -  paper -  artificial -  intelligence -  european -  approach -   excellence -  and -  trust_en

4 https://ec.europa.eu/info/strategy/priorities -  2019 -  2024/europe -  fit -  digital -  age/european -  data -  strategy

5 Este marco normativo abarca también la Directiva sobre protección de datos en el ámbito penal (Directiva 2016/680) y Reglamento sobre protección de datos para las instituciones y los organismos de la UE (Reglamento 2018/1725).

6  Propuesta de Reglamento  del Parlamento  Europeo  y del Consejo  sobre  el respeto  de la   vida

privada y la protección de los datos personales en el sector de las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE (Reglamento sobre la privacidad y las comunicaciones electrónicas) [ COM(2017) 010 final  -   2017/03 (COD)].

7 Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).

8 https://ec.europa.eu/info/strategy/priorities -  2019 -  2024/europe -  fit -  digital -  age_es

9 Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité  de  las  Regiones,  «El  Pacto  Verde  europeo»  [COM (2019) 640 final].

10 Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, «Una estrategia europea de datos» [COM(2020) 66 final].

11 Estos diez espacios de datos sectoriales europeos comunes se refieren a: la salud, la industria manufacturera, la energía, la movilidad, la agricultura, los datos financieros, la administración pública, un espacio común europeo de datos sobre capacidades, un espacio de datos sobre el Pacto Verde Europeo y una Nube Europea de la Ciencia Abierta.

12              Véase,         por         ejemplo,             el          Cisco’s         Consumer         Privacy            Study         2019 (https://www.cisco.com/c/dam/en/us/products/collateral/security/cybersecurity -  series -  2019 -  cps.pdf). Según este estudio, en el que participaron 2 600 consumidores de todo el mundo, un número significativo de consumidores ya ha tomado medidas para proteger su privacidad, por ejemplo, cambiando de empresas o proveedores debido a sus políticas de datos o a sus prácticas de intercambio de información.

13 Discurso del Secretario General de las Naciones Unidas al Senado Italiano de 18 de diciembre de 2019 (disponible en: https://www.un.org/press/en/2019/sgsm19916.doc.htm).

14 Este marco incluye, además del RGPD, la Directiva sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE), que establece normas, entre otras cosas, sobre el acceso y el almacenamiento de información en el equipo terminal del usuario.

15  Comunicación de la Comisión «Orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia de COVID -  19 en lo referente a la protección de datos» 2020/C 124 I/01  -   C(2020) 2523  -   (DO C 124I de 17.4.2020, p. 1). El 16 de abril de 2020, los Estados miembros de la UE, con el apoyo de la Comisión, desarrollaron un conjunto de instrumentos de la UE para el uso de aplicaciones móviles de rastreo de contactos y alerta en respuesta a la pandemia de coronavirus. Esto forma parte de un enfoque coordinado común para apoyar la supresión gradual de las medidas de confinamiento. https://ec.europa.eu/health/sites/health/files/ehealth/docs/covid -  19_apps_en.pdf.

16  Orientaciones de la Comisión relativas a la aplicación de la legislación sobre protección de datos de la Unión en el contexto electoral: Contribución de la Comisión Europea a la reunión de dirigentes en Salzburgo los días 19 y 20 de septiembre de 2018 [COM (2018) 638 final].

17 Posición y conclusiones del Consejo sobre la aplicación del Reglamento General de Protección de Datos:

https://data.consilium.europa.eu/doc/document/ST -  14994 -  2019 -  REV -  2/es/pdf

18 Carta de la Comisión LIBE del Parlamento Europeo de 21 de febrero de 2020 al  Comisario Reynders, Ref.: IPOL -  COM -  LIBE D (2020)6525.

 19 Contribución del Comité a la evaluación del RGPD con arreglo al artículo 97, adoptada el 18 de febrero de 2020: https://edpb.europa.eu/our -  work -  tools/our -  documents/other/contribution -  edpb -   evaluation -  gdpr -  under -  article -  97_en

20 https://edpb.europa.eu/individual -  replies -  data -  protection -  supervisory -  authorities_es

21 El Grupo Multilateral de Expertos sobre el Reglamento creado por la Comisión está integrado por representantes  de  la  sociedad  civil  y  del  sector  empresarial,  miembros  del  mundo  académico   y

profesionales: https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupDetail&groupID=3537

22  https://ec.europa.eu/info/law/better -  regulation/have -  your -  say/initiatives/12322 -  Report -  on -  the -   application -  of -  the -  General -  Data -  Protection -  Regulation/feedback?p_id=7669437

    23 Véanse, por ejemplo, la posición y las conclusiones del Consejo, así como la contribución del Comité.

24 Véase el punto 2.1 del Documento de trabajo de los servicios de la Comisión.

25 Si una empresa está llevando a cabo un tratamiento de datos transfronterizo, la autoridad competente en materia de protección de datos es la del Estado miembro en que se encuentra el establecimiento principal de la compañía.

26 Véase el punto 2.2 del Documento de trabajo de los servicios de la Comisión.

27 Entre el 25 de mayo de 2018 y el 31 de diciembre de 2019, se presentaron 141 proyectos de decisión a través del procedimiento de ventanilla única, de los cuales 79 dieron lugar a decisiones definitivas.

28 Por ejemplo, las listas nacionales sobre los tipos de operaciones de tratamiento que requieren una evaluación de impacto relativa a la protección de datos en virtud del artículo 35 del RGPD podrían haberse armonizado mejor.

29 Véase el punto 2.2 del Documento de trabajo de los servicios de la Comisión.

30 En particular representantes de empresas y de la sociedad civil. Véase el punto 2.3 del Documento de trabajo de los servicios de la Comisión.

31 Que se añaden a las 10 directrices adoptadas por el Grupo de Trabajo del Artículo 29 en el período previo a la entrada en vigor del Reglamento y refrendadas por el Comité. El Comité adoptó también 4 directrices adicionales entre enero y el final de mayo de 2020, y actualizó una directriz ya existente.

32 42 de estos dictámenes se adoptaron con arreglo al artículo 64 del RGPD y uno se adoptó con arreglo al artículo 70, apartado 1, letra s), del RGPD y se refería a la decisión de adecuación con respecto a Japón.

33 Comunicación de la Comisión al Parlamento Europeo y al Consejo  -   Balance de las normas de protección de datos como catalizador de la confianza en la UE y fuera de sus fronteras, [COM(2019) 374 final de 24.7.2019].

34 En total, se ha registrado un aumento del 42 % en el personal y del 49 % en el presupuesto en el caso de las autoridades nacionales de protección de datos, consideradas en su conjunto en el EEE entre 2016 y 2019.

35 Véase el punto 2.4 del Documento de trabajo de los servicios de la Comisión.

36 En el caso más reciente, mediante carta del Comisario Reynders de marzo de 2020.

37 Cabe señalar que la autoridad nacional de protección de datos de Eslovenia está establecida con arreglo a la legislación nacional vigente en materia de protección de datos y supervisa de la  aplicación del RGPD en dicho Estado miembro.

38 Véase el punto 3.1 del Documento de trabajo de los servicios de la Comisión.

39 Véase el punto 3.2 del Documento de trabajo de los servicios de la Comisión.

40  Artículo 52, apartado 1, de la Carta.

41  Véase el punto 3.1 del documento de trabajo de los servicios de la Comisión: Conciliación del derecho a la protección de los datos personales con la libertad de expresión y de información.

42 La Comisión ha iniciado un estudio sobre la «Evaluación de las normas de los Estados miembros sobre datos sanitarios a la luz del RGPD», Chafea/2018/Health/03, contrato específico n.º 2019 70 01.

43 Véanse las medidas anunciadas en la Estrategia Europea de Datos, página 30.

44 Agencia de los Derechos Fundamentales de la Unión Europea (FRA) (2020): encuesta sobre los derechos fundamentales de 2019. Protección y tecnología de datos: https://fra.europa.eu/en/publication/2020/fundamental -  rights -  survey -  data -  protection

45 Una vez adoptada, la propuesta de Directiva relativa a las acciones de representación para la protección de los intereses colectivos de los consumidores [COM(2018) 0184 final  -    2018/089 (COD)] reforzará el marco de acciones de representación, también en el ámbito de la protección de datos.

46   Entre  estos  instrumentos  pueden  figurar  los  instrumentos  de  gestión  del  consentimiento  y  las aplicaciones de gestión de la información personal.

47 https://ec.europa.eu/commission/presscorner/detail/es/ip_20_962

48 Reglamento (UE) 2018/1807 del Parlamento Europeo y del Consejo relativo a un marco para la libre circulación de datos no personales en la Unión Europea (DO L 303 de 28.11.2018 -   59).

49 Véase el punto 5 del Documento de trabajo de los servicios de la Comisión. Véase también COM(2019) 250 final, Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea, en las que se explican las normas que rigen el  tratamiento de conjuntos de datos mixtos, compuestos por datos tanto personales como no personales, que lo hacen práctico para las empresas, incluidas las pymes.

50 La Comisión ha prestado apoyo financiero a través de tres series de subvenciones por un total de 5 millones EUR, con las dos más recientes destinadas específicamente a apoyar a las autoridades nacionales  de  protección  de  datos  en  sus  esfuerzos  por  llegar  a  los  particulares  y  a  las  pymes:

https://ec.europa.eu/info/law/law -  topic/data -  protection/eu -  data -  protection -  rules/eu -  funding -  supporting -   implementation -  gdpr_en. En 2020 se asignará 1 millón de euros adicionales.

51 Con arreglo al artículo 28 del RGPD.

52 Con arreglo al artículo 46 del RGPD.

53 Libro Blanco sobre la inteligencia artificial: un enfoque europeo orientado a la excelencia y la confianza [COM(2020) 65 final].

54 Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).

55  Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

56 Estos países y territorios son: Andorra, Argentina, Canadá, Guernsey, Islas Feroe, Isla de Man, Israel, Jersey, Nueva Zelanda, Suiza y Uruguay.

57  Véase el asunto C -  311/18, Data Protection Commissioner v Facebook Ireland Limited,  Maximillian

Schrems («Schrems II»), relativo a una petición de decisión prejudicial sobre las conocidas como cláusulas contractuales tipo. Sin embargo, determinados elementos del estándar de adecuación pueden también ser objeto de más aclaraciones por parte del Tribunal.

58 Véase el asunto «Schrems II».

59         Véase,      por     ejemplo,     la      declaración           de     los       dirigentes      del     G -  20      en       Osaka: https://www.consilium.europa.eu/media/40124/final_g20_osaka_leaders_declaration.pdf

60 Estrategia de datos, p. 23.

61  Véase el texto de las disposiciones horizontales sobre los flujos transfronterizos de datos y la protección de los datos personales (en los acuerdos comerciales y de inversión de la UE): https://trade.ec.europa.eu/doclib/docs/2018/may/tradoc_156884.pdf

62 En estos momentos, 84 miembros de la OMC están participando en las negociaciones multilaterales sobre comercio electrónico, a raíz de una declaración de iniciativa conjunta adoptada por ministros el 25 de enero de 2019 en Davos. Como parte de este proceso, la UE presentó su propuesta de texto sobre las futuras normas y obligaciones en materia de comercio electrónico el 3 de mayo de 2019. La propuesta incluye disposiciones horizontales sobre circulación de datos y protección de datos personales: https://trade.ec.europa.eu/doclib/docs/2019/may/tradoc_157880.pdf.

   63 Véanse la posición y las conclusiones del Consejo sobre la aplicación del RGPD.

64 Así ha ocurrido en Alemania y en España o en Austria, donde se ha colmado una laguna en la legislación nacional.

65 Artículo 30, apartado 5, del RGPD.

66 Proyecto de la Comisión sobre instrumentos de determinación de la edad: proyecto piloto para demostrar una infraestructura técnica interoperable de protección de la infancia, incluida la verificación de la edad y el consentimiento parental. Se espera que esto apoye la aplicación de los mecanismos de protección de la infancia basados en la legislación vigente pertinente de la UE para la protección en línea de la infancia.

 

No hay comentarios:

Publicar un comentario