Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
La Ley de Aplicación del artículo
37 de la Directiva de Servicios Digitales se refiere a Auditorías independientes
que los prestadores de plataformas en línea y de motores de búsqueda en línea de
muy gran tamaño deben realizar anualmente. Estas Directrices fueron publicadas el
19 de junio último en el sitio web del Comité Europeo de Protección de Datos, CEPD.
Según estas, los prestadores de plataformas en línea y de los motores de búsqueda
se someterán, a su propia costa y al menos una vez al año, a auditorías independientes
para evaluar el cumplimiento de las obligaciones establecidas en el Capítulo III
Obligaciones de diligencia debida para crear un entorno en línea transparente y
seguro.
De las Directrices
contenidas en treintaitrés (33) folios, el suscrito ha traducido del inglés al castellano
el Resumen Ejecutivo con la ayuda del aplicativo Google Traductor. El texto
original y algunos enlaces a otras fuentes se encuentra en: https://www.edpb.europa.eu/system/files/2024-06/edpb-guidelines-202301_art_37_led_final_en.pdf
El CEPD
concluye que el artículo 37 de la Law Enforcement Directive, LED (Ley de
Aplicación de la Directiva) exige un nivel esencialmente equivalente de
protección de datos en el tercer país u organización internacional receptor, exigencia
que amplía el alcance nacional de la práctica auditora.
A fin de
acceder a normas similares y estándares europeos, las empresas, organizaciones públicas
y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones,
auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com
Directrices
01/2023 sobre el artículo 37 de la Directiva de aplicación de la ley
Versión
2.0 D
Adoptada
el 19 de junio de 2024
Resumen
ejecutivo
Estas
directrices proporcionan orientación sobre la aplicación del artículo 37 de la
LED, en particular sobre la norma jurídica para las salvaguardias adecuadas que
deben aplicar las autoridades competentes de conformidad con el artículo 37,
apartado 1, letras a) y b) de la LED[1] y, en consecuencia, sobre
los factores pertinentes para evaluar si existen tales salvaguardias. Por lo
tanto, estas directrices incluyen una indicación de las expectativas que el
CEPD tiene de los Estados miembros, como partes negociadoras, cuando prevén
celebrar o modificar un instrumento jurídicamente vinculante entre el Estado
miembro en cuestión y un tercer país u organización internacional de
conformidad con el artículo 37, apartado 1. (a) LED.
El
CEPD señala que el artículo 35, apartado 3, de la LED se aplica a las
transferencias realizadas en virtud del artículo 37 de la LED. Por lo tanto, el
artículo 37 LED debe aplicarse a la luz del principio de que el nivel de
protección de datos aplicable en la Unión Europea no debe verse socavado por la
transferencia de datos personales a otra jurisdicción. El CEPD concluye que el
artículo 37 LED exige un nivel esencialmente equivalente de protección de datos
en el tercer país u organización internacional receptor. Sin embargo, este
requisito se relaciona con la transferencia de datos específica o la categoría
de transferencias en cuestión. De conformidad con el artículo 37 de la LED,
debe garantizarse una equivalencia esencial con la protección garantizada en
virtud de la LED para ese caso particular y no necesariamente con respecto a
toda la legislación vigente en el tercer país u organización internacional.
El
CEPD ya ha adoptado Recomendaciones sobre el referencial de adecuación en el
marco de la LED, que abordan qué principios de protección de datos deben estar
presentes para garantizar una equivalencia esencial con el marco de la UE
dentro del alcance de la LED. El CEPD considera que los principios y
salvaguardias esbozados en estas Recomendaciones se aplican sustancialmente en
el contexto del artículo 37 LED, es decir, con respecto a la transferencia
específica o categoría de transferencias.
Un
instrumento jurídicamente vinculante en el sentido del artículo 37, apartado 1,
letra a), de la LED debe ser celebrado por la entidad facultada para contraer
obligaciones con respecto a las salvaguardias previstas en el instrumento. Por
tanto, el acuerdo internacional debería tener fuerza de ley. Dicho instrumento
legalmente vinculante puede ser ejecutado por las Partes y por los interesados
cuyo procesamiento de datos personales se rige por el acuerdo. El instrumento
jurídicamente vinculante debe contener todas las normas pertinentes que
permitan superar cualquier deficiencia o limitación de la legislación del
tercer país u organización internacional en términos de protección de datos
mediante el establecimiento de un marco de salvaguardias adecuados que
proporcionen un nivel esencialmente equivalente de protección de datos.
El
CEPD considera que el uso de un instrumento jurídicamente vinculante que regule
las transferencias de datos personales entre las Partes debería, en ausencia de
una decisión de adecuación, tener prioridad, en principio, sobre una evaluación
por parte del responsable del tratamiento de conformidad con el artículo 37,
apartado 1, letra b). LED ya que proporciona más seguridad jurídica,
transparencia, previsibilidad, estabilidad, coherencia y garantías sobre la
aplicación efectiva de las salvaguardas en materia de protección de datos.
En
este contexto, el CEPD recuerda su Declaración sobre acuerdos internacionales
que incluyen transferencias, adoptada el 13 de abril de 2021, invitando a los
Estados miembros a evaluar y, cuando sea necesario, revisar sus acuerdos
internacionales que impliquen transferencias internacionales de datos
personales. El CEPD subraya que se debe considerar el objetivo de adaptar
dichos acuerdos a los requisitos de la LED para las transferencias de datos,
cuando este aún no sea el caso, para garantizar que el nivel de protección de
las personas físicas garantizado por la LED no se vea socavado cuando los datos
personales se transfieran fuera de la Unión.
Con
respecto al artículo 37, apartado 1, letra b), de la LED y a la luz de las
mayores garantías antes mencionadas que ofrecen los instrumentos jurídicamente
vinculantes, las autoridades competentes sólo podrán basarse en dicha
evaluación cuando esto se basa en un análisis cuidadoso del marco jurídico y
las prácticas pertinentes que demuestren que las transferencias en cuestión
están sujetas a salvaguardias adecuadas. Al evaluar los riesgos que rodean las
transferencias a los efectos del artículo 37, apartado 1, letra b), de la LED,
las autoridades competentes deben examinar la protección de los datos
personales que se van a transferir, teniendo en cuenta los riesgos que su
intercambio con terceros países plantea para los derechos fundamentales y
libertades de los interesados, sus intereses legítimos y los de otras personas
interesadas. Conocer en detalle las circunstancias que rodean las
transferencias de datos realizadas o por realizar es necesario para poder
identificar estos riesgos para los derechos y libertades de las personas
físicas, y en particular para el derecho a la protección de datos, y las
salvaguardias adecuadas para mitigarlos a ellos.
Como
ocurre con cualquier otra operación de procesamiento, una autoridad competente
debe conocer y considerar de manera granular la naturaleza, el alcance, el
contexto y los propósitos de la transferencia. Más específicamente, las
autoridades competentes pueden analizar y categorizar sus transferencias
teniendo en cuenta características relevantes para evaluar los riesgos que
plantean los derechos fundamentales de los interesados, como los fines
específicos de la transferencia, la cantidad de datos transferidos o la
gravedad de un delito penal.
Puede
haber casos en los que ya se deriven salvaguardias adecuadas de los compromisos
internacionales, la legislación y las prácticas del tercer país. En otros
casos, las autoridades competentes pueden necesitar proporcionar, en la medida
en que sean legalmente competentes, salvaguardias adicionales a la luz de las
características de la transferencia específica mencionada anteriormente, para
garantizar un nivel de protección esencialmente equivalente al garantizado bajo
las LED y las normas nacionales. El
compromiso de la autoridad receptora del tercer país de respetar y cumplir dichas
salvaguardias adicionales es necesario para que sean efectivas.
El
hecho de que los mecanismos de transferencia previstos en los artículos 36 a 38
LED operen en cascada con carácter general también afecta las obligaciones de
rendición de cuentas del responsable del tratamiento. Las obligaciones de
rendición de cuentas del responsable del tratamiento cuando se basa en el
artículo 37, apartado 1, letra b), de la LED se ven reforzadas de conformidad
con el artículo 37, apartados 2 y 3, de la LED porque es el único responsable
del tratamiento quien determina, basándose en su propia evaluación, si es
apropiado existen salvaguardas. Esto implica mayores riesgos de
inconsistencias, menor transparencia y menor seguridad jurídica para los
interesados en comparación con las transferencias legalmente enmarcadas en
decisiones de adecuación o instrumentos legalmente vinculantes.
Con
respecto a la obligación impuesta por el artículo 37, apartado 2, de la LED y
teniendo en cuenta la razón que justifica la adopción de esta disposición, las
autoridades competentes deben informar periódicamente a sus autoridades de
protección de datos sobre las categorías de transferencias que se llevaron a
cabo conforme al artículo 37, apartado 1. (b) LED. La información presentada
debe incluir las autoridades competentes receptoras, así como el número de
transferencias. Esto permitiría a las autoridades de supervisión tener una
visión general y centrar su acción con respecto a un posible control de
legalidad "ex post" en categorías específicas de transferencias.
[1] REGLAMENTO (UE)
2022/2065 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 19 de octubre de 2022
relativo a un mercado único de servicios digitales y por el que se modifica la
Directiva 2000/31/CE (Reglamento de Servicios Digitales). Artículo 37 Auditoría
independiente 1. Los prestadores de plataformas en línea de muy gran tamaño y
de motores de búsqueda en línea de muy gran tamaño se someterán, a su propia
costa y al menos una vez al año, a auditorías independientes para evaluar el
cumplimiento de lo siguiente: a) las obligaciones establecidas en el capítulo
III; b) cualquier compromiso contraído en virtud de los códigos de conducta a
que se refieren los artículos 45 y 46 y los protocolos de crisis a que se
refiere el artículo 48.
No hay comentarios:
Publicar un comentario