Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
cferreyros@ferreyros-ferreyros.com
Resumen
Las Directrices europeas relativas a las solicitudes de transferencia de datos desde terceros países, en particular en lo que respecta al artículo 48 del Reglamento General de Protección de Datos (RGPD), han sido esclarecidas por el Supervisor Europeo de Protección de Datos (CEPD) las mismas que han sido publicadas en diciembre de 2024.
El artículo 48 del RGPD pretende aclarar que las decisiones o sentencias emitidas por autoridades de terceros países (no pertenecientes a la UE) no pueden reconocerse ni ejecutarse automáticamente en un Estado miembro de la UE. El reconocimiento o la ejecución de dichas decisiones solo es posible si se basan en un acuerdo internacional vigente, como un tratado de asistencia jurídica mutua, entre el tercer país solicitante y la UE o un Estado miembro.
Incluso en presencia de un acuerdo internacional, cualquier transferencia o divulgación de datos personales debe cumplir con las condiciones del Artículo 6 (base jurídica del tratamiento) y el Capítulo V del RGPD (transferencias internacionales).
Finalmente, las directrices ofrecen recomendaciones a los responsables y encargados del tratamiento en la UE para evaluar y procesar las solicitudes de transferencia o divulgación de datos personales procedentes de terceros países.
El presente artículo publicado en francés ha sido traducido al castellano por el suscrito con la ayuda del aplicativo Google Translator, el enlace al texto íntegro se encuentra en: https://www.edpb.europa.eu/system/files/2024-12/edpb_guidelines_202402_article48_en.pdf
A fin de acceder a normas similares y estándares europeos, las empresas,
organizaciones públicas y privados interesados en asesorías, consultorías,
capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse
comunicar al correo electrónico: cferreyros@ferreyros-ferreyros.com
_____________________________________________________
Historial de versiones
Versión 1.0 |
2 de diciembre de 2024 |
Adopción
de las Directrices para la consulta pública |
Versión 2.0 |
4 de junio de 2025 |
Adopción
de las Directrices tras consulta pública |
RESUMEN
EJECUTIVO
Tabla de contenido
1
Introducción
............................................................. 5
2
¿Cuál es
el alcance de estas directrices.................. 6
3 ¿Cuál es el objetivo del artículo 48? ........................ 7
4
¿En qué
situaciones es aplicable el artículo 48? ..... 7
5
¿En qué
condiciones pueden los responsables y encargados del tratamiento responder a
las solicitudes de las autoridades de terceros países? .................................... 8
5.2
Cumplimiento
del Capítulo V del RGPD.......... 11
Anexo - Pasos prácticos...................................................................................................... 13
El Comité Europeo de Protección de Datos
Visto el artículo 70 (1)(e) del Reglamento 2016/679/UE del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, «RGPD»),
Visto el Acuerdo EEE y, en particular, su anexo XI y su Protocolo 37, modificado por la Decisión del Comité Mixto del EEE n.º 154/2018, de 6 de julio de 2018 [1], cuenta el artículo 12 y el artículo 22 de su Reglamento,
HA ADOPTADO LAS SIGUIENTES DIRECTRICES
1 INTRODUCCIÓN
2 ¿CUÁL ES EL
ALCANCE DE ESTAS DIRECTRICES?
4. Estas directrices se centran en las solicitudes
destinadas a la cooperación directa entre una autoridad de un tercer país y una entidad privada de la UE (a diferencia de
otros casos en los que los datos personales se intercambian directamente entre
autoridades públicas de la UE y de terceros países, respectivamente, por
ejemplo, en virtud de un tratado de asistencia jurídica mutua). Dichas
solicitudes pueden proceder de todo tipo de autoridades públicas, incluidas las
que supervisan al sector privado, como los reguladores bancarios y las
autoridades fiscales, así como las autoridades encargadas de la aplicación de
la ley y la seguridad nacional [3].
5. Estas directrices cubren la situación en la que dichas solicitudes se dirigen a controladores o procesadores en la UE y cuyo procesamiento de datos personales está sujeto al Artículo 3.1 del RGPD.
6. El artículo 48 no distingue entre responsables y encargados del tratamiento, privados o públicos, que reciben una solicitud de datos personales de autoridades de terceros países. Sin embargo, a efectos de estas directrices, el siguiente análisis se centra en las solicitudes directas a entidades privadas en la UE, considerando que este parece ser el escenario más común de aplicación del artículo 48 y que las solicitudes a autoridades públicas suelen enmarcarse en un marco de cooperación internacional establecido en acuerdos internacionales.
7. El CEPD destaca que, además de los requisitos del RGPD, la cooperación con las autoridades públicas de terceros países pu'de regirse por normas adicionales[4]. Dichos requisitos no se abordan en las presentes directrices.
3 ¿CUÁL ES EL OBJETIVO DEL ARTÍCULO 48?
8. Según el artículo 48, las sentencias y decisiones
de las autoridades de terceros países que exijan a un responsable o encargado del tratamiento en la UE la transferencia o divulgación de datos
personales solo podrán reconocerse y ejecutarse si se basan en un acuerdo
internacional aplicable[5] como un tratado de asistencia jurídica mutua (MLAT) vigente entre el país solicitante y
la UE o un Estado miembro [6], sin perjuicio de otros motivos de transferencia con arreglo al capítulo V del RGPD.
Este artículo regula el acceso a los datos personales sujetos a la protección
del RGPD por parte de los tribunales y autoridades de terceros países. El considerando
115 aclara que la disposición tiene por objeto proteger los datos personales de
la aplicación extraterritorial de la legislación de terceros países que «pueda infringir el Derecho internacional e impedir el logro de la protección de las personas físicas garantizada en la
Unión por el [RGPD]».
9. Por lo tanto, cuando los datos procesados en la UE
se transfieren o divulgan en respuesta a una solicitud directa de una autoridad de un tercer país, dicha divulgación está sujeta al RGPD y
constituye una transferencia en el sentido del Capítulo V. Esto significa que,
como para cualquier transferencia sujeta al RGPD, tiene que haber una base
legal para el procesamiento en el Artículo 6 y un motivo para la transferencia
en el Capítulo V.
10. El CEPD reafirma que una solicitud de una autoridad
extranjera no constituye en sí misma una base jurídica para el procesamiento ni un motivo para la transferencia[7].
4. ¿EN QUÉ SITUACIONES ES APLICABLE EL ARTÍCULO
48?
11. El Artículo 48 se aplica en situaciones en las que
un responsable o encargado del tratamiento en la UE recibe una decisión o sentencia de una autoridad administrativa o un tribunal de un tercer país que exige
la transferencia o divulgación de datos personales. La terminología de la
disposición, «tribunal», «tribunal» y «autoridad administrativa», se refiere a
un organismo público de un tercer país. El CEPD considera que la terminología
utilizada por el organismo del tercer país para calificar su solicitud como
«decisión» o «sentencia» no es determinante para la aplicación del Artículo 48,
siempre que se trate de una solicitud oficial de una autoridad de un tercer
país.
12. El CEPD considera que la redacción del artículo 48
abarca todas las formas posibles en que un responsable o un encargado del tratamiento en la UE podría hacer que los datos
personales sean accesibles a una autoridad de un tercer país.
13. El artículo 48 no limita los fines para los cuales la autoridad de un tercer país puede solicitar datos. Por lo tanto, las solicitudes de autoridades de terceros países emitidas en diferentes contextos y para diferentes fines estarían comprendidas en el ámbito de aplicación de la disposición, por ejemplo, las solicitudes de las fuerzas de seguridad o autoridades de seguridad nacional, reguladores financieros o autoridades públicas responsables de aprobar productos farmacéuticos, dispositivos médicos, etc.
5 ¿EN QUÉ
CONDICIONES PUEDEN LOS RESPONSABLES Y ENCARGADOS DEL TRATAMIENTO RESPONDER A LAS SOLICITUDES DE LAS AUTORIDADES DE TERCEROS PAÍSES?
16. Como ya se ha mencionado, además de garantizar el cumplimiento del RGPD, un responsable o encargado del tratamiento puede tener que cumplir con requisitos adicionales derivados de otros instrumentos jurídicos, por ejemplo, normas procesales nacionales o acuerdos internacionales que prevean la cooperación con la autoridad de un tercer país.
5.1 Cumplimiento del artículo 6 del RGPD
17. De
acuerdo con el artículo 44 del RGPD, la transferencia de datos personales a un
tercer país solo tendrá lugar si, sin perjuicio de las demás disposiciones
del RGPD, se cumplen las condiciones del capítulo V. Por lo tanto, la
transferencia de datos personales a terceros países u organizaciones
internacionales también debe cumplir las condiciones de las demás disposiciones
del RGPD.
18. El
artículo 5(1) del RGPD establece los principios generales y obligatorios para
el tratamiento de datos personales. Según el artículo 5(2), el responsable
del tratamiento es responsable del cumplimiento de las obligaciones
establecidas en el apartado 1 (esto también aplica cuando las actividades de
tratamiento se realizan a través de un encargado del tratamiento). Según el
artículo 5(1), todo tratamiento de datos personales debe tener una base
jurídica conforme al artículo 6. Por lo tanto, se requiere un análisis jurídico
para cada situación específica.
19. El
caso descrito en el artículo 48 presupone la existencia de una sentencia de un
tribunal o una decisión de una autoridad administrativa de un tercer país
que exige a un responsable o encargado del tratamiento en la UE la
transferencia o divulgación de datos personales. Además, esta solicitud de una autoridad
de un tercer país solo podrá ser reconocida o ejecutable si se basa en un
acuerdo internacional, que puede otorgarle el carácter de una obligación legal
a la que está sujeto el responsable, cuyo incumplimiento tendría consecuencias
jurídicas. Cuando el tratamiento de datos personales se realiza para cumplir
una obligación legal, el artículo 6, apartado 1, letra c), proporciona
una base jurídica explícita. En consecuencia, el CEPD considera que, para el
caso descrito en el artículo 48, cuando exista un acuerdo internacional
aplicable, el artículo 6, apartado 1, letra c), junto con el artículo 6,
apartado 3, sería la base jurídica adecuada para la transferencia, siempre que
se cumplan las condiciones de estas disposiciones.
20. En
los casos en que no exista una obligación legal derivada de un acuerdo
internacional para el responsable del tratamiento, se podrá recurrir a otras
bases jurídicas en virtud del artículo 6, siempre que se cumplan los requisitos
legales establecidos en el capítulo V del RGPD. No obstante, la aplicación de
estas otras bases jurídicas debe examinarse cuidadosamente caso por caso.
Debido al gran número de situaciones posibles, las afirmaciones generales sobre
la aplicabilidad del artículo 6 solo pueden hacerse de forma muy limitada.
21. En
principio, el consentimiento conforme al artículo 6(1)(a) podría considerarse
como base jurídica para una transferencia a terceros países. Sin embargo, el
uso del consentimiento como base jurídica suele ser inadecuado en ciertos
ámbitos, especialmente si el tratamiento de los datos está relacionado con el
ejercicio de la potencia de laautoridad [9].
22. La
aplicación del artículo 6(1)(b) parece estar excluida únicamente por su
redacción. Por lo tanto, el CEPD considera que una entidad privada en la
UE no puede invocar el artículo 6(1)(b) como base
jurídica adecuada para responder a una solicitud de transferencia o divulgación
de una autoridad de un tercer país.
23. En
situaciones en las que la divulgación basada en un acuerdo internacional no sea
obligatoria, pero dicha cooperación esté permitida por el Derecho de la UE
o de los Estados miembros, el artículo 6(1)(e) podría
utilizarse como base jurídica para el tratamiento de datos personales, ya
que puede considerarse necesario para el cumplimiento de la tarea realizada en
interés público . [10] En tales
casos, el tratamiento debe basarse en el Derecho de la Unión o de los
Estados miembros, como exige el artículo 6(3) del RGPD.
24. En
cuanto al artículo 6(1)(d), el CEPD reconoce que, en
circunstancias específicas y establecidas, los intereses vitales
del interesado podrían invocarse como base jurídica para una
transferencia de datos personales a raíz de una solicitud de un tercer país,
siempre que se cumplan [11] las
condiciones establecidas en el derecho internacional. En cuanto
al interés vital de otras personas, el CEPD recuerda que «el
tratamiento de datos personales basado en el interés vital de otra persona
física solo debe tener lugar, en principio, cuando dicho tratamiento no pueda
fundamentarse manifiestamente en otra base jurídica». [12].
25. Dependiendo
del caso, el CEPD asume que podría invocarse el artículo 6(1)(f) para
transferencias o divulgaciones a autoridades de terceros países en [13]circunstancias
excepcionales . A tal efecto, el CEPD recuerda que cualquier tratamiento basado
en los intereses legítimos del responsable del tratamiento o de terceros debe
ser necesario y estar equilibrado con los intereses o los derechos y libertades
fundamentales del interesado [14] El resultado
de la prueba de equilibrio determina si puede invocarse la base jurídica
del interés legítimo para el tratamiento.
En
principio, cualquier tratamiento basado en el interés legítimo se limitará en
cualquier caso a lo que sea demostrablemente necesario para perseguir ese
interés específico del responsable o del tercero.
26. A
pesar de que, en algunos casos, un responsable del tratamiento puede tener un
interés legítimo en cumplir una solicitud de divulgación de datos personales a
una autoridad de un tercer país, un empresario privado, actuando como
responsable del tratamiento, no puede ampararse en el artículo 6(1)(f) para la
recopilación y el almacenamiento de datos personales de forma preventiva con el
fin de poder compartir dicha información, previa solicitud, con las autoridades
policiales para prevenir, detectar y perseguir delitos, cuando dichas
actividades de tratamiento no estén relacionadas con sus propias actividades
(económicas y comerciales)[15] Además,
el CEPD, en relación con una situación específica, ha considerado previamente
que los intereses o los derechos y libertades fundamentales del interesado
en esas circunstancias particulares prevalecería sobre el interés del
responsable del tratamiento de adherirse a la solicitud de una autoridad
encargada de hacer cumplir la ley de un tercer país para evitar sanciones por
incumplimiento [16].
5.1 Cumplimiento del Capítulo V del RGPD
27. Como
ya se ha indicado, el artículo 48 debe interpretarse en conjunción con el
artículo 44, el principio general para las transferencias que introduce el
capítulo. El artículo 44 establece las siguientes condiciones para las
transferencias en virtud del RGPD: toda transferencia está sujeta a las demás
disposiciones pertinentes del RGPD y debe cumplir las condiciones establecidas
en el capítulo V (la prueba de los dos pasos), «para garantizar que no
se menoscabe el nivel de protección de las personas físicas garantizado por el
Reglamento». Las disposiciones sobre transferencias internacionales
están diseñadas para garantizar que se mantenga el alto nivel de protección de
los datos personales dentro de la UE cuando se transfieren a terceros países
con sistemas jurídicos y normas de protección de datos diferentes.
28. A
tal efecto, el Capítulo V enumera los motivos para las transferencias,
comenzando por las decisiones de adecuación de la Comisión Europea de
conformidad con el artículo 45. Si no existe una decisión de adecuación, se
podrán establecer garantías adecuadas mediante alguno de los instrumentos de
transferencia previstos en el artículo 46. En ausencia de una decisión de
adecuación o de garantías adecuadas, las excepciones del artículo 49 podrían
aplicarse en un número limitado de situaciones específicas.
29. A
diferencia de las demás disposiciones del Capítulo V, el Artículo 48 no
constituye un fundamento para la transferencia. La disposición en sí no
contiene garantías de protección de datos, pero aclara que las decisiones o
sentencias de autoridades de terceros países no pueden reconocerse ni
ejecutarse en la UE a menos que un acuerdo internacional lo disponga. Por lo
tanto, antes de responder a una solicitud de una autoridad de un tercer país
contemplada en el Artículo 48, el responsable o encargado del tratamiento en la
UE debe identificar un fundamento aplicable para la transferencia en otra parte
del Capítulo V.
30. Según
el artículo 46(2)(a), se pueden establecer garantías adecuadas mediante un
instrumento jurídicamente vinculante y exigible entre autoridades u
organismos públicos, es decir, un acuerdo internacional en el sentido del
artículo 48. Dichos acuerdos son celebrados por los Estados y tradicionalmente
permiten la cooperación entre autoridades públicas, pero también pueden prever
la cooperación directa entre entidades privadas y autoridades públicas[17] Si
un acuerdo internacional contempla la cooperación entre el responsable o el
encargado del tratamiento en la UE y la autoridad del tercer país solicitante,
dicho acuerdo puede servir de base para la transferencia si establece las
garantías adecuadas de conformidad con el artículo 46(2)(a).
31. El
CEPD ha elaborado una lista de garantías mínimas que deben incluirse en los
acuerdos internacionales contemplados en el artículo 46(2)(a). Dichas garantías
deben garantizar que los interesados cuyos datos personales se transfieran
reciban un nivel de protección esencialmente equivalente al garantizado en la
UE/EEE[18].
En consecuencia, los acuerdos internacionales que contemplan transferencias de
datos personales deben exigir, entre otras cosas, que ambas partes garanticen
los principios fundamentales de protección de datos, es decir, garantizar
derechos exigibles y efectivos para los interesados, incluir restricciones a
las transferencias ulteriores y al intercambio de datos, incluir garantías
adicionales para los datos sensibles y establecer mecanismos independientes de
reparación y supervisión[19].
Las garantías adecuadas pueden incluirse directamente en el acuerdo
internacional, que prevé la cooperación directa entre el responsable o el
encargado del tratamiento y las autoridades del tercer país, o en un
instrumento jurídicamente vinculante independiente. Las garantías
adecuadas pueden incluirse directamente en el acuerdo internacional,
que prevé la cooperación directa entre el responsable o el encargado del
tratamiento y las autoridades del tercer país, o en un instrumento
jurídicamente vinculante independiente.
32. El
artículo 48 se refiere a un acuerdo internacional «sin perjuicio de otros
motivos de transferencia con arreglo al presente Capítulo». En opinión del
CEPD, en relación con los requisitos del Capítulo V [20], esta
redacción podría abarcar dos posibles situaciones:
-
En primer lugar, si no existe un acuerdo internacional que
prevea la cooperación entre el responsable o el encargado del tratamiento
y la autoridad del tercer país, una transferencia a una autoridad del tercer
país debe basarse en otra base jurídica según el artículo 6 del RGPD y en otro
motivo para la transferencia según el capítulo V.
-
En segundo lugar, si existe un acuerdo internacional que establece
la base jurídica del artículo 6, pero no contiene las garantías
adecuadas de conformidad con el artículo 46(2)(a) y las Directrices del
CEPD 2/2020, el responsable del tratamiento debe identificar otro motivo para
la transferencia en el Capítulo V.
33. En
ausencia de una decisión de adecuación aplicable[21] En cuanto a las garantías adecuadas,
el artículo 49 del RGPD ofrece un número limitado de situaciones específicas en
las que pueden realizarse transferencias, por ejemplo, si son necesarias por
razones importantes de interés público o para el ejercicio o la defensa de
reclamaciones [22] Sin embargo,
como se explicó en directrices previas emitidas por el CEPD, las excepciones
del artículo 49 del RGPD deben interpretarse de forma restrictiva y se refieren
principalmente a actividades de tratamiento ocasionales y no repetitivas[23].
[1] Las
referencias a «UE» y «Estados miembros» realizadas a lo largo de este documento
deben entenderse como referencias a «EEE» y a «Estados
miembros del EEE», respectivamente.
[2] El
artículo 48 se refiere a «transferencias o divulgaciones». Por lo tanto, esta
será la terminología utilizada en el texto de estas
directrices, si bien el CEPD aclaró en sus Directrices 05/2021 que una
divulgación de datos personales se considera una transferencia siempre que se
cumplan los tres criterios de las directrices (véase la parte 2.2 de las
Directrices 05/2021 del CEPD sobre la interacción entre la aplicación del
artículo 3 y las disposiciones sobre transferencias internacionales según el
capítulo V del RGPD).
[3] A efectos de aplicación de la ley y seguridad
nacional, el intercambio de datos se produce habitualmente entre las autoridades implicadas, por lo que el artículo 48 no es
aplicable, ya que este tipo de transferencias no entran en el ámbito de
aplicación del RGPD. Por consiguiente, el CEPD reitera su postura, expresada en
sus directrices sobre el artículo 49 del RGPD, en el sentido de que: «En
situaciones en las que exista un acuerdo internacional, como un tratado de
asistencia judicial recíproca (MLAT), las empresas de la UE deberían, por lo
general, rechazar las solicitudes directas y remitir a la autoridad del tercer
país solicitante a un tratado o acuerdo de asistencia judicial recíproca
vigente». Sin embargo, recientemente se ha observado una tendencia a
negociar acuerdos internacionales que también contemplan las solicitudes
directas de las autoridades policiales de terceros países para el acceso a
datos personales tratados por entidades privadas en la UE, por ejemplo, el
Segundo Protocolo Adicional del Convenio sobre la Ciberdelincuencia relativo a
la cooperación reforzada y la divulgación de pruebas electrónicas (CETS n.º
224).
[4] Por
ejemplo, cuando se trata de cooperación con autoridades policiales de un tercer
país, también se aplicarían las normas de procedimiento penal del Estado
miembro de la entidad que recibe la solicitud.
[5] En
lo que respecta a los acuerdos internacionales celebrados por la Unión, véase
la sentencia del TJUE en el asunto C-327/91, República
Francesa contra Comisión, apartado 27. En relación con el artículo 228 del
Tratado CEE, el TJUE señala que dicho artículo utiliza el término «acuerdo» en
sentido general para indicar cualquier compromiso celebrado por entidades
sujetas al Derecho internacional y que tenga fuerza vinculante, sea cual sea su
denominación formal.
[6] Esta redacción refleja las normas de derecho
internacional, según las cuales una decisión de un tribunal, tribunal o autoridad administrativa nacional carece de efectos jurídicos
en otras jurisdicciones, salvo que un acuerdo internacional aplicable así lo
disponga. Por lo tanto, cuando las sentencias o decisiones de un tercer país se
dirijan a entidades de la UE, debe existir un acuerdo internacional entre dicho
tercer país y la UE o el Estado miembro en cuestión para que dichas sentencias
o decisiones sean reconocidas y ejecutables con arreglo al Derecho de la Unión
o de los Estados miembros. No obstante, la necesidad de un acuerdo
internacional para que una sentencia o decisión de un tercer país sea
reconocida y ejecutable debe distinguirse de la cuestión de si los datos
personales, incluso en ausencia de dicho acuerdo, pueden transferirse
legalmente a un tercer país.
[7] Véase
también a tal efecto la Respuesta Conjunta del CEPD y el SEPD al Comité LIBE
sobre el impacto de la Ley de la Nube de los Estados Unidos en el marco
jurídico europeo de protección de datos personales (anexo), página 3.
[8] Véase la Respuesta Conjunta del CEPD y el SEPD
al Comité LIBE sobre el impacto de la Ley de la Nube de EE. UU. en el marco jurídico europeo de protección de datos personales, pág.
3. Véanse las Directrices 2/2018 del CEPD sobre las excepciones al artículo 49
del Reglamento 2016/679, adoptadas el 25 de mayo de 2018.
[9] Véase
a tal efecto el artículo 28(3)(a) del RGPD y las Directrices del CEPD 07/2020
sobre los conceptos de responsable y encargado del tratamiento en el RGPD,
adoptadas el 7 de julio de 2021.
[10]
Véase en este contexto el concepto jurídico del considerando 43, apartado 1,
relativo al requisito del consentimiento libremente otorgado. Esto se aplica con mayor razón si el caso se refiere a organismos
públicos de terceros países. Véase también la Respuesta Conjunta del CEPD y el
SEPD a la Comisión LIBE sobre el impacto de la Ley de la Nube de EE. UU. en el
marco jurídico europeo para la protección de datos personales, nota a pie de
página 28.
[11] Véase, por ejemplo, el artículo 6 del Segundo
Protocolo Adicional del Convenio sobre la Ciberdelincuencia relativo a la
cooperación reforzada y la divulgación de pruebas
electrónicas (STCE nº 224).
[12] Este
podría ser, por ejemplo, el caso de solicitudes de acceso a datos personales
relativos a menores secuestrados u otras situaciones en las
que la transferencia redunde en interés vital de los propios interesados.
[13] Considerando
46 del RGPD.
[14] Para obtener más información, consulte las Directrices
del CEPD 1/2024 sobre el procesamiento de datos personales según el artículo
6(1)(f) del RGPD (versión 1.0) adoptadas el 8 de octubre de
2024.
[15] La
evaluación del impacto en los intereses del interesado tendrá en cuenta las
posibles consecuencias (potenciales o reales) del
tratamiento de datos para este, los principios de proporcionalidad en materia
de protección de datos, así como elementos como, por ejemplo, la gravedad de
los presuntos delitos que puedan notificarse, el alcance de la solicitud, las
normas y garantías procesales aplicables en el tercer país, y las salvaguardias
de protección de datos aplicables. Dicha evaluación también prestará especial
atención a la naturaleza de los datos personales tratados y a la forma en que
se tratan. Además, el RGPD introdujo la necesidad de tener en cuenta las
expectativas razonables del interesado. Para más información sobre la necesidad
y la prueba de equilibrio, véanse también las Directrices del CEPD 1/2024 sobre
el tratamiento de datos personales con base en el artículo 6(1)(f) del RGPD
(versión 1.0), adoptadas el 8 de octubre de 2024.
[16] Sentencia
del Tribunal de Justicia (Gran Sala) de 4 de julio de 2023, Meta Platforms Inc
y otros contra Bundeskartellamt, Asunto C-252/21, apartados 124 y 132.
[17] Véase la posición del CEPD ya expresada en el
ámbito de la aplicación de la ley y la seguridad nacional en la Respuesta conjunta del CEPD y el SEPD al Comité LIBE sobre el
impacto de la Ley de la Nube de los EE. UU. en el marco jurídico europeo para
la protección de datos personales.
[18] El
CEPD desconoce la existencia de numerosos acuerdos internacionales de este
tipo. Un ejemplo sería el Segundo Protocolo Adicional del Convenio sobre la
Ciberdelincuencia, del Consejo de Europa, relativo a la cooperación reforzada y
la divulgación de pruebas electrónicas (CETS n.º 224), que, sin embargo, aún no
ha entrado en vigor.
[19] Tribunal de Justicia de la Unión Europea,
asunto C-311/18, Data Protection Commissioner c. Facebook Ireland y Maximillian Schrems ("Schrems II"), apartado 96.
[20] En
caso de duda sobre la existencia de un acuerdo internacional y su naturaleza,
las entidades de la UE que reciban una solicitud podrán
ponerse en contacto y consultar a sus autoridades nacionales pertinentes (por
ejemplo, Ministerio de Justicia, Ministerio de Asuntos Exteriores, autoridades
de supervisión sectorial, etc.).
[21] Véase
a este respecto la parte 2 de las Directrices 2/2020 sobre los artículos 46 (2)
(a) y 46 (3) (b) del Reglamento 2016/679 para las transferencias de datos
personales entre autoridades y organismos públicos del EEE y de fuera del EEE,
versión 2.0; adoptadas el 15 de diciembre de 2020.
[22] Con
respecto al artículo 6 del RGPD, podría haber una tercera situación en la que
exista un acuerdo internacional que no proporcione una base
jurídica adecuada según los artículos 6(1)(c) o 6(1)(e) del RGPD, por ejemplo,
porque las disposiciones pertinentes del acuerdo no son lo suficientemente
específicas (por ejemplo, no reflejan los elementos enumerados en Artículo 6(3) del RGPD).
[23] La
evaluación de si una decisión de adecuación es aplicable debe realizarse caso
por caso, teniendo en cuenta en particular el alcance de la
decisión de adecuación.
[24] Véase
el artículo 49(1)(d) y (e) del RGPD.
[25] Véanse
las Directrices 2/2018 sobre excepciones al artículo 49 en virtud del
Reglamento 2016/679, adoptadas el 25 de mayo de 2018.
No hay comentarios:
Publicar un comentario