Analizaremos la Opinión preliminar que el pasado 12 de febrero de 2016 emitió el Supervisor Europeo de Protección de Datos (“SEPD”) sobre el acuerdo al que en Septiembre de 2015 llegaron EEUU y la UE sobre la protección de los datos personales cuando estos son transferidos para finalidades relacionadas con la prevención, investigación, detección y persecución de delitos penales (“Umbrella Agreement”).
1. Antecedentes
En Diciembre de 2010 el Consejo Europeo autorizó a la Comisión Europea para abrir las negociaciones entre la EU y EEUU, con el fin de llegar a un acuerdo para garantizar la protección de los datos personales cuando éstos son transferidos y tratados en el marco de la cooperación judicial, para finalidades de prevención, investigación, detección y persecución de delitos penales, incluido el terrorismo (“Umbrella Agreement”).
Dichas negociaciones comenzaron oficialmente el 29 de marzo de 2011, siendo el “Umbrella Agreement” finalmente adoptado el 8 de septiembre de 2015. No obstante lo anterior, el acuerdo no será firmado hasta que no se apruebe la ley estadounidense sobre recursos judiciales (US Judicial Redress Act), por lo que puede ser modificado hasta entonces.
El SEPD ha publicado una opinión preliminar sobre este acuerdo, cuyas principales conclusiones pueden resumirse en las siguientes: (i) deberían mejorarse tres puntos esenciales y (ii) deberían clarificarse otros aspectos relevantes. Analizaremos dichos aspectos de mejora y recomendaciones a continuación.
Una vez implementadas estas recomendaciones, el SDP estima que el “Umbrella Agreement” será respetuoso con los principios constitucionales de la UE.
2. Aspectos que, conforme al SEPD, deberían mejorarse
Con el fin de que el “Umbrella Agreement” permita asegurar el cumplimiento de la Carta de Derechos Fundamentales de la Unión Europea (“Carta”) y el Tratado de Funcionamiento de la Unión Europea (“TFUE”), el SEPD entiende que deben llevarse a cabo las siguientes modificaciones al acuerdo:
- Clarificación de que todas las garantías aplican a todas las personas, no sólo a los nacionales de la UE.
- Aseguramiento de que las provisiones sobre los recursos judiciales son efectivas conforme a lo establecido en la Carta.
- Clarificación de que las transferencias internacionales en bloque no están autorizadas.
Asimismo el SEPD establece recomendaciones adicionales tales como:
- Que en caso de que exista conflicto entre las garantías previstas en el “Umbrella Agreement” y las bases legales previstas para las transferencias internacionales, el “Umbrella Agreement” prevalezca;
- Que las definiciones sobre el tratamiento de datos estén alineadas con las que se entienden conforme la legislación de la UE;
- Que se especifique la limitación de la conservación de los datos “a la finalidades específicas para los que fueron transferidos”;
- Que se incluya un listado orientativo sobre cuáles son las “condiciones específicas” en las que se permite que los datos sean transferidos en bloque;
- Que EEUU y UE consideren incrementar sus esfuerzos para que el acceso a los datos esté limitado a (i) los casos en los que sea indispensable para preservar los intereses públicos enumerados en el Acuerdo y (ii) el reforzamiento de las obligaciones de transparencia.
- Que se incluya una declaración explicativa sobre (i) cuáles son las autoridades que tienen competencia en la materia de aplicación del Acuerdo, (ii) qué facultades tienen estas autoridades en concreto y (iii) la identidad y coordenadas de los puntos de contacto que ayuden a identificar a dichas autoridades que se han señalado como competentes.
3. Vinculación con otros acuerdos
A pesar de que la Opinión del SEPD versa específicamente sobre el “Umbrella Agreement” y, por tanto, se limita a las transferencias internacionales de datos para finalidades relacionadas exclusivamente con la prevención, investigación, detección y persecución de delitos, efectúa determinadas menciones, o puede tener implicaciones en el denominado “Privacy Shield” que se está también negociando entre EUU y UE para las transferencias internacionales de datos en el marco de relaciones comerciales, en sustitución del recientemente invalidado “Safe Harbor”.
Así, el “Umbrella Agreement” y el “Privacy Shield”, junto con otros acuerdos específicos como el “Passengers Name Records”, forman parte de un conjunto de acuerdos independientes pero vinculados que las instituciones están adoptando para garantizar la protección de los datos personales en el marco de las transferencias entre EEUU y EU.