Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
RESUMEN
La Ley de Aplicación del artículo 37 de la Directiva de Servicios Digitales se refiere a Auditorías independientes que los prestadores de plataformas en línea y de motores de búsqueda en línea de muy gran tamaño deben realizar anualmente. Estas Directrices fueron publicadas el 19 de junio último en el sitio web del Comité Europeo de Protección de Datos, CEPD. Según estas, los prestadores de plataformas en línea y de los motores de búsqueda se someterán, a su propia costa y al menos una vez al año, a auditorías independientes para evaluar el cumplimiento de las obligaciones establecidas en el Capítulo III Obligaciones de diligencia debida para crear un entorno en línea transparente y seguro.
De las Directrices contenidas en treintaitrés (33) folios, el suscrito ha traducido del inglés al castellano el Resumen Ejecutivo con la ayuda del aplicativo Google Traductor. El texto original y algunos enlaces a otras fuentes se encuentra en: https://www.edpb.europa.eu/system/files/2024-06/edpb-guidelines-202301_art_37_led_final_en.pdf
El CEPD concluye que el artículo 37 de la Law Enforcement Directive, LED (Ley de Aplicación de la Directiva) exige un nivel esencialmente equivalente de protección de datos en el tercer país u organización internacional receptor, exigencia que amplía el alcance nacional de la práctica auditora.
A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico: cferreyros@hotmail.com
___________________________________________________________________
Directrices 01/2023 sobre el artículo 37 de la Directiva de aplicación de la ley
Versión 2.0 D
Adoptada el 19 de junio de 2024
Resumen ejecutivo
Estas directrices proporcionan orientación sobre la aplicación del artículo 37 de la LED, en particular sobre la norma jurídica para las salvaguardias adecuadas que deben aplicar las autoridades competentes de conformidad con el artículo 37, apartado 1, letras a) y b) de la LED[1] y, en consecuencia, sobre los factores pertinentes para evaluar si existen tales salvaguardias. Por lo tanto, estas directrices incluyen una indicación de las expectativas que el CEPD tiene de los Estados miembros, como partes negociadoras, cuando prevén celebrar o modificar un instrumento jurídicamente vinculante entre el Estado miembro en cuestión y un tercer país u organización internacional de conformidad con el artículo 37, apartado 1. (a) LED.
El CEPD señala que el artículo 35, apartado 3, de la LED se aplica a las transferencias realizadas en virtud del artículo 37 de la LED. Por lo tanto, el artículo 37 LED debe aplicarse a la luz del principio de que el nivel de protección de datos aplicable en la Unión Europea no debe verse socavado por la transferencia de datos personales a otra jurisdicción. El CEPD concluye que el artículo 37 LED exige un nivel esencialmente equivalente de protección de datos en el tercer país u organización internacional receptor. Sin embargo, este requisito se relaciona con la transferencia de datos específica o la categoría de transferencias en cuestión. De conformidad con el artículo 37 de la LED, debe garantizarse una equivalencia esencial con la protección garantizada en virtud de la LED para ese caso particular y no necesariamente con respecto a toda la legislación vigente en el tercer país u organización internacional.
El CEPD ya ha adoptado Recomendaciones sobre el referencial de adecuación en el marco de la LED, que abordan qué principios de protección de datos deben estar presentes para garantizar una equivalencia esencial con el marco de la UE dentro del alcance de la LED. El CEPD considera que los principios y salvaguardias esbozados en estas Recomendaciones se aplican sustancialmente en el contexto del artículo 37 LED, es decir, con respecto a la transferencia específica o categoría de transferencias.
Un instrumento jurídicamente vinculante en el sentido del artículo 37, apartado 1, letra a), de la LED debe ser celebrado por la entidad facultada para contraer obligaciones con respecto a las salvaguardias previstas en el instrumento. Por tanto, el acuerdo internacional debería tener fuerza de ley. Dicho instrumento legalmente vinculante puede ser ejecutado por las Partes y por los interesados cuyo procesamiento de datos personales se rige por el acuerdo. El instrumento jurídicamente vinculante debe contener todas las normas pertinentes que permitan superar cualquier deficiencia o limitación de la legislación del tercer país u organización internacional en términos de protección de datos mediante el establecimiento de un marco de salvaguardias adecuados que proporcionen un nivel esencialmente equivalente de protección de datos.
El CEPD considera que el uso de un instrumento jurídicamente vinculante que regule las transferencias de datos personales entre las Partes debería, en ausencia de una decisión de adecuación, tener prioridad, en principio, sobre una evaluación por parte del responsable del tratamiento de conformidad con el artículo 37, apartado 1, letra b). LED ya que proporciona más seguridad jurídica, transparencia, previsibilidad, estabilidad, coherencia y garantías sobre la aplicación efectiva de las salvaguardas en materia de protección de datos.
En este contexto, el CEPD recuerda su Declaración sobre acuerdos internacionales que incluyen transferencias, adoptada el 13 de abril de 2021, invitando a los Estados miembros a evaluar y, cuando sea necesario, revisar sus acuerdos internacionales que impliquen transferencias internacionales de datos personales. El CEPD subraya que se debe considerar el objetivo de adaptar dichos acuerdos a los requisitos de la LED para las transferencias de datos, cuando este aún no sea el caso, para garantizar que el nivel de protección de las personas físicas garantizado por la LED no se vea socavado cuando los datos personales se transfieran fuera de la Unión.
Con respecto al artículo 37, apartado 1, letra b), de la LED y a la luz de las mayores garantías antes mencionadas que ofrecen los instrumentos jurídicamente vinculantes, las autoridades competentes sólo podrán basarse en dicha evaluación cuando esto se basa en un análisis cuidadoso del marco jurídico y las prácticas pertinentes que demuestren que las transferencias en cuestión están sujetas a salvaguardias adecuadas. Al evaluar los riesgos que rodean las transferencias a los efectos del artículo 37, apartado 1, letra b), de la LED, las autoridades competentes deben examinar la protección de los datos personales que se van a transferir, teniendo en cuenta los riesgos que su intercambio con terceros países plantea para los derechos fundamentales y libertades de los interesados, sus intereses legítimos y los de otras personas interesadas. Conocer en detalle las circunstancias que rodean las transferencias de datos realizadas o por realizar es necesario para poder identificar estos riesgos para los derechos y libertades de las personas físicas, y en particular para el derecho a la protección de datos, y las salvaguardias adecuadas para mitigarlos a ellos.
Como ocurre con cualquier otra operación de procesamiento, una autoridad competente debe conocer y considerar de manera granular la naturaleza, el alcance, el contexto y los propósitos de la transferencia. Más específicamente, las autoridades competentes pueden analizar y categorizar sus transferencias teniendo en cuenta características relevantes para evaluar los riesgos que plantean los derechos fundamentales de los interesados, como los fines específicos de la transferencia, la cantidad de datos transferidos o la gravedad de un delito penal.
Puede haber casos en los que ya se deriven salvaguardias adecuadas de los compromisos internacionales, la legislación y las prácticas del tercer país. En otros casos, las autoridades competentes pueden necesitar proporcionar, en la medida en que sean legalmente competentes, salvaguardias adicionales a la luz de las características de la transferencia específica mencionada anteriormente, para garantizar un nivel de protección esencialmente equivalente al garantizado bajo las LED y las normas nacionales. El compromiso de la autoridad receptora del tercer país de respetar y cumplir dichas salvaguardias adicionales es necesario para que sean efectivas.
El hecho de que los mecanismos de transferencia previstos en los artículos 36 a 38 LED operen en cascada con carácter general también afecta las obligaciones de rendición de cuentas del responsable del tratamiento. Las obligaciones de rendición de cuentas del responsable del tratamiento cuando se basa en el artículo 37, apartado 1, letra b), de la LED se ven reforzadas de conformidad con el artículo 37, apartados 2 y 3, de la LED porque es el único responsable del tratamiento quien determina, basándose en su propia evaluación, si es apropiado existen salvaguardas. Esto implica mayores riesgos de inconsistencias, menor transparencia y menor seguridad jurídica para los interesados en comparación con las transferencias legalmente enmarcadas en decisiones de adecuación o instrumentos legalmente vinculantes.
Con respecto a la obligación impuesta por el artículo 37, apartado 2, de la LED y teniendo en cuenta la razón que justifica la adopción de esta disposición, las autoridades competentes deben informar periódicamente a sus autoridades de protección de datos sobre las categorías de transferencias que se llevaron a cabo conforme al artículo 37, apartado 1. (b) LED. La información presentada debe incluir las autoridades competentes receptoras, así como el número de transferencias. Esto permitiría a las autoridades de supervisión tener una visión general y centrar su acción con respecto a un posible control de legalidad «ex post» en categorías específicas de transferencias.
[1] REGLAMENTO (UE) 2022/2065 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales). Artículo 37 Auditoría independiente 1. Los prestadores de plataformas en línea de muy gran tamaño y de motores de búsqueda en línea de muy gran tamaño se someterán, a su propia costa y al menos una vez al año, a auditorías independientes para evaluar el cumplimiento de lo siguiente: a) las obligaciones establecidas en el capítulo III; b) cualquier compromiso contraído en virtud de los códigos de conducta a que se refieren los artículos 45 y 46 y los protocolos de crisis a que se refiere el artículo 48.