Por: Andrea Moril Pellicer, responsable Área Legal GB Consultores.
En noviembre de 2.006 comienzan las primeras negociaciones para la celebración de un Acuerdo entre la Unión Europea (UE) y los Estados Unidos de América (EE.UU.) sobre la protección de los datos personales con el fin de prevenir, investigar, detectar o perseguir infracciones penales, incluido el terrorismo, en el marco de la cooperación policial y judicial en materia penal.
Surge así el hoy imperativo y vinculante Acuerdo entre EEUU y la UE sobre la protección de datos personales (Decisión UE 2016/2220 del Consejo de 2 de diciembre 2016) estableciendo, por primera vez, un marco general de principios y salvaguardias de la protección de datos en los casos en los que los datos personales se transfieren a efectos policiales o judiciales entre los Estados Unidos, por una parte, y la Unión Europea y sus Estados miembros, por otra.
Este Acuerdo se presenta con un doble objetivo: garantizar un alto nivel de protección de los datos, reforzando la cooperación entre las Partes; al tiempo que representa una mejora sustancial en comparación con la situación actual, en la que los datos personales se transfieren a través del Atlántico sobre la base de instrumentos jurídicos (acuerdos internacionales o legislación nacional) que generalmente contienen pocas o ninguna disposición sobre protección de datos. Esto constituye una garantía importante para el futuro evitando que las salvaguardias, la protección y los derechos tengan que negociarse en cada nuevo Acuerdo.
Además, en lo que respecta a la prevención delictiva -por ejemplo, la comisión de un delito contra la intimidad, susceptible de ser imputable a la persona jurídica-, es equiparable a la legislación en materia de cumplimiento normativo -responsabilidad penal de las personas jurídicas y Compliance Officer– y, cumplimiento de la normativa nacional que se refiere a la protección de datos (LOPD-Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal). La adopción de medidas como las propuestas en el presente Acuerdo supondrá el establecimiento de las garantías necesarias que protegiesen de forma eficaz la transferencia de datos que puede efectuarse entre empresas con motivo de la celebración de un acuerdo determinado como, entre otros, un acuerdo de colaboración.
Marco global: política sectorial
Al establecer un marco global de garantías en relación con la protección de datos, el Acuerdo servirá de complemento a los acuerdos existentes (tanto los acuerdos bilaterales entre los Estados miembros y los EE.UU., como acuerdos UE-EE.UU.) sobre cuya base se envían datos personales con fines policiales, en los casos y en la medida en que no exista el nivel necesario de protección y salvaguardias.
Además, el Acuerdo prevé una «red de seguridad» para los futuros acuerdos aportando un valor añadido considerable en términos de refuerzo del nivel de protección de los titulares de los datos en consonancia con los requisitos del Derecho primario y secundario de la UE.
Con ello, se contribuye a la continuidad en la cooperación policial, con el establecimiento de normas comunes en este importante pero complejo ámbito de cooperación, lo que constituye un logro importante que puede contribuir de manera significativa a restaurar la confianza en los flujos de datos transatlánticos.
Ámbito de aplicación
El Acuerdo se aplica a la transferencia de datos personales entre autoridades de ambas partes que sean responsables de infracciones penales. Siempre debe tenerse en cuenta la normativa propia de cada parte, siendo en el caso de España, la actual LOPD (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal).
Cumplimiento normativo: L.O. 1/2015, del Código Penal y LOPD.
Para la transferencia de datos entre partes deberán adoptarse todas las medidas de seguridad oportunas, de conformidad con su normativa vigente, y siempre bajo unos fines específicos autorizados. Entre las medidas que se adopten debe encontrarse:
(i) la inclusión de salvaguardias adecuadas en relación con la autorización necesaria para acceder a los datos personales,
(ii) la notificación a la autoridad competente de transferencia,
(iii) la notificación a la persona cuyos datos personales se han transferido.
Los datos de carácter personal especialmente sensibles (datos que revelen origen racial o étnico, opiniones políticas/religiosas, salud o vida sexual) se trasferirán con las mayores garantías posibles, entre las que se incluyen la restricción de los fines para los cuales pueden tratarse dichos datos y el bloqueo de datos tras haberse cumplido su fin, entre otras.
Se crea o se designará en cada Estado, una autoridad competente de supervisión, las cuales tendrán entre sus funciones la revisión, investigación e intervención de tratamiento de datos personales. Se establece que, en concreto, la UE llevará a cabo la supervisión por medio de sus autoridades de protección de datos y la de los Estados miembros. Cada parte deberá informar de toda designación efectuada.
De esta manera, es recomendable la adopción de medidas como las propuestas en este Acuerdo para el tratamiento de datos personales a nivel privado (principalmente empresas y otras personas jurídicas), en aras a la aplicación de medidas uniformes y recomendadas por un Acuerdo que resulta aplicable para autoridades tanto de EE.UU. como de la UE, lo que implicaría que fuesen medidas altamente recomendables para un correcto tratamiento de datos personales, y, en consecuencia, medidas altamente recomendables para que se eviten o prevengan delitos.
