El Comité Europeo de Protección de Datos (EDPB) adoptó en su última sesión plenaria el Dictamen sobre determinadas obligaciones derivadas de la relación entre el responsable, el ejecutor y el subencargado, las Directrices sobre el interés legítimo, la declaración sobre el establecimiento normas procesales adicionales para la aplicación del Reglamento general sobre protección de datos y el programa de trabajo del CEPD para el período 2024-2025. Además, se adoptó la solicitud de la Agencia de Información y Privacidad de Kosovo de convertirse en observador en las actividades del Consejo Europeo de Protección de Datos (EDPB).
El director de la Agencia de Protección de Datos Personales y el vicepresidente del Consejo Europeo de Protección de Datos, Zdravko Vukić, apoyaron plenamente la concesión del estatuto de observador a la autoridad supervisora de Kosovo. Destacó que la Agencia de Información y Privacidad de Kosovo cumple todos los criterios prescritos, es decir, que la Agencia funciona de forma independiente y que al Comité le interesa que el organismo supervisor de Kosovo actúe como observador, y que Kosovo es un candidato potencial. para ser miembro de la UE, que ha asumido obligaciones internacionales vinculantes para armonizar plenamente sus normas de protección de datos con las de la UE.
«Una de las prioridades de la Agencia de Protección de Datos Personales es mejorar los estándares de protección de datos en los Balcanes Occidentales de acuerdo con los estándares de la UE. Hemos realizado esfuerzos considerables en Macedonia del Norte y estamos dispuestos a hacer lo mismo en Kosovo. La armonización de las normas de protección de datos personales en los Balcanes Occidentales con las normas de la UE es importante para toda la UE y los miembros del CEPD. Creo que conceder el estatus de observador a Kosovo contribuirá significativamente a este objetivo y mejorará aún más las prácticas de protección de datos en la región», afirmó el vicepresidente del CEPD, Zdravko Vukić, y destacó que hasta ahora la Agencia de Protección de Datos Personales ha cooperado con éxito con la Oficina de Información y Privacidad. Agencia.
El Comité Europeo de Protección de Datos adoptó las Directrices sobre el tratamiento de datos personales basado en el interés legítimo , y la Agencia de Protección de Datos Personales participó en el equipo que redactó las Directrices.
Estas Directrices analizan los criterios establecidos en el artículo 6, apartado 1, letra f) del Reglamento General de Protección de Datos, que los responsables del tratamiento deben cumplir para tratar lícitamente datos personales basados en el interés legítimo. También se tiene en cuenta la reciente sentencia del Tribunal de Justicia de la Unión Europea sobre esta cuestión (C-621/22, 4 de octubre de 2024).
Para poder invocar un interés legítimo, el responsable del tratamiento debe cumplir tres condiciones acumulativas:
1. realización del interés legítimo del responsable del tratamiento o de un tercero;
2. la necesidad de procesar datos personales con el fin de lograr un interés legítimo;
3. los intereses o las libertades y derechos fundamentales de las personas no prevalecen sobre los intereses legítimos del responsable del tratamiento o de un tercero (equilibrio).
En primer lugar, sólo pueden considerarse legítimos los intereses legítimos, formulados de forma clara y precisa, reales y presentes. Por ejemplo, esos intereses legítimos podrían existir en una situación en la que un individuo es un cliente o está al servicio de un responsable del tratamiento. En segundo lugar, si existen alternativas razonables, igualmente efectivas, pero menos intrusivas, para lograr los intereses deseados, el procesamiento no puede considerarse necesario. La necesidad del procesamiento también debe examinarse de acuerdo con el principio de minimización de datos. En tercer lugar, el responsable del tratamiento debe garantizar que su interés legítimo no prevalezca sobre los intereses del individuo, los derechos y libertades fundamentales. A la hora de sopesar esto, el responsable del tratamiento debe tener en cuenta los intereses de las personas, el efecto del tratamiento y sus expectativas razonables, así como la existencia de medidas de protección adicionales que podrían limitar el efecto sobre el individuo. Estas Directrices también explican cómo se debe llevar a cabo esta evaluación en la práctica, entre otros en una serie de contextos específicos como la prevención del fraude, el marketing directo y la seguridad de la información. El documento también explica la relación entre esa base jurídica y una serie de derechos de los interesados de acuerdo con el Reglamento General de Protección de Datos.
Los lineamientos estarán sujetos a consulta pública hasta el 20 de noviembre de 2024.
El Consejo Europeo de Protección de Datos también adoptó un dictamen sobre determinadas obligaciones derivadas de la relación entre el responsable, el ejecutor y el subencargado , basándose en la solicitud de la autoridad danesa de protección de datos enviada al Consejo de conformidad con el artículo 64, apartado 2 del Reglamento General de Protección de Datos. El dictamen se refiere a la interpretación de determinados deberes del responsable del tratamiento que dependen de los encargados y subencargados, así como del texto del contrato entre el responsable del tratamiento y el encargado del tratamiento. La Opinión explica que los controladores deben tener en todo momento información disponible sobre la identidad (es decir, nombre, dirección, persona de contacto) de todos los procesadores, subprocesadores, etc. para cumplir mejor con sus obligaciones en virtud del Artículo 28 del Reglamento General sobre protección de datos. Además, la obligación del responsable del tratamiento de verificar que existen «garantías suficientes» por parte del (sub)encargado debe aplicarse independientemente del riesgo para los derechos y libertades del interesado, aunque el alcance de dicha verificación puede variar, en particular en función de los riesgos asociados al tratamiento. El Dictamen también establece que, aunque el encargado original debe asegurarse de proponer subencargados con garantías suficientes, la decisión final y la responsabilidad de contratar a un subencargado específico sigue siendo tomada por el responsable.
El Comité Europeo de Protección de Datos considera que, de conformidad con el Reglamento General de Protección de Datos, el responsable del tratamiento no está obligado a solicitar sistemáticamente que los contratos de reprocesamiento verifiquen si las obligaciones de protección de datos se han transferido a lo largo de la cadena de procesamiento. El responsable del tratamiento deberá valorar si es necesario solicitar una copia de dichos contratos o revisarlos para demostrar el cumplimiento del Reglamento General de Protección de Datos.
Además, si se realizan transferencias de datos personales fuera del Espacio Económico Europeo entre dos (sub)procesadores, el procesador como exportador de datos debe preparar la documentación pertinente, como la relativa a la base de la transferencia utilizada, la evaluación del impacto de el traslado y posibles medidas complementarias. Sin embargo, dado que el responsable del tratamiento sigue estando sujeto a las obligaciones derivadas del artículo 28, apartado 1, del Reglamento General de Protección de Datos sobre «garantías suficientes», además de las del artículo 44, para garantizar que las transferencias de datos personales no comprometan el nivel de protección, deberá evaluar dicha documentación y poder mostrarla a la autoridad de protección de datos.
Además, el Comité adoptó la Declaración tras los cambios realizados por el Parlamento Europeo y el Consejo en la propuesta de la Comisión de Reglamento sobre el establecimiento de normas procesales adicionales en relación con la aplicación de la Ley de Seguridad Social.
La Declaración en general acoge con satisfacción los cambios introducidos por el Parlamento Europeo y el Consejo y recomienda una mayor consideración de elementos específicos para lograr los objetivos del nuevo reglamento de simplificar la cooperación entre autoridades y mejorar la implementación del Reglamento general de protección de datos.
La Declaración proporciona recomendaciones prácticas que pueden utilizarse en el contexto de los próximos diálogos a tres bandas. En particular, el CEPD reitera la necesidad de una base jurídica y un procedimiento armonizado para los acuerdos negociados y hace recomendaciones para garantizar que se alcance un consenso sobre un resumen de las cuestiones clave de la forma más eficaz. El Comité también acoge con satisfacción la inclusión de plazos adicionales y recuerda que deben ser realistas y anima a los colegisladores a eliminar disposiciones relacionadas con las objeciones y el «razonamiento» pertinentes y motivados en el proceso de resolución de disputas.
Aunque la Declaración acoge con satisfacción el objetivo de lograr una mayor transparencia, la introducción de un expediente común, como propone el Parlamento Europeo, requeriría cambios complejos en los sistemas de comunicación y gestión de documentos utilizados a nivel europeo y nacional. Las soluciones técnicas para su implementación deben evaluarse cuidadosamente y se deben aclarar más las formas de otorgar acceso a estas soluciones.
El Comité Europeo de Protección de Datos acoge con satisfacción la enmienda del Consejo que permite eximir a la autoridad principal de protección de datos de la llamada cooperación reforzada en casos simples, pero destaca la necesidad de aclarar más el alcance de esta exención.
El presidente del Comité Europeo de Protección de Datos, Anu Talus, dijo: «El proyecto de reglamento podría simplificar significativamente la implementación del Reglamento General de Protección de Datos al aumentar la eficiencia en el manejo de los casos. Se necesita una mayor armonización a nivel de la UE para maximizar la eficacia de los mecanismos de cooperación y coherencia del Reglamento General de Protección de Datos”.
Finalmente, el Comité adoptó su programa de trabajo para el período 2024-2025 . Es el primero de dos programas de trabajo que implementarán la estrategia del CEPD para el período 2024-2027. adoptado en abril de 2024. Se basa en las prioridades establecidas en la estrategia del Consejo Europeo de Protección de Datos y tiene en cuenta las necesidades identificadas como las más importantes para las partes interesadas.