El SEPD ha publicado hoy su dictamen sobre dos propuestas de acuerdos entre la Unión Europea y el Reino Unido: el acuerdo sobre los cambios y cooperación (TCA) y un acuerdo sobre las proceduras de seguridad para el cambio y la protección de las informaciones clasificadas.
Dada la estrecha cooperación que tendría que seguir entre Europa y Reino Unido, el SEPD da la bienvenida a estos dos acuerdos. En particular, el SEPD revela que el TCA se basa sobre el respeto y sobre la salvaguardia de los derechos humanos y sobre el compromiso de las partes para garantizar un nivel elevado de protección de datos personales.
Todavía, el SEPD se lamenta que el TCA no respeta fielmente las disposiciones horizontales de la Unión para los flujos de datos transfronterizos y para la protección de datos personales.
Estas disposiciones, que la Comisión Europea ha declarado en repetidas ocasiones que no son negociables, permiten a la UE incluir medidas para facilitar los flujos de datos transfronterizos en los acuerdos comerciales, preservando al mismo tiempo los derechos fundamentales de las personas a la protección de datos y la privacidad. Por lo tanto, al modificar estas disposiciones horizontales, el TCA crea inseguridad jurídica sobre la posición de la UE en materia de protección de datos personales en el contexto de los acuerdos comerciales y corre el riesgo de crear fricciones con el marco jurídico de la UE en materia de protección de datos.
El SEPD también comenta la aplicación de la ley y la cooperación judicial UE-Reino Unido en materia penal. Aunque el SEPD se congratula de las salvaguardias de protección de datos introducidas en el TCA, lamenta que falten algunas salvaguardias y comenta, en particular, las disposiciones sobre PNR y Prüm.
Además, el SEPD subraya que la disposición provisional que permite la transferencia de datos personales entre la UE y el Reino Unido sin salvaguardias de procedimiento -como si el Reino Unido siguiera siendo miembro de la UE- debe seguir siendo excepcional y no sentar un precedente para futuros ATR con otros países no pertenecientes a la UE.
Las normas de protección de datos en las instituciones de la UE, así como las funciones del Supervisor Europeo de Protección de Datos (SEPD), se establecen en el Reglamento (UE) 2018/1725.
Tratamiento de datos personales: en el sentido del artículo 3, apartado 3, del Reglamento (UE) 2018/1725, el tratamiento de datos personales se refiere a «cualquier operación o conjunto de operaciones, efectuadas o no por medios automatizados, sobre datos personales o conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación, cotejo o interconexión, limitación, supresión o destrucción «. Véase el glosario en el sitio web del SEPD.
«Disposiciones horizontales de la UE sobre los flujos de datos transfronterizos y la protección de los datos personales y la privacidad en el marco del título de comercio digital de los acuerdos comerciales de la UE»: aprobadas por la Comisión Europea en 2018, estas disposiciones horizontales permiten a la UE incluir medidas para facilitar los flujos de datos en los acuerdos comerciales, preservando plenamente los derechos fundamentales de las personas a la protección de datos y la privacidad. Las disposiciones horizontales logran un compromiso equilibrado entre los intereses públicos y privados, ya que permiten a la UE hacer frente a las prácticas proteccionistas de terceros países en relación con el comercio digital, al tiempo que garantizan que los acuerdos comerciales no puedan utilizarse para cuestionar el alto nivel de protección garantizado por la Carta de los Derechos Fundamentales de la UE y la legislación de protección de datos de la UE.
Las competencias de consulta legislativa del SEPD se establecen en el artículo 42 del Reglamento (UE) 2018/1725, que obliga a la Comisión Europea a consultar al SEPD sobre todas las propuestas legislativas y acuerdos internacionales que puedan tener un impacto en el tratamiento de datos personales. Esta obligación también se aplica a los proyectos de actos delegados y de ejecución. El plazo legal para emitir un dictamen del SEPD es de ocho semanas.
Los dictámenes del SEPD se publican en nuestro sitio web y luego en el Diario Oficial de la UE y se transmiten oficialmente al Parlamento Europeo, al Consejo y a la Comisión.
El SEPD también tiene el poder de emitir dictámenes sobre cualquier asunto relacionado con la protección de datos personales, dirigidos al legislador de la UE o al público en general, en respuesta a una consulta de otra institución o por iniciativa propia.