Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield (notified under document C(2016) 4176) (Text with EEA relevance)
| Published date | 01 August 2016 |
| Subject Matter | información y verificación,protección del consumidor,espacio de libertad, seguridad y justicia,informations et vérifications,protection des consommateurs,espace de liberté, de sécurité et de justice,informazione e verifiche,tutela dei consumatori,spazio di libertà, sicurezza e giustizia |
| Official Gazette Publication | Diario Oficial de la Unión Europea, L 207, 1 de agosto de 2016,Journal officiel de l'Union européenne, L 207, 1er août 2016,Gazzetta ufficiale dell'Unione europea, L 207, 1o agosto 2016 |
| 1.8.2016 | ES | Diario Oficial de la Unión Europea | L 207/1 |
DECISIÓN DE EJECUCIÓN (UE) 2016/1250 DE LA COMISIÓN
de 12 de julio de 2016
con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por el Escudo de la privacidad UE-EE. UU.
[notificada con el número C(2016) 4176]
(Texto pertinente a efectos del EEE)
LA COMISIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea,
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (1), y en particular su artículo 25, apartado 6,
Previa consulta al Supervisor Europeo de Protección de Datos (2),
1. INTRODUCCIÓN
| (1) | La Directiva 95/46/CE establece las normas que regulan las transferencias de datos personales desde los Estados miembros a terceros países en la medida en que tales transferencias se encuentren comprendidas en el ámbito de aplicación de dicho instrumento. |
| (2) | El artículo 1 de la Directiva 95/46/CE y los considerandos 2 y 10 de su exposición de motivos pretenden garantizar no solo una protección eficaz y completa de las libertades y de los derechos fundamentales de las personas físicas, en particular el derecho fundamental al respeto de la vida privada en lo que respecta al tratamiento de los datos de carácter personal, sino también un alto nivel de protección de los derechos y libertades fundamentales (3). |
| (3) | La importancia del derecho fundamental al respeto de la vida privada, garantizado por el artículo 7, y el derecho fundamental a la protección de los datos de carácter personal, garantizado por el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, ha sido subrayada en la jurisprudencia del Tribunal de Justicia (4). |
| (4) | De conformidad con el artículo 25, apartado 1, de la Directiva 95/46/CE, los Estados miembros solo permitirán la transferencia de datos personales a un tercer país cuando este garantice un nivel de protección adecuado y se cumplan en él, con anterioridad a dicha transferencia, las disposiciones legales que los Estados miembros aprueben en aplicación de otros preceptos de la citada Directiva. La Comisión podrá hacer constar que un tercer país garantiza un nivel de protección adecuado a la vista de su legislación interna o de los compromisos internacionales que haya suscrito a efectos de la protección de los derechos de las personas. En tal caso, sin perjuicio del cumplimiento de las disposiciones de Derecho nacional adoptadas con arreglo a las demás disposiciones de la Directiva, los Estados miembros podrán transferir datos personales sin que sea necesaria ninguna garantía adicional. |
| (5) | De conformidad con el artículo 25, apartado 2, de la Directiva 95/46/CE, el nivel de protección de datos ofrecido por un tercer país se evaluará atendiendo a todas las circunstancias que concurran en una transferencia o en una categoría de transferencias de datos; en particular las normas de Derecho, generales o sectoriales, vigentes en el tercer país de que se trate. |
| (6) | En la Decisión 2000/520/CE de la Comisión (5), a efectos del artículo 25, apartado 2, de la Directiva 95/46/CE, los «principios de puerto seguro para la protección de la vida privada», aplicados de conformidad con la orientación que ofrecen las preguntas más frecuentes publicadas por el Departamento de Comercio de Estados Unidos, se considera que garantizan un nivel adecuado de protección de los datos personales transferidos desde la Unión a organizaciones establecidas en Estados Unidos. |
| (7) | En sus Comunicaciones COM(2013) 846 final (6) y COM(2013) 847 final de 27 de noviembre de 2013 (7), la Comisión consideró que el fundamento del régimen de puerto seguro debía revisarse y reforzarse en el marco de una serie de factores, entre los que cabe destacar el aumento exponencial de los flujos de datos y su importancia fundamental para la economía transatlántica, el rápido crecimiento del número de empresas estadounidenses que se adhieren al régimen de puerto seguro y la nueva información sobre la escala y el alcance de determinados programas de inteligencia de EE. UU. que suscitan dudas en cuanto al nivel de protección que se puede garantizar. Asimismo, la Comisión identificó una serie de insuficiencias y deficiencias en el régimen de puerto seguro. |
| (8) | Sobre la base de las pruebas reunidas por la Comisión, incluida la información procedente de los trabajos del Grupo de Contacto UE-EE. UU. sobre protección de la vida privada (8) y la información sobre programas de inteligencia estadounidenses recibida en el grupo de trabajo ad hoc UE-EE. UU. (9), la Comisión formuló 13 recomendaciones para una revisión del régimen de puerto seguro. Estas recomendaciones se centraban en fortalecer los principios sustantivos de privacidad e incrementar la transparencia de las políticas de privacidad de las empresas autocertificadas de los EE. UU.; mejorar y hacer más eficaz el control por parte de las autoridades estadounidenses del cumplimiento de los principios por las empresas; facilitar mecanismos de resolución de conflictos para las reclamaciones de los ciudadanos; y garantizar que el recurso a la excepción en ámbitos de seguridad nacional, contemplada en la Decisión 2000/520/CE se limita a lo estrictamente necesario y proporcionado. |
| (9) | En su sentencia de 6 de octubre de 2015 en el asunto C-362/14, Maximillian Schrems/Data Protection Commissioner (10), el Tribunal de Justicia de la Unión Europea declaró inválida la Decisión 2000/520/CE. Sin haber examinado el contenido de los principios de puerto seguro para la protección de la vida privada, el Tribunal observó que la Comisión no había manifestado en dicha Decisión que los Estados Unidos «garantizaran» efectivamente un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales (11). |
| (10) | En este sentido, el Tribunal de Justicia explicó que, si bien la expresión «nivel de protección adecuado» que figura en el artículo 25, apartado 6, de la Directiva 95/46/CE no significa un nivel de protección idéntico al garantizado en el ordenamiento jurídico de la UE, debe entenderse en el sentido de que exige que el tercer país interesado garantice efectivamente un nivel de protección de las libertades y derechos fundamentales «sustancialmente equivalente» al garantizado en la Unión por la Directiva 95/46/CE, entendida a la luz de la Carta de los Derechos Fundamentales. Aunque los medios de los que se sirva ese tercer país para garantizar dicho nivel de protección pueden ser diferentes de los aplicados en la Unión, deben ser eficaces en la práctica (12). |
| (11) | El Tribunal de Justicia criticó que la Decisión 2000/520/CE no contuviera constataciones suficientes sobre la existencia en Estados Unidos de normas estatales destinadas a limitar las posibles injerencias en los derechos fundamentales de las personas cuyos datos se transfieran desde la Unión a Estados Unidos, injerencias que estuvieran autorizadas a llevar a cabo las entidades públicas de ese país cuando persigan fines legítimos, como la seguridad nacional, y sobre la existencia de una tutela judicial efectiva contra injerencias de esa naturaleza (13). |
| (12) | En 2014 la Comisión inició conversaciones con las autoridades estadounidenses a fin abordar el refuerzo del régimen de puerto seguro en consonancia con las trece recomendaciones formuladas en la Comunicación COM(2013) 847 final. A raíz de la sentencia del Tribunal de Justicia de la Unión Europea en el asunto Schrems, estas conversaciones se intensificaron con miras a adoptar una nueva decisión de adecuación que cumpliera lo dispuesto en el artículo 25 de la Directiva 95/46/CE, tal como ha sido interpretado por el Tribunal de Justicia. Los documentos que se adjuntan a la presente Decisión y que también se publicarán en el Registro Federal de Estados Unidos son el resultado de estas conversaciones. Los principios de privacidad (anexo II), así como los compromisos y declaraciones oficiales de diversas autoridades estadounidenses recogidos en los documentos de los anexos I y III a VII, constituyen el denominado «Escudo de la privacidad UE-EE. UU.». |
| (13) | La Comisión ha analizado con detenimiento el Derecho y las prácticas vigentes en los Estados Unidos, incluidos estos compromisos y declaraciones oficiales. Sobre la base de las constataciones expuestas en los considerandos 136 a 140, la Comisión concluye que los Estados Unidos garantizan un nivel adecuado de protección de los datos personales transferidos en el marco del Escudo de la privacidad UE-EE. UU. desde la Unión a entidades autocertificadas establecidas en los Estados Unidos. |
2. ESCUDO DE LA PRIVACIDAD UE-EE. UU.
| (14) | El Escudo de la privacidad UE-EE. UU. se basa en un sistema de autocertificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios de protección de la vida privada —a saber, los principios marco del Escudo de la privacidad UE-EE. UU., incluidos los principios complementarios (en lo sucesivo denominados conjuntamente «los principios»)— establecidos por el Departamento de Comercio de Estados Unidos y enumerados en el anexo II de la presente Decisión. Se aplica tanto a los responsables como a los encargados del tratamiento (agentes), con la particularidad de que los encargados deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y asistir a este último a responder a las personas físicas que ejerzan sus derechos con arreglo a los principios (14). |
| (15) | Sin perjuicio del cumplimiento de las |
To continue reading
Request your trial