Dictamen preliminar del EDPS sobre el acuerdo entre EE.UU. y la UE sobre la protección de datos personales relativos a la prevención, investigación, detección y persecución de delitos

Por lo tanto, damos la bienvenida y apoyamos activamente los esfuerzos de la Comisión Europea para llegar a un primer acuerdo marco con los EE.UU. Este acuerdo internacional de aplicación de la Ley tiene por objeto establecer por primera vez la protección de datos como base para el intercambio de información. Aunque reconocemos que no es posible replicar completamente la terminología y las definiciones de la legislación de la UE en un acuerdo con un tercer país, las garantías de los individuos deben ser claras y eficaces con el fin de cumplir plenamente con la principal legislación europea.

El presente dictamen tiene como objetivo proporcionar asesoramiento constructivo y objetivo a las instituciones de la UE tan pronto la Comisión finalice esta delicada tarea, con ramificaciones amplias, no sólo para la cooperación policial en la UE y Estados Unidos, sino también para los futuros acuerdos internacionales. El acuerdo marco es independiente, pero tiene que ser considerado en conjunto, con el recientemente anunciado 'Privacy Shield' entre la UE y Estados Unidos, sobre la transferencia de información personal en el entorno comercial. Pueden ser necesarias consideraciones adicionales para analizar la interacción entre estos dos instrumentos y la reforma del marco de protección de datos de la UE.

Antes de que el Acuerdo se somete a la aprobación del Parlamento, animamos a las Partes a considerar cuidadosamente los desarrollos significativos desde septiembre pasado, cuando había señales de su intención de concluir el Acuerdo una vez que se aprobó la Ley de Compensación Judicial. Muchas de las garantías que ya se contemplan son bienvenidas, pero deben ser reforzadas, también a la luz de la sentencia Schrems en octubre de invalidar la Decisión de Puerto Seguro ( Safe Harbor) y del acuerdo político sobre la reforma de la UE en relación a la protección de datos en diciembre, que cubre las transferencias y la cooperación judicial y policial.

El EDPS ha identificado tres mejoras esenciales que se recomiendan en relación al texto, para garantizar el cumplimiento de la Carta y el artículo 16 del Tratado:

EL SUPERVISOR EUROPEO DE PROTECCIÓN DE DATOS,

• visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 16,
• vista la Carta de los Derechos Fundamentales de la Unión Europea y, en particular, sus artículos 7, 8 y 47,
• vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos,
• visto el Reglamento (CE) no 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas respecto al tratamiento de sus datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos, y, en particular, el artículo 41 (2) y 46 (d),

Las negociaciones entre la Comisión y los EE.UU. comenzaron oficialmente el 29 de marzo de 2011 [2]. El 25 de junio de 2014, el Fiscal General de Estados Unidos anunció que se tomarán las medidas legislativas con el fin de proporcionar el recurso jurisdiccional en relación con los derechos de privacidad de los EE.UU. para los ciudadanos de la UE [3]. Después de varias rondas de negociaciones, que se extendieron durante 4 años, el Acuerdo se rubricó el 8 de septiembre de 2015. Según la Comisión, el objetivo es firmar y finalizar formalmente el Acuerdo sólo después de que la US Judicial Redress Act se adopte. [4]

El Parlamento Europeo debe dar su consentimiento para el texto del Acuerdo rubricado, mientras que el Consejo debe firmarlo. Mientras esto no haya tenido lugar y el Acuerdo no está firmado formalmente, observamos que las negociaciones pueden ser reabiertas para puntos específicos. Es en este contexto que el EDPS plantea esta opinión, basada en el texto del Acuerdo rubricado publicada en la página web de la Comisión. [5] Esta es una opinión preliminar sobre la base de un primer análisis de un texto jurídico complejo y se elabora sin perjuicio de las posibles recomendaciones adicionales que puedan hacerse sobre la base de la información adicional disponible, incluyendo los desarrollos legislativos en los EE.UU. tales como la adopción de la Judicial Redress Act. El EDPS ha identificado tres puntos esenciales que requieren mejoras y también pone de relieve otros aspectos donde se recomiendan aclaraciones importantes. Con estas mejoras, el Acuerdo puede considerarse compatible con la principal legislación de la UE.

De conformidad con el artículo 216 (2) del TFEU, los acuerdos internacionales de los que la UE es una de las Partes, tales como el Acuerdo, " se obliga a las instituciones de la Unión y de los Estados miembros ". Por otra parte, de acuerdo con la jurisprudencia reiterada del Tribunal de Justicia de la Unión Europea (TJUE), los acuerdos internacionales se convierten desde su entrada en vigor en " una parte integral de [el orden jurídico europeo] ", [6] y pueden tener primacía sobre legislación secundaria, o derivada, de la Unión. [7]

El TJUE ha encontrado, con respecto a los acuerdos internacionales celebrados por la Unión Europea, que " las obligaciones impuestas por un acuerdo internacional no pueden tener el efecto de menoscabar los principios constitucionales del Tratado CE, que incluyen el principio de que todos los actos comunitarios deben respetar los derechos fundamentales, cuyo respeto constituye un requisito de legalidad que corresponde al Tribunal de Justicia en el marco del sistema completo de recursos legales establecidos por el Tratado ". [8] El posterior análisis toma como punto de partida la necesidad de que los acuerdos internacionales deben ser compatible con el sistema de la UE para la protección de los derechos fundamentales.

La última ronda de negociaciones sobre el Acuerdo se celebró antes que dos acontecimientos importantes en la UE:

• El acuerdo político sobre el paquete de reforma de la protección de datos, incluyendo el Reglamento General de Protección de Datos (GDPR/EU) [10] y la Directiva de Protección de Datos en materia penal. [11]
• El juicio del Tribunal de Justicia en el caso Schrems que sirvió para invalidar la Decisión de puerto seguro. [12]

El marco jurídico de la UE para la protección de datos en el ámbito de hacer cumplir la ley está bajo la modernización. El marco actual se compone de varias fuentes jurídicas diferentes, tales como:

• a) Decisión marco del Consejo 2008/977/JHA15 (en lo sucesivo, la Decisión marco), que se aplica a las transferencias internacionales de datos en el ámbito de hacer cumplir la Ley en la medida en que los datos transferidos fueron inicialmente puestos a disposición del Estado miembro que transmite a las autoridades competentes de otro Estado miembro;
• b) La regulación 45/200116, que se aplica a las transferencias internacionales de datos en la medida que éstos son transferidos por una institución u organismo de la UE;
• c) una serie de legislación secundaria de la UE (lex specialis), que se aplica a las transferencias de datos específicos en el ámbito de hacer cumplir la Ley, que prohíbe ya sea por completo las transferencias [17] o con excepciones muy estrictas [18], o exigir garantías tales como la existencia de un nivel adecuado de protección en el tercer país receptor; [19]
• d) los acuerdos internacionales específicos celebrados tanto en la UE como en los Estados miembros que sirven como bases legales para transferencias; [20]
• e) las leyes nacionales de protección de datos de los Estados miembros que regulan otras transferencias en el ámbito de hacer cumplir la Ley.

9. En la siguiente evaluación de la propuesta de acuerdo se tendrán en cuenta las normas actuales antes mencionadas, correspondientes a la legislación de la UE respecto a las transferencias internacionales de datos personales, ya que son las empleadas por el TJUE, y la perspectiva de su modernización.

De acuerdo con el artículo 1 (1) del Acuerdo, el propósito del acuerdo es " para garantizar un alto nivel de protección de la información personal " y " mejorar la cooperación entre los Estados Unidos y la Unión Europea en relación con la prevención, investigación, detección y enjuiciamiento de delitos, incluido el terrorismo ". Ambas Partes contratantes reconocen en el primer párrafo del preámbulo que ambas se están " comprometido a garantizar un alto nivel de protección de la información personal intercambiada en el contexto de la prevención, investigación, detección y enjuiciamiento de delitos ". Por lo tanto, el Acuerdo reconoce la necesidad de un alto umbral para su aplicación futura. El EDPS celebra esta conclusión, que está en línea con el marco jurídico general de protección de datos de la UE, [22] y la jurisprudencia del TJUE, en la interpretación y aplicación del derecho a la protección de los datos personales recogidos en el artículo 8 de la Carta [23]. Sin embargo, el EDPS destaca que para que el alto nivel de protección sea eficaz y para cumplir con la principal legislación de la UE, debe reflejarse plenamente en las disposiciones del Acuerdo y en su posterior aplicación.

Con respecto a los efectos del Acuerdo, el artículo 5 (3), establece que, " por hacer efectivo el párrafo 2 " - en referencia a la aplicación de las leyes nacionales, " el tratamiento de los datos personales por parte de Estados Unidos o la Unión Europea y sus Estados miembros, con respecto a las materias incluidas en el ámbito de este convenio, se considerará el cumplir con sus respectivas leyes de protección de datos restringiendo o condicionando las transferencias internacionales de datos personales, y no se requerirá una nueva autorización en virtud de dicha legislación ". El artículo 5 (3) parece establecer que, cuando las Partes hayan aplicado a su ordenamiento jurídico interno las disposiciones del Acuerdo, cada tratamiento de datos personales en el ámbito de aplicación del Acuerdo se considera que cumple con las leyes "internas" de protección de datos de los países exportadores que regulan las transferencias internacionales de datos.

La formulación utilizada para esta disposición es similar a la utilizada en el Acuerdo UE-EE.UU PNR que establece la adecuación del sistema del Departamento de Seguridad Nacional de Estados Unidos para el tratamiento y utilización de los datos PNR (artículo 19, "adecuación") [24]. Sin embargo, el Acuerdo no constituye una decisión de búsqueda de adecuación [25] y no aparece como un instrumento jurídico autónomo, ya que complementa a una base jurídica específica para las transferencias.

La "arquitectura" del artículo 5 del Acuerdo indica que el artículo 5 (3) sólo tendrá efecto después de que el artículo 5 (2) esté totalmente cumplido. El artículo 5 (2) obliga a las Partes a adoptar todas las medidas necesarias para aplicar el Acuerdo, y en particular las disposiciones en materia de acceso, rectificación y recursos administrativos y judiciales. Además, se establece claramente que " la protección y los recursos establecidos en el presente Acuerdo beneficiarán a las personas y entidades de forma práctica en las leyes nacionales correspondientes de cada Parte", lo que significa que el Acuerdo, con el fin de representar beneficios eficaces para individuos y entidades "), debe ponerse en práctica en los ordenamientos jurídicos internos de las Partes. Se requiere mayor análisis para verificar en qué medida, también a la luz de la jurisprudencia Medellín [26], el Acuerdo puede ser considerado como un acuerdo de aplicación directa en el ordenamiento jurídico de Estados Unidos, y que pueden ser necesarias disposiciones sustantivas para ser ejecutado por el Congreso de Estados Unidos con el fin de elaborar legislación nacional vinculante.

El Acuerdo se refiere a las medidas que se introducirán en el marco jurídico aplicable a las Partes. Sin embargo, no parece proporcionar un mecanismo específico para evaluar el grado de su aplicación en el derecho interno de las Partes con el fin de dar cumplimiento al artículo 5 (3). El mecanismo periódico de evaluación conjunta prevista en el artículo 23 parece tener el propósito general de la evaluación de la eficacia de " las políticas y procedimientos de aplicación de este Acuerdo ", con la obligación de las Partes para llevar a cabo la primera revisión conjunta " a más tardar tres años a partir de la fecha de entrada en vigor del Acuerdo" . En este contexto, una pregunta esencial es " ¿Cuándo se consideran que las transferencias de datos, con respecto a las materias que entran en el ámbito del Acuerdo, deben cumplir con los restrictivos requisitos de protección de datos de la Ley de la UE respecto a las transferencias internacionales, sin necesidad de ninguna autorización ulterior?".

En relación con el hecho de que el artículo 5 (3) del Acuerdo elimina la función de las autoridades competentes (autoridades de control de protección de datos u otras instituciones, dependiendo del sistema jurídico de los Estados miembros de la UE) de autorizar las transferencias, el EDPS recuerda que el establecimiento en los Estados miembros de la UE de las autoridades nacionales de supervisión independiente es un componente esencial [27] de la protección de las personas con respecto al tratamiento de sus datos personales [28]. Las autoridades nacionales de supervisión son responsables de vigilar el cumplimiento de la ley de protección de datos de conformidad con el artículo 8 (3) de la Carta y cada autoridad está facultada para comprobar si una transferencia de datos personales de su propio Estado miembro a un tercer país cumple ley de protección de datos incluso cuando el sistema legal de un tercer país se considere adecuado [29] o una presunción de cumplimiento se introduzca en base a un acuerdo. Por lo tanto, el EDPS pone de manifiesto que la ausencia de cualquier otra autorización para las transferencias en aplicación del artículo 5 (3) del Acuerdo se entiende sin perjuicio de las competencias y atribuciones de las autoridades de control independientes para supervisar la legalidad de las transferencias y el cumplimiento de la ley de protección de datos, también sobre la base del artículo 21 del Acuerdo. De ahí que el artículo 5 (3), debe interpretarse en el respeto de este papel de los supervisores de manera que sea compatible con el artículo 8 (3) de la Carta. El EDPS recomienda que para la plena claridad, se introduzca esta conclusión en la declaración de motivos del Acuerdo.

Se desprende del segundo párrafo del preámbulo que el Acuerdo tiene como objetivo " facilitar el intercambio de información en las áreas relevantes para la materia penal, mediante el establecimiento de un marco que contemple la protección de los datos personales cuando se transfieren entre las Partes " [artículo 1 (2)]. Además, se afirma claramente en el artículo 1 (3) que el Acuerdo " en y por sí mismo no es la base legal para cualquier transferencia de datos personales " y " deberá ser necesaria siempre una base jurídica para estas transferencias ". El marco jurídico completo para las garantías en relación con las transferencias cubiertas por el Acuerdo se compone de las disposiciones del Acuerdo, la forma en que se implementan en la legislación nacional de las Partes y la base legal específica para las transferencias. La relación entre el Acuerdo y las bases legales posteriores entre las Partes para las transferencias es muy importante. Hemos leído el artículo 5 (1) en el sentido de que todos los instrumentos específicos para proporcionar la base legal para las transferencias deberán cumplir con los requisitos del Acuerdo, que han de ser considerados para proporcionar un nivel mínimo de garantías en relación a las transferencias. Para los fines de la seguridad jurídica, el EDPS recomienda que las Partes consideren que confirma, al menos dentro de las declaraciones explicativas que acompañan al Acuerdo, que las bases legales específicos para las transferencias deben cumplir plenamente con las garantías previstas en el Acuerdo y que, en el caso de conflicto dispuesto entre la base jurídica específica y el Acuerdo, prevalecerá este último.

18. El artículo 5 (2) del Acuerdo especifica que " para los Estados Unidos, se aplicarán las obligaciones de una manera consistente con sus principios fundamentales del federalismo ". Esta disposición puede tener un impacto sobre las transferencias posteriores de las autoridades federales competentes de los Estados Unidos que son receptores iniciales de datos, respecto a las autoridades a nivel estatal, que no están vinculados por el Acuerdo. En este sentido, el artículo 2 (5) define la "autoridad competente", en los EE.UU. como un " cuerpo de seguridad nacional responsable de la prevención, investigación, detección y enjuiciamiento de delitos, incluido el terrorismo ", excluyendo así a las autoridades a nivel estatal. [30] Por el contrario, todas las autoridades de la UE y sus Estados miembros que sean competentes en las mismas áreas están obligados por el Acuerdo, de acuerdo con la definición del artículo 2 (5).

Algunos de los posibles efectos negativos de la cláusula analizada en virtud del artículo 5 (2) pueden ser contrarrestados por el artículo 14 (2) del Acuerdo, según el cual las transferencias de datos de nivel federal al Estado pueden suspenderse si los Estados federados " no están protegiendo de manera efectiva la información personal teniendo en cuenta los efectos del presente Acuerdo ". El EDPS acoge con satisfacción esta disposición, pero recomienda aclarar, al menos dentro de las declaraciones explicativas del Acuerdo, que en caso de falta de protección para los datos transferidos a nivel nacional, que las medidas pertinentes en virtud del artículo 14 (2) incluirán, en su caso, las medidas relativas a datos ya transferidos.

El artículo 3 establece que el Acuerdo se aplica a la " información personal transferida " entre las autoridades competentes de las Partes, o " transferida de otro modo, de conformidad con un acuerdo " entre los EE.UU. y la UE o sus Estados miembros, " para la prevención, detección, investigación y persecución de delitos, incluido el terrorismo ". El EDPS celebra que los acuerdos bilaterales entre los Estados miembros y los EE.UU. también son tenidos en cuenta en el ámbito del Acuerdo. Observamos también que " las transferencias u otras formas de cooperación entre las autoridades de los Estados miembros y de los Estados Unidos distintos de los mencionados en el artículo 2 (5), encargadas de salvaguardar la seguridad nacional " no están en el ámbito de aplicación del Acuerdo, de conformidad con el artículo 3 (2).

Sin embargo, teniendo en cuenta la amplia definición de " autoridad competente " en virtud del artículo 2 (5), la cual, con respecto a las autoridades estadounidenses, se refiere a una autoridad " fuerzas de seguridad nacionales responsables de la prevención, la investigación, la retención y el enjuiciamiento de criminales delitos, incluido el terrorismo ", en relación con lo dispuesto en el artículo 6 (2), que aseguran que el tratamiento posterior de compartir información personal " por otra aplicación de la ley nacional, las autoridades reguladoras o administrativas respetará las demás disposiciones del presente Acuerdo ", entendemos que las autoridades nacionales responsables de velar por la seguridad nacional estarán sujetas a las disposiciones del Acuerdo sobre el tratamiento de datos transferidos para los fines establecidos en el Acuerdo. En su caso, y para la plena claridad, esta conclusión se puede insertar dentro de una declaración de motivos del Acuerdo. Por último, el EDPS observa que la amplia definición de "autoridad competente" también cubre las fiscalías y las autoridades judiciales, en la medida en que ejercen las tareas mencionadas en los delitos.

El EDPS observa que, si bien el Acuerdo se aplica principalmente a los datos transferidos entre las autoridades competentes de las Partes, también puede aplicarse a las transferencias organizadas entre Partes privadas y las autoridades competentes, siempre y cuando exista un acuerdo entre los EE.UU. y la UE o sus Estados miembros. A este respecto, el artículo 3 (1) especifica que el Acuerdo se aplica a los datos personales transferidos entre las autoridades competentes " o de otra manera transferidos en virtud de un acuerdo celebrado entre [Estados Unidos] y la [UE] o sus Estados miembros " en la aplicación de la legislación local. Por lo tanto, entendemos que el Acuerdo también puede cubrir las transferencias de datos de empresas privadas pertinentes, tales como las compañías aéreas (por ejemplo, transferencias PNR) o proveedores de servicios que ofrecen servicios de comunicaciones electrónicas disponibles al público, a las autoridades competentes de las Partes, pero sólo cuando los las transferencias se basan en un acuerdo internacional.

El artículo 3 ("Ámbito de aplicación") no contiene ninguna referencia específica al ámbito de aplicación personal del Acuerdo. Se establece un amplio ámbito de aplicación material, al afirmar que el Convenio se aplica a (cualquier) " información personal transferida " entre las Partes en el área de aplicación de la ley. Esta referencia general a la información personal parece dar a entender que la información personal de cualquier individuo goza igualmente de las garantías consagradas en el Acuerdo. Esta interpretación se siente alentada por las referencias específicas a un amplio ámbito de aplicación personal de los artículos 16 "acceso", 17 "rectificación" y 18 "recurso administrativo" (ya que se refieren a "cualquier persona"). Sin embargo, puede ser contradicho por la disposición general "no discriminación" en el artículo 4. De acuerdo con este artículo, cada Parte deberá cumplir con las obligaciones del Acuerdo para proteger " la información personal de sus propios nacionales y los nacionales de la otra Parte " sin discriminación arbitraria. Además, el artículo 19 " Reparación judicial " sólo se aplica a los "ciudadanos" de las Partes.

El régimen jurídico de protección de datos de la UE establece claramente las definiciones de conceptos tales como " datos personales " y "tratamiento [de los datos personales]". A pesar de que la terminología escogida para el texto del Acuerdo difiere en parte del régimen jurídico relevante en la UE - como el Acuerdo se refiere a la " información personal ", y no a los " datos personales ", el EDPS se felicita de la amplia definición del artículo 2 ( 1) de la "información personal", que sigue a la correspondiente definición de "datos personales" consagrado en la Directiva 95/46/CE y el Reglamento 45/2001. Sin embargo, la definición del artículo 2 (1) del Acuerdo, no se refiere a "toda la información", sino a "información". Por lo tanto, por ejemplo, pueden surgir dudas sobre si los metadatos que se refieren a una persona física identificada o identificable serán considerados como información personal en el marco del Acuerdo.

Con respecto a la definición de " tratamiento de datos personales " en el artículo 2 (2) del Acuerdo, algunas diferencias sustantivas se observó en comparación con la definición de "tratamiento de datos personales", consagrado en la Decisión marco, la Directiva 95/46/CE y el Reglamento 45/2001. Tal como se define en el Acuerdo, " tratamiento de información personal " significa " cualquier operación o conjunto de operaciones de recogida, mantenimiento, uso, alteración, organización o estructuración, la divulgación o difusión, o la disposición ". Al contrario de los instrumentos pertinentes de la UE, esta definición excluye del ámbito de las operaciones de acuerdo que implique " la grabación, almacenamiento, recuperación, consulta, alineación o combinación, bloqueo, supresión o destrucción ". Por otra parte, el artículo 2 (1) del Acuerdo, a diferencia de la definición en el régimen jurídico de la UE, se refiere a "mantenimiento" y "disposición". No parece que estos dos conceptos cubran el significado de las operaciones enumeradas en el Derecho de la UE.

El EDPS recibe con agrado el reconocimiento de los principios de proporcionalidad y necesidad establecidos en el último párrafo del preámbulo. A la luz de esto, el artículo 6 (1) del Acuerdo limita la transferencia de información personal a " fines específicos autorizados por la base jurídica para la transferencia (...) ", y el artículo 6 (5) añade que debe ser tratados " de forma que sean directamente relevantes y no excesivos o demasiado amplios en relación con los efectos de dicho tratamiento ". Además, el artículo 6 (2) prohíbe el tratamiento ulterior que sea incompatible con los fines para los que fue transferido.

Las excepciones previstas en el Acuerdo para el ejercicio de los derechos de acceso a la información son considerables. En relación con el derecho de acceso, el artículo 16 (2) prevé la restricción de acceso en los siguientes criterios adicionales tales como la evitación de obstruir " investigaciones oficiales o legales, investigaciones y procedimientos ", la protección de la " información sensible en aplicación de la ley ", evitar perjudicar " la prevención, detección, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales ", además de ambos "seguridad pública y nacional". Otra exención establece que las restricciones al acceso pueden imponerse para " proteger los intereses previstos en la legislación en materia de libertad de información y el acceso público a los documentos ". [36] Es difícil concebir una situación en la que los datos personales transferidos a los efectos del presente Acuerdo no serán considerados " información sensible en aplicación de la ley " por la autoridad competente, en ausencia de criterios específicos para determinar [37] que significa " la aplicación de la ley de información sensible ".

Además, el artículo 16 (1) permite el acceso a los datos " de conformidad con el marco legal vigente en el Estado en que se solicitan medidas ". Si el régimen actual de acceso disponible en los EE.UU. es aplicable a los datos transferidos en el ámbito del Acuerdo, no parece, a primera vista, que se cumplan las condiciones del artículo 8 (2) de la Carta. Aunque la Ley de Privacidad de Estados Unidos de 1974 otorga a los individuos el derecho a acceder a sus datos personales, [38] este derecho se redujo de manera significativa por varias excepciones [39].

• En primer lugar, una exención especial estipula que este derecho no se aplica a cualquier información ''compilado en una anticipación razonable de una acción civil o procedimiento '' [40].
• En segundo lugar, las exclusiones generales suprimen la obligación de conceder el acceso cuando un organismo cuya actividad principal pertenece a la aplicación de la ley penal solicita la exención mediante la promulgación de una norma en este sentido 41.
• En tercer lugar, las exenciones específicas proporcionan, entre otras cosas, que una agencia puede publicar una regla de exención de la obligación de conceder el derecho a acceder a un sistema de registro que contiene la información clasificada que es ''la defensa nacional o material de la política exterior o material de investigación compilado con fines policiales".

El EDPS celebra que las decisiones automatizadas " no puedan basarse únicamente en un tratamiento automatizado de los datos personales sin la intervención humana ", en virtud del artículo 15. Esto es especialmente importante en el ámbito de aplicación de la ley, donde las consecuencias de trazar perfiles de los individuos son potencialmente más graves. Sin embargo, el umbral que debe cumplirse antes de desencadenar la aplicabilidad del artículo 15 es bastante alto, ya que requiere la decision de producir " acciones adversas significativas " con el fin de no basarse únicamente en un tratamiento automatizado, mientras que la legislación de la UE por lo general prohíbe este tipo de decisiones que producen " efectos legales adversos o afectan de manera considerable " al individuo. [44]

El EDPS acoge con satisfacción las disposiciones sobre la rendición de cuentas en el artículo 14, como se ha mencionado en el párrafo 19 de las presentes conclusiones. Sin embargo, estas disposiciones deben completarse con una supervisión externa independiente.

El EDPS recibe con agrado el requisito establecido en el artículo 21 (1) (a) de que las autoridades de supervisión deban " ejercer funciones de supervisión independientes y empoderadas ". Sin embargo, también a la luz del debate actual en cuanto a los poderes efectivos para hacer valer la protección de datos y la ley de privacidad de algunas de las autoridades de supervisión de los Estados Unidos [51] enumeradas en el artículo 21 (3), consideramos necesario que, una declaración explicativa bilateral respecto al Acuerdo, sea firmada por las partes para indicar de manera concreta:

Hay tres mejoras esenciales que el EDPS recomienda incrporar al texto para garantizar el cumplimiento de la Carta y el artículo 16 del TFUE:

7) que la disposición sobre retención de datos en el artículo 12 (1) se complementa con la especificación " para los fines específicos para los cuales fueron transferidos ", a la luz del principio de limitación de finalidad invocado por las partes en el Acuerdo;

9) que una declaración explicativa detallada del Acuerdo enumere específicamente (artículo 21):

Supervisor Europeo de Protección de Datos

There is no available overview of national data protection laws in the area of law enforcement. In addition, see the Study for the LIBE Committee, " A Comparison between US and EU Data Protection Legislation for Law Enforcement" (Author: F. Boehm), PE 536.459, published in September 2015 (hereinafter "Boehm study"), p. 30 to 35.

More precisely, the Court of Justice recently affirmed that the requirements for ensuring lawful international transfers of personal data enshrined in secondary EU legislation, in particular the possibility of the Commission to adopt adequacy decisions for the purpose to " protect the private lives and basic freedoms of individuals" [Article 25(6) of Directive 95/46], stem from Article 8(1) of the Charter of Fundamental Rights of the EU (the Charter) and the obligation expressly enshrined therein "to protect personal data". In this regard see Schrems at 72: " Thus, Article 25(6) of Directive 95/46 (n. - conditions for the European Commission to find that a third country has an adequate level of protection) implements the express obligation laid down in Article 8(1) of the Charter to protect personal data and, as the Advocate General has observed in point 139 of his Opinion, is intended to ensure that the high level of that protection continues where personal data is transferred to a third country". In addition, the Court requires that ensuring an "adequate level of protection" must be understood as " requiring the third country in fact to ensure, by reason of its domestic law or its international commitments, a level of protection that is essentially equivalent to that guaranteed within the European Union by virtue of Directive 95/46 read in the light of the Charter" [ Schrems, at 73]. The condition of the existence of an essentially equivalent level of protection is foreseen both in the forthcoming General Data Protection Regulation [Recital 81 of the Preamble] and the Data Protection Directive in criminal matters [Recital 47 of the Preamble].

See, for instance, Joined cases C-293/12 and C-594/12, Digital Rights Ireland (C-293/12) and Seitlinger (C-594/12), ECLI:EU:C:2014:238 (hereinafter " DRI"), at 67 and Schrems, at 39 and 72.

The EDPS recalls that the Court of Justice of the EU underlined in its case-law applying Article 8(1) of the Charter that the term "adequate level of protection" " must be understood as requiring the third country in fact to ensure, by reason of its domestic law or its international commitments, a level of protection of fundamental rights and freedoms that is essentially equivalent to that guaranteed within the European Union" ( Schrems at 73). The Court further established that " when examining the level of protection afforded by a third country", the assessment must refer to "the content of the applicable rules in that country resulting from its domestic law or international commitments and the practice designed to ensure compliance with those rules" ( Schrems at 75) and also that it must " take account of all circumstances surrounding a transfer of personal data to a third country" ( Schrems at 75). Moreover, one of the main reasons of the CJEU to invalidate the 2000 Safe Harbor decision was that it did not in fact contain any reasoned finding that the legal system in question "ensures" an adequate level of protection ( Schrems at 96 to 98).

See the judgment of the US Supreme Court in Medellin v Texas 552 US (2008) at 505 and 505 n.2: " What we mean by self-executing is that the treaty has automatic domestic effect as federal law upon ratification"; " In sum, while treaties may comprise international commitments... they are not domestic law unless Congress has either enacted implementing statutes or the treaty itself conveys an intention that it be self-executing and is ratified on these terms". See "International Law and Agreements: Their Effect upon U.S. law", issued by the Congressional Research Service, February 18, 2015, available on www.crs.gov.

Recital 33 of the Framework Decision reiterates that it " is an essential component of the protection of personal data processed within the framework of police and judicial cooperation between the Member States". See also Case C-518/07, Commission v Germany, EU:C:2010:125, at 25; Case C-288/12, Commission v Hungary, EU:C:2014:237, at 48 and Schrems, at 41.

49 Case C-614/10, Commission v Austria, ECLI:EU:C:2012:631, at 36; Case C-288/12, Commission v Hungary, at 47; Schrems, at 40.

50 Case C-518/07, Commission v Germany, at 18-19, 25 and 30.

52 Commission v Austria, at 36; Commission v Hungary; Commission v Germany and Schrems.

El Supervisor Europeo de Protección de Datos (EDPS - por sus siglas en inglés) es una institución independiente de la UE, responsable de conformidad con el artículo 41 (2) del Reglamento 45/2001 "En lo que respecta al tratamiento de datos personales ... para asegurar que los derechos y libertades fundamentales de las personas físicas, y en particular su derecho a la intimidad, sean respetados por las instituciones y órganos comunitarios ", y " ... para asesorar a las instituciones y los organismos comunitarios, y a los interesados, en todas las cuestiones relativas al tratamiento de datos personales" Fue nombrado en diciembre de 2014, junto con el supervisor adjunto con instrucciones específicas de ser constructivo y proactivo. El EDPS público en marzo el año 2015 una estrategia de cinco años que establece cómo tiene la intención de poner en práctica este mandato, y para rendir cuentas por ello.