El Comité Europeo de Protección de Datos toma cuatro medidas en su última sesión plenaria
La primera de las medidas adoptada por el Comité Europeo de Protección de Datos (CEPD) fue el dictamen acerca de ciertas obligaciones específicas relacionadas con el tratamiento de la información sobre encargados y subencargados. La Autoridad de Protección de Datos de Dinamarca fue quien envío una solicitud para que se tratase este tema.
La resolución trata acerca de las situaciones en las que los responsables del tratamiento dependen de uno o varios encargados y subencargados del procesamiento de la información. En concreto, trata ocho cuestiones sobre la redacción de los contratos entre responsables y encargados del tratamiento de la información, así como acerca de la interpretación de determinadas obligaciones de los responsables de las actividades que dependen de encargados y subencargados de dicho tratamiento.
Este primer dictamen establece que los responsables del tratamiento deben tener a su disposición en todo momento la información sobre la identidad de todas las personas en las que se deleguen las cuestiones del procesamiento de datos. Además, existe una obligación adicional de parte del responsable, la de verificar si los encargados o subencargados presentan "garantías suficientes" para llevar a cabo esta tarea. La verificación debe aplicarse independientemente del riesgo para los derechos y libertades de los interesados.
A pesar de ser el encargado quien propone a los subencargados, es siempre el responsable quien tiene la decisión y la responsabilidad última sobre la contratación de un subencargado.
Cuando se dé el caso en el que se realicen transferencias de datos personales fuera del Espacio Económico Europeo entre dos encargados o subencargados, será el encargado quien deberá preparar la documentación pertinente, como la relativa al motivo de la transferencia utilizado, la evaluación del impacto de la transferencia y las posibles medidas complementarias. Además, el responsable del tratamiento está sujeto a que la protección no se vea socavada por las transferencias de datos personales, y deberá por lo tanto evaluar esta documentación para poder mostrarla a la Autoridad de Protección de Datos competente.
El segundo punto de la sesión fue la adopción de unas Directrices sobre el tratamiento de datos personales basadas en el interés legítimo. Según este, es necesario que los responsables del tratamiento de la información tengan una base jurídica para procesar datos personales de forma lícita.
Para poder sustentarse en las normativas relativas al interés legítimo el responsable del tratamiento debe cumplir tres condiciones acumulativas. La primera es la persecución de un interés legítimo por parte del responsable del tratamiento o de un tercero, siempre y cuando estos intereses estén claramente expresados, y sean reales y actuales. La segunda condición es acerca de la necesidad de tratar datos personales a los efectos de perseguir el interés legítimo, en el caso de que no existan otras alternativas razonables. El último requisito versa sobre la necesidad de que los intereses o las libertades y derechos fundamentales de las personas físicas no prevalezcan sobre los intereses legítimos del responsable del tratamiento o de un tercero.
Estas directrices, sujetas a consulta pública hasta el 20 de noviembre de 2024, pretenden ser útiles para su implementación práctica, incluso en casos específicos. El documento también explica la relación entre esta base jurídica y una serie de derechos de los interesados en virtud del Reglamento General de Protección de Datos.
El siguiente suceso de la sesión estuvo protagonizado por una declaración en la que se establecieron normas de procedimiento adicionales, relativas a la aplicación del Reglamento General de Protección de Datos. La declaración recoge las modificaciones introducidas por el Parlamento Europeo y el Consejo. Este manifiesto formula recomendaciones prácticas como la necesidad de una base jurídica y un procedimiento armonizado para las soluciones amistosas, además de acciones que agilicen futuros procedimientos de esta índole.
El fin de esta declaración es el de lograr una mayor transparencia con la emisión de un expediente conjunto, que exigirá su mayor esfuerzo a las administraciones, pues pretende realizar cambios complejos en el sistema de gestión y comunicación de documentos.
En palabras de la presidenta del Comité Europeo de Protección de Datos (CEPD), Anu Talus: “El proyecto de reglamento tiene el potencial de agilizar en gran medida la aplicación del Reglamento General de Protección de Datos al aumentar la eficiencia de la tramitación de los casos”.
La Comisión también trató en esta sesión plenaria la implementación de su programa de trabajo para 2024-2025. Este se basa en las prioridades recogidas en el planteamiento de la Comisión Europea de Protección de Datos y tiene en cuenta las opiniones de las partes interesadas.
Por último se notificó que la Agencia de Información y Privacidad de Kosovo tendrá el estatus de observadora de las actividades del CEPD durante este próximo periodo.