El Comité Europeo de Protección de Datos emite su dictamen sobre las transferencias internacionales de datos entre las Autoridades de Supervisión Financiera del EEE y del resto de países
18-02-2019 — AR/2019/008
La ESMA y la Organización Internacional de Comisiones de Valores remiten al Comité Europeo de Protección de Datos un borrador del acuerdo administrativo por el se regulan las comunicaciones de datos entre las autoridades de supervisión financiera en el Espacio Económico Europeo a sus homólogas del resto de estados, que garantizan a los interesados el ejercicio de sus derechos, el cumplimiento de los principios de calidad de los datos y de proporcionalidad, el tratamiento de sus datos y las condiciones de las transferencias de datos.
- Compartir
- Correo electrónico
La Autoridad Europea de Valores y Mercados (ESMA, por sus siglas en inglés) y la Organización Internacional de Comisiones de Valores (IOSCO, en la abreviación inglesa) remitieron el 2-1-2019 al Comité Europeo de Protección de Datos un borrador del acuerdo administrativo por el se regulan las comunicaciones de datos entre las autoridades de supervisión financiera (en adelante, ASF) del Espacio Económico Europeo (EEE) a sus homólogas del resto de estados
Dicho comité analizó el citado acuerdo y emitió un dictamen, a tenor del artículo 64 del Reglamento General de Protección de Datos (RGPD), que recoge su conformidad con ese acuerdo, pues incluye las salvaguardias necesarias para que los participantes en el acuerdo transfieran datos personales a organismos públicos de terceros países que no estén cubiertos por una decisión de adecuación al nivel apropiado de protección de datos por la Comisión Europea.
El acuerdo recoge, entre otras, las siguientes garantías:
- El ejercicio de sus derechos por los interesados y la capacidad de estos para obtener compensaciones en caso de vulnerarse sus derechos.
- El cumplimiento de los principios de calidad de los datos y de proporcionalidad junto con la limitación de la finalidad, que imposibilita cualquier uso posterior.
- El tratamiento de los datos durante un período no superior al necesario para los fines para los que fueron recabados.
- La adopción de medidas técnicas y organizativas por las ASF que garanticen la seguridad de los datos frente al acceso accidental o ilícito, la destrucción, la pérdida, la alteración o la divulgación no autorizada.
- Las condiciones y los casos tasados en los que se podrán realizar transferencias de datos a las ASF que hayan aceptado el acuerdo o de países con nivel de protección de datos no declarado como adecuado por la Comisión Europea.
- La información a los interesados, en las web de las ASF, del tratamiento realizado, incluida la transferencia, el tipo de entidades a las que pueden transferirse los datos, los derechos que les asisten por los requisitos legales aplicables, incluidas la forma de ejercer esos derechos, la comunicación de cualquier retraso o restricción aplicable en el ejercicio de esos derechos y los datos de contacto para presentar un litigio o una reclamación. Este aviso se acompañará de una copia del acuerdo.
- Los mecanismos establecidos para facilitar el ejercicio de las funciones supervisoras de las autoridades nacionales de protección de datos.
Además de estas garantías, el Comité Europeo de Protección de Datos subrayó la importancia de que las autoridades competentes en la protección de datos deban autorizar las transferencias de datos a petición de las ASF.
Asimismo, las autoridades competentes en la protección de datos podrán suspender su efectividad en caso de detectar incumplimientos por las ASF. Asimismo, señaló la posibilidad de que las autoridades nacionales de protección de datos establezcan mecanismos específicos de supervisión, como, por ejemplo, el deber de las ASF de llevar registros que puedan facilitarles el ejercicio de sus funciones.
Por último, hay que señalar que la legitimación de las cesiones de datos y transferencias internacionales de datos personales entre las ASF de la UE y con sus homólogas de terceros estados se sustenta en el artículo 6.1.e del RGPD: “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”, tal y como se reconoce expresamente en el artículo 48 bis de la Ley 10/2010, de 28 de abril, de prevención de blanqueo de capitales y financiación de terrorismo.