Comité Europeo de Protección de Datos (CEPD).- Durante su última sesión plenaria, el (CEPD) adoptó la versión final de sus directrices sobre el artículo 48 del RGPD (LA LEY 6637/2016) en relación con las transferencias de datos a autoridades de terceros países, tras consulta pública. Además, el Comité presentó dos nuevos proyectos del Grupo de Apoyo de Expertos (GAP) que ofrecen material formativo sobre inteligencia artificial y protección de datos. Finalmente, el Comité debatió la solicitud de la Comisión Europea de un dictamen conjunto del CEPD y el SEPD sobre el proyecto de propuesta para la simplificación de la obligación de conservación de registros en virtud del RGPD.
Transferencias de datos a autoridades de terceros países
Tras una consulta pública, el CEPD ha adoptado la versión final de las directrices sobre transferencias de datos a autoridades de terceros países. En estas directrices, el CEPD se centra en el artículo 48 del RGPD (LA LEY 6637/2016) y aclara cómo las organizaciones pueden evaluar mejor bajo qué condiciones pueden responder legalmente a las solicitudes de transferencia de datos personales de autoridades de terceros países (es decir, autoridades de países no europeos).
El CEPD explica que las sentencias o decisiones de autoridades de terceros países no pueden reconocerse ni ejecutarse automáticamente en Europa. Por regla general, un acuerdo internacional puede establecer tanto una base jurídica como un motivo para la transferencia. En ausencia de un acuerdo internacional, o si este no establece una base jurídica o garantías adecuadas, se podrían considerar otras bases jurídicas u otros motivos para la transferencia, en circunstancias excepcionales y caso por caso.
Las modificaciones introducidas en las directrices actualizadas no cambian su orientación, sino que buscan aclarar diversos aspectos planteados en la consulta. Por ejemplo, las directrices actualizadas abordan la situación en la que el destinatario de una solicitud es un encargado del tratamiento. Además, proporcionan detalles adicionales sobre la situación en la que una empresa matriz en un tercer país recibe una solicitud de la autoridad de dicho país y posteriormente solicita los datos personales a su filial en Europa.
Capacitación y reciclaje en IA y protección de datos
Durante su sesión plenaria de junio, el CEPD también presentó dos nuevos proyectos del Grupo de Apoyo de Expertos (SPE)*: Derecho y Cumplimiento en Seguridad de la IA y Protección de Datos y Fundamentos de Sistemas Seguros de IA con Datos Personales . Ambos proyectos, iniciados a petición de la Autoridad Helénica de Protección de Datos (HDPA), ofrecen material de formación sobre IA y protección de datos.
El informe “Derecho y cumplimiento en seguridad de IA y protección de datos” está dirigido a profesionales con un enfoque legal, como los responsables de protección de datos (OPD) o los profesionales de la privacidad.
El segundo informe, “Fundamentos de sistemas de IA seguros con datos personales”, está orientado a profesionales con un enfoque técnico como profesionales de ciberseguridad, desarrolladores o implementadores de sistemas de IA de alto riesgo.
El objetivo principal de estos proyectos es abordar la grave escasez de competencias en IA y protección de datos, que se considera un obstáculo clave para el uso de una IA respetuosa con la privacidad. El material de formación ayudará a dotar a los profesionales de competencias esenciales en IA y protección de datos para crear un entorno más favorable para la aplicación de la legislación en materia de protección de datos.
El Consejo decidió publicar ambos documentos en formato PDF. Teniendo en cuenta la rápida evolución de la IA, el CEPD también decidió lanzar una nueva iniciativa innovadora, un proyecto piloto de un año de duración, consistente en una versión comunitaria modificable de los informes. El CEPD comenzará a colaborar con los autores de ambos informes para importarlos a su repositorio Git** y, próximamente, permitir que cualquier colaborador externo con una cuenta en esta plataforma y bajo la licencia Creative Commons Atribución-CompartirIgual pueda proponer cambios o añadir comentarios a los documentos.
Simplificación de la obligación de conservación de registros según el RGPD ***
Finalmente, el Comité debatió la solicitud de la Comisión Europea de un dictamen conjunto del CEPD y del Supervisor Europeo de Protección de Datos (SEPD) sobre su propuesta para simplificar las obligaciones de conservación de registros de las pequeñas y medianas empresas (pymes), las pequeñas empresas de mediana capitalización (PYME) y las organizaciones con menos de 750 empleados, lo que supone una modificación específica del artículo 30 (LA LEY 6637/2016)(5) del RGPD. El CEPD y el SEPD emitirán su dictamen conjunto sobre este asunto en un plazo de ocho semanas.
_____________________
* El Grupo de Apoyo de Expertos (SPE) es una iniciativa incluida en la estrategia 2024-2027 del CEPD para ayudar a las Autoridades de Protección de Datos (APD) a aumentar su capacidad de cumplimiento mediante el desarrollo de herramientas comunes y brindándoles acceso a un amplio grupo de expertos.
Como parte del programa SPE, el CEPD podrá encargar a expertos la elaboración de informes y herramientas sobre temas específicos. Las opiniones expresadas en los documentos son las de sus autores y no reflejan necesariamente la postura oficial del CEPD.
**Los informes estarán disponibles en los próximos meses en la página del repositorio.
***El 8 de mayo de 2025, el CEPD y el SEPD adoptaron una carta, dirigida a la Comisión Europea, para compartir puntos de vista preliminares sobre la propuesta de la Comisión relativa a la simplificación de la obligación de mantenimiento de registros en virtud del RGPD.