Agencia Estatal Boletín Oficial del Estado

(1)

El Reglamento (UE) 2016/679 (2) establece las normas que regulan la transferencia de datos personales de los responsables o encargados del tratamiento en la Unión a terceros países y organizaciones internacionales, en la medida en que tales transferencias se encuentren comprendidas dentro de su ámbito de aplicación. Las normas sobre las transferencias internacionales de datos se establecen en el capítulo V de dicho Reglamento. Si bien la circulación de datos personales hacia y desde países no pertenecientes a la UE es esencial para la expansión del comercio transfronterizo y la cooperación internacional, el nivel de protección de los datos personales en la Unión no debe verse menoscabado por las transferencias a terceros países u organizaciones internacionales (3).

(2)

De conformidad con el artículo 45, apartado 3, del Reglamento (UE) 2016/679, la Comisión puede decidir, mediante un acto de ejecución, que un tercer país, un territorio o uno o varios sectores específicos de un tercer país garantizan un nivel de protección adecuado. En tal caso, la transferencia de datos personales a un tercer país puede realizarse sin necesidad de obtener ninguna otra autorización, de conformidad con lo dispuesto en el artículo 45, apartado 1, y el considerando 103 de dicho Reglamento.

(3)

Tal como se especifica en el artículo 45, apartado 2, del Reglamento (UE) 2016/679, la adopción de una decisión de adecuación ha de basarse en un análisis exhaustivo del ordenamiento jurídico del tercer país, que contemple tanto las normas aplicables a los importadores de datos como las limitaciones y garantías en lo que respecta al acceso a los datos personales por parte de las autoridades públicas. En su evaluación, la Comisión debe determinar si el tercer país en cuestión garantiza un nivel de protección «equivalente en lo esencial» al ofrecido en la Unión [considerando 104 del Reglamento (UE) 2016/679], con arreglo a la normativa de la Unión, en concreto el Reglamento (UE) 2016/679, así como a la jurisprudencia del Tribunal de Justicia de la Unión Europea (en lo sucesivo, el «TJUE») (4).

(4)

Como ya aclaró el TJUE en su sentencia de 6 de octubre de 2015, en el asunto C-362/14, Maximillian Schrems/Data Protection Commissioner («Schrems») (5), esta exigencia no supone tener que garantizar un nivel de protección idéntico. En particular, los medios de que se sirve el tercer país en cuestión para la protección de los datos personales pueden ser diferentes de los aplicados en la Unión, siempre que, en la práctica, sean eficaces para garantizar un nivel de protección adecuado (6). Por consiguiente, el principio de adecuación no exige que se reproduzcan al pie de la letra las normas de la Unión, sino que el criterio radica en si, a través de la esencia de los derechos de privacidad y su aplicación, fuerza ejecutiva y supervisión efectivas, el ordenamiento en cuestión ofrece, en su conjunto, el nivel de protección exigido (7). Además, según dicha sentencia, al aplicar este criterio, la Comisión debe evaluar, en particular, si el marco jurídico del tercer país en cuestión establece reglas destinadas a limitar las injerencias en los derechos fundamentales de las personas cuyos datos se transfieran desde la Unión, injerencias que estuvieran autorizadas a llevar a cabo entidades estatales de ese país cuando persigan fines legítimos, como la seguridad nacional, y proporciona una protección jurídica eficaz contra injerencias de esa naturaleza (8). Las Referencias sobre adecuación del Comité Europeo de Protección de Datos, que pretenden aclarar este criterio, también proporcionan claves interpretativas a este respecto (9).

(5)

El criterio aplicable con respecto a dicha injerencia en los derechos fundamentales a la privacidad y a la protección de datos fue aclarado con mayor detalle por el TJUE en su sentencia de 16 de julio de 2020, en el asunto C-311/18, Data Protection Commissioner/Facebook Ireland Ltd y Maximillian Schrems («Schrems II»), por la que se invalidó la Decisión de Ejecución (UE) 2016/1250 de la Comisión (10), sobre el anterior marco transatlántico aplicable a la circulación de datos, el Escudo de la privacidad UE-EE. UU. (en lo sucesivo, «Escudo de la privacidad»). El TJUE consideró que las limitaciones de la protección de los datos personales que se derivan de la normativa interna de los Estados Unidos relativa al acceso y la utilización, por las autoridades estadounidenses, de los datos transferidos desde la Unión a los Estados Unidos con fines de seguridad nacional no están reguladas conforme a exigencias sustancialmente equivalentes a las requeridas en el Derecho de la UE, en lo que respecta a la necesidad y proporcionalidad de tales injerencias en el derecho a la protección de datos (11). También interpretó que no cabía interponer recurso ante un órgano que ofrezca a las personas cuyos datos se transfieren a los Estados Unidos garantías sustancialmente equivalentes a las exigidas en el artículo 47 de la Carta, sobre el derecho a la tutela judicial efectiva (12).

(6)

A raíz de la sentencia Schrems II, la Comisión entabló negociaciones con los Estados Unidos para poder adoptar una nueva decisión de adecuación que cumpliera los requisitos del artículo 45, apartado 2, del Reglamento (UE) 2016/679, conforme a la interpretación del TJUE. Como resultado de estas negociaciones, el 7 de octubre de 2022 se aprobó en los Estados Unidos (en lo sucesivo, «EE. UU.») el Decreto Presidencial n.o 14086, titulado «Refuerzo de las garantías en las actividades de inteligencia de señales de los Estados Unidos» (Executive Order 14086 ‘Enhancing Safeguards for US Signals Intelligence Activities’) (en lo sucesivo, «Decreto Presidencial n.o 14086»), al que complementa el Reglamento sobre el Tribunal de Recurso en Materia de Protección de Datos (Regulation on the Data Protection Review Court) (en lo sucesivo, «Reglamento sobre el Tribunal de Recurso»), aprobado por el secretario de Justicia (Attorney General) de los EE. UU. (13). Además, se ha actualizado el marco aplicable a las entidades mercantiles que traten datos transferidos desde la Unión en virtud de la presente Decisión (en lo sucesivo, «Marco de Privacidad de Datos UE-EE. UU.»).

(7)

La Comisión ha analizado con detenimiento la normativa y las prácticas vigentes en los EE. UU. y, en particular, el Decreto Presidencial n.o 14086 y el Reglamento sobre el Tribunal de Recurso. Basándose en las averiguaciones reflejadas en los considerandos 9 a 200, la Comisión llega a la conclusión de que los EE. UU. garantizan un nivel de protección adecuado de los datos personales que los responsables o encargados del tratamiento en la UE (14) transfieran con arreglo al Marco de Privacidad de Datos UE-EE. UU. a entidades certificadas estadounidenses.

(8)

La presente Decisión tiene como efecto que las transferencias de datos personales que los responsables y encargados del tratamiento en la UE (15) realicen a entidades certificadas estadounidenses no requieran ningún tipo de autorización. No tiene ninguna incidencia en la aplicación directa del Reglamento (UE) 2016/679 a dichas entidades cuando se cumplan las condiciones relativas al ámbito territorial de dicho Reglamento, establecidas en su artículo 3.

(9)

El Marco de Privacidad de Datos UE-EE. UU. se basa en un sistema de certificación por el que las entidades estadounidenses se comprometen a cumplir una serie de principios, a saber, los principios del Marco de Privacidad de Datos UE-EE. UU. y los principios complementarios (en conjunto, «los principios en materia de privacidad»), aprobados por el Departamento de Comercio (Department of Commerce) de los EE. UU. y recogidos en el anexo I de la presente Decisión (16). Para recibir la certificación del Marco de Privacidad de Datos UE-EE. UU., las entidades deben someterse a las competencias de investigación y ejecución forzosa de la Comisión Federal de Comercio (Federal Trade Commission) o del Departamento de Transporte (Department of Transportation) de los EE. UU. (17). Los principios en materia de privacidad son de aplicación inmediatamente después de la certificación. Como se explica con mayor detalle en los considerandos 48 a 52, las entidades que participen en el Marco de Privacidad de Datos UE-EE. UU. tienen que revalidar cada año la certificación de su cumplimiento de los principios (18).

(10)

La protección concedida en el Marco de Privacidad de Datos UE-EE. UU. se extiende a todos los datos personales transferidos desde la UE a las entidades estadounidenses a las que el Departamento de Comercio de los EE. UU. haya concedido el certificado de que cumplen los principios en materia de privacidad, con excepción de los datos recogidos para su publicación, retransmisión u otras formas de comunicación pública de material periodístico, así como la información contenida en material de archivo publicado previamente a partir de archivos de medios de comunicación (19). Por lo tanto, dicha información no puede transferirse con arreglo al Marco de Privacidad de Datos UE-EE. UU.

(11)

Los principios en materia de privacidad definen los datos personales y la información personal de la misma manera que el Reglamento (UE) 2016/679, es decir, como «los datos sobre un particular identificado o identificable a los que es de aplicación el RGPD, que los recibe de la UE una entidad estadounidense y que quedan registrados de alguna forma» (20). En consecuencia, también están comprendidos los datos de investigación seudonimizados (o «codificados»), incluso cuando la clave de ese código no se comparte con la entidad estadounidense receptora (21). De modo análogo, el tratamiento se define como «cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación, difusión y supresión o destrucción» (22).

(12)

El Marco de Privacidad de Datos UE-EE. UU. es de aplicación a las entidades estadounidenses que se consideran responsables (es decir, persona física o jurídica que, sola o junto con otros, determina las finalidades y medios del tratamiento de datos personales) (23) o encargadas (es decir, agente que actúa por cuenta del responsable del tratamiento) del tratamiento (24). Los encargados estadounidenses deben estar obligados contractualmente a actuar únicamente siguiendo instrucciones del responsable del tratamiento de la UE y a ayudar a este último a responder a los particulares que ejerzan los derechos que le reconocen los principios en materia de privacidad (25). Además, en caso de subtratamiento, el encargado del tratamiento debe celebrar un contrato con el subencargado por el que se garantice el mismo nivel de protección que el conferido por los principios en materia de privacidad y tomar medidas para asegurar su cumplimiento (26).

(13)

Los datos personales deben tratarse de manera lícita y leal. Deben recogerse para una finalidad específica y, posteriormente, solo deben utilizarse en la medida en que ello no sea incompatible con la finalidad del tratamiento.

(14)

En el Marco de Privacidad de Datos UE-EE. UU., esto se garantiza por medio de varios principios. En primer lugar, en virtud del principio de integridad de los datos y limitación de la finalidad, al igual que en virtud del artículo 5, apartado 1, letra b), del Reglamento (UE) 2016/679, las entidades no pueden tratar datos personales de manera incompatible con la finalidad para la que fueron recogidos inicialmente o que autorizó posteriormente el interesado (27).

(15)

En segundo lugar, antes de utilizar datos personales con una nueva finalidad que sea sustancialmente distinta de la finalidad original, pero aun así compatible con esta, o de comunicarlos a un tercero, la entidad debe ofrecer a los interesados la oportunidad de oponerse, de conformidad con el principio de opción (28), a través de un mecanismo claro, bien visible e inmediatamente utilizable. Es importante recalcar que dicho principio no deja sin efecto la prohibición expresa de realizar operaciones de tratamiento incompatibles (29).

(16)

Deben aplicarse garantías específicas cuando se traten «categorías especiales» de datos.

(17)

De conformidad con el principio de opción, se aplican garantías específicas al tratamiento de «información delicada», es decir, datos personales que indiquen el estado de salud, el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, la información sobre la vida sexual del particular o cualquier otra información recibida de un tercero y que este considere y trate como delicada (30). Esto significa que cualquier dato que se considere delicado con arreglo a la normativa de la Unión en materia de protección de datos (especialmente los datos sobre la orientación sexual, los datos genéticos y los datos biométricos) debe ser tratado como delicado en el Marco de Privacidad de Datos UE-EE. UU. por las entidades certificadas.

(18)

Como norma general, las entidades deben obtener el consentimiento expreso de los particulares para utilizar información delicada con finalidades distintas de la finalidad para la que fue recogida inicialmente o que autorizó posteriormente el particular (con su consentimiento expreso), o para comunicarla a terceros (31).

(19)

No es necesario obtener dicho consentimiento en supuestos específicos, comparables a las excepciones contempladas en la normativa de la Unión en materia de protección de datos, por ejemplo, cuando el tratamiento de datos delicados sea de interés vital para una persona o necesario para un proceso judicial o para proporcionar cuidados médicos o establecer un diagnóstico (32).

(20)

Los datos deben ser exactos y, si fuera necesario, estar actualizados. También deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que son tratados y, en principio, no deben conservarse más tiempo del necesario en relación con los fines para los que se tratan los datos personales.

(21)

En virtud del principio de integridad de los datos y limitación de la finalidad (33), los datos personales deben limitarse a lo pertinente para la finalidad del tratamiento. Además, las entidades deben, en la medida necesaria para lograr dicha finalidad del tratamiento, tomar medidas razonables para que los datos personales sean fiables en relación con el uso previsto, exactos y actuales y estén completos.

(22)

Por otra parte, la información personal puede conservarse de forma que identifique o haga identificable al particular (esto es, en forma de datos personales) (34) únicamente en la medida en que ello contribuya a la finalidad para la que fue recogida inicialmente o que autorizó posteriormente el particular de conformidad con el principio de opción. Esta obligación no impide a las entidades continuar tratando información personal por períodos más largos, pero únicamente por el tiempo y en la medida en que dicho tratamiento contribuya razonablemente a una o varias de las finalidades siguientes, comparables a las excepciones contempladas en la normativa de la Unión en materia de protección de datos: archivamiento en interés público, periodismo, literatura y arte, investigación científica e histórica y análisis estadístico (35). Cuando los datos personales se conserven para una de estas finalidades, su tratamiento queda sujeto a las garantías que establecen los principios en materia de privacidad (36).

(23)

Los datos personales también deben ser tratados de tal manera que se garantice su seguridad, especialmente la protección contra su tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. A tal fin, los responsables y encargados del tratamiento deben tomar las medidas técnicas u organizativas apropiadas para proteger los datos personales frente a posibles amenazas. Estas medidas deben evaluarse teniendo en cuenta el estado de la técnica, los costes conexos y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos de los particulares.

(24)

En el Marco de Privacidad de Datos UE-EE. UU., esto está garantizado por el principio de seguridad, que exige, al igual que el artículo 32 del Reglamento (UE) 2016/679, que se tomen medidas de seguridad razonables y apropiadas, teniendo en cuenta los riesgos que entraña el tratamiento y la naturaleza de los datos (37).

(25)

Los interesados deben ser informados de las principales características del tratamiento de sus datos personales.

(26)

Esto se garantiza con el principio de notificación (38), que, al igual que las exigencias de transparencia del Reglamento (UE) 2016/679, obliga a las entidades a informar a los interesados sobre, entre otros aspectos, i) la participación de la entidad en el Marco de Privacidad de Datos UE-EE. UU., ii) el tipo de datos recogidos, iii) la finalidad del tratamiento, iv) el tipo de terceros, o su identidad, a los que pueden comunicarse los datos personales y las finalidades para hacerlo, v) sus derechos individuales, vi) cómo ponerse en contacto con la entidad y vii) las vías de reparación disponibles.

(27)

Esta notificación debe hacerse en un lenguaje claro y evidente cuando se solicite por primera vez a los particulares que proporcionen los datos personales o tan pronto como sea posible después, pero, en cualquier caso, antes de que los datos se utilicen para una finalidad sustancialmente distinta (pero compatible) de aquella para la que fueron recogidos o antes de que se comuniquen a terceros (39).

(28)

Además, las entidades deben publicar sus directrices en materia privacidad, que deben ajustarse a los principios en materia de privacidad (o, en el caso de los datos de recursos humanos, ponerlas a disposición fácil de los particulares), y proporcionar enlaces al sitio web del Departamento de Comercio (con información pormenorizada sobre la certificación, los derechos de los interesados y las vías de impugnación disponibles), a la lista del Marco de Privacidad de Datos (lista de entidades participantes) y al sitio web de un organismo alternativo de resolución de controversias adecuado (40).

(29)

Los interesados deben tener ciertos derechos que puedan hacer valer ante el responsable o el encargado del tratamiento, en concreto el derecho de acceso a los datos, el derecho a oponerse al tratamiento y el derecho de rectificación o supresión de datos.

(30)

El principio de acceso (41) del Marco de Privacidad de Datos UE-EE. UU. otorga a los particulares tales derechos. En particular, el interesado tiene derecho, sin necesidad de justificación, a: que la entidad le confirme si trata datos personales relacionados con él; que le proporcione los datos; y recibir información sobre la finalidad del tratamiento, las categorías de datos personales tratados y las categorías de destinatarios a quienes se comunican los datos (42). Las entidades deben responder a las solicitudes de acceso en un plazo razonable (43). La entidad puede fijar límites razonables al número de veces que satisfará las solicitudes de acceso de un particular concreto dentro de un período determinado y puede cobrar una tasa que no sea excesiva, por ejemplo, cuando las solicitudes sean manifiestamente abusivas, en particular por su carácter repetitivo (44).

(31)

El derecho de acceso solo puede limitarse en circunstancias excepcionales, similares a las contempladas en la normativa de la Unión en materia de protección de datos, en particular: cuando ello vulnere los derechos legítimos de terceros; cuando el trabajo o el gasto de conceder el acceso sean desproporcionados en relación con los riesgos para la privacidad del particular dadas las circunstancias del caso (aunque los gastos y el trabajo no sean criterios que se deban valorar al determinar si conceder el acceso es razonable); en la medida en que sea probable que la comunicación de los datos afecte a la protección de intereses públicos preponderantes, como la seguridad nacional, la seguridad pública o la defensa; cuando la información contenga información comercial confidencial; cuando la información se trate únicamente con fines de investigación o estadísticos (45). Cualquier denegación o limitación de un derecho del interesado tiene que ser necesaria y estar debidamente justificada, y corresponde a la entidad demostrar el cumplimiento de tales requisitos (46). Al realizar este análisis, la entidad debe tener especialmente en consideración los intereses del particular (47). Si es posible separar la información de otros datos a los que se aplique una limitación, la entidad debe expurgar la información protegida y comunicar la información restante (48).

(32)

Además, los interesados tienen derecho a que se rectifiquen o modifiquen los datos inexactos y a que se supriman los datos tratados en vulneración de los principios en materia de privacidad (49). Por otra parte, como se explica en el considerando 15, los particulares tienen derecho a oponerse al tratamiento de sus datos con finalidades sustancialmente distintas (pero compatibles) de aquellas para las que se recogieron y a la comunicación de sus datos a terceros. Si los datos personales se utilizan con fines de mercadotecnia directa, los particulares tienen un derecho general a oponerse en todo momento al tratamiento (50).

(33)

Los principios en materia de privacidad no tratan específicamente la cuestión de las decisiones que afectan al interesado basadas únicamente en el tratamiento automatizado de datos personales. Sin embargo, en lo que respecta a los datos personales que hayan sido recogidos en la Unión, las decisiones basadas en el tratamiento automatizado las debe tomar normalmente el responsable del tratamiento de los datos en la Unión (que tiene una relación directa con el interesado de que se trate) y están, por tanto, sujetas directamente al Reglamento (UE) 2016/679 (51). Se trata, por ejemplo, de los supuestos de transferencia en los que el tratamiento lo lleva a cabo un operador económico extranjero (por ejemplo, estadounidense) que actúa como agente (encargado) del responsable de la Unión (o como subencargado que actúa por cuenta del encargado de la Unión que ha recibido los datos del responsable de la Unión que los recogió) que, por ello, toma la decisión.

(34)

Así se confirmó en el estudio encargado por la Comisión en 2018 en el marco de la segunda revisión anual del funcionamiento del Escudo de la privacidad (52), en el que se llegaba a la conclusión de que, en aquel momento, no había indicios de que las entidades participantes en el Escudo de la privacidad estuvieran tomando, de forma generalizada, decisiones automatizadas basadas en los datos personales transferidos en el marco del Escudo de la privacidad.

(35)

En cualquier caso, en los ámbitos en que es más probable que las empresas recurran al tratamiento automatizado de los datos personales para tomar decisiones que afectan al particular (por ejemplo, préstamos, hipotecas, empleo o seguros), las leyes estadounidense contemplan garantías específicas contra las decisiones que les perjudiquen (53). En dichas leyes se suele disponer que los particulares tienen derecho a ser informados de los motivos específicos de la decisión (por ejemplo, la denegación de un préstamo), a impugnar el carácter incompleto o inexacto de la información (así como el hecho de que concurran circunstancias que la hagan ilícita) y a pedir reparación. En el ámbito de los créditos al consumo, la Ley sobre la imparcialidad de las fichas de información crediticia y la Ley de igualdad de oportunidades de crédito establecen garantías que otorgan a los consumidores una suerte de derecho a pedir explicaciones y de derecho a impugnar la decisión. Estas Leyes son de aplicación a un amplio conjunto de ámbitos, como los préstamos, el empleo, la vivienda y los seguros. Además, determinadas normas contra la discriminación, como el título VII de la Ley de derechos civiles (Civil Rights Act) y la Ley de vivienda justa, brindan a los particulares protección frente a los modelos utilizados en las decisiones automatizadas que puedan dar lugar a discriminación por determinadas características, y confieren a los particulares derechos para impugnar tales decisiones, especialmente las automatizadas. Con respecto a la información sanitaria, la disposición en materia de privacidad de la Ley de portabilidad de los seguros de enfermedad y de responsabilidad respecto de estos (Health Insurance Portability and Accountability Act) crea determinados derechos similares a los del Reglamento (UE) 2016/679 con respecto al acceso a la información personal sanitaria. Además, las directrices de las autoridades estadounidenses exigen a quienes presten servicios médicos que reciban la información con la que puedan informar a los particulares de los sistemas de decisiones automatizadas utilizados en el sector médico (54).

(36)

Por lo tanto, estas reglas confieren garantías similares a las contempladas en la normativa de la Unión en materia de protección de datos en el supuesto improbable de que las propias entidades participantes tomaran decisiones automatizadas.

(37)

El nivel de protección de los datos personales que se transfieren desde la UE a entidades estadounidenses no debe verse comprometido por la transferencia ulterior de dichos datos a destinatarios estadounidenses o de terceros países.

(38)

En virtud del principio de responsabilidad proactiva por las transferencias ulteriores (55), serán de aplicación reglas especiales a las transferencias ulteriores, es decir, las transferencias de datos personales de una entidad participante a un tercero que ejerza de responsable o encargado, con independencia de si este último está establecido en los EE. UU. o en un tercer país distinto de los EE. UU. (y no comprendido en la UE). Las transferencias ulteriores solo puede tener lugar i) para fines limitados y especificados, ii) sobre la base de un contrato entre la entidad participante y el tercero (56) (o un acuerdo equivalente dentro de un grupo de sociedades de capital (57)) y iii) solo si dicho contrato exige al tercero que confiera el mismo nivel de protección que el garantizado por los principios en materia de privacidad.

(39)

Esta obligación de conferir el mismo nivel de protección que el garantizado por los principios en materia de privacidad, que debe leerse junto con el principio de principio de integridad de los datos y limitación de la finalidad, significa, en particular, que el tercero solo puede tratar la información personal que le haya sido transferida para fines que no sean incompatibles con los fines para los que fueron recogidos inicialmente o que autorizó posteriormente por el particular (de conformidad con el principio de opción).

(40)

El principio de responsabilidad proactiva por las transferencias ulteriores también debe leerse junto con el principio de notificación y, en el caso de las transferencias ulteriores a terceros responsables del tratamiento (58), con el principio de opción, según el cual los interesados deben ser informados de, entre otros aspectos, el tipo o la identidad del tercero destinatario, la finalidad de la transferencia ulterior y la opción ofrecida y pueden oponerse o, en el caso de datos delicados, tienen que dar su «consentimiento expreso» a la transferencia ulterior.

(41)

La obligación de conferir el mismo nivel de protección que el garantizado por los principios en materia de privacidad es de aplicación a todos los terceros implicados en el tratamiento de los datos así transferidos, con independencia de su ubicación (en los EE. UU. u otro tercer país), así como cuando el tercero receptor original transfiera los datos a otro tercero receptor, por ejemplo, para su subtratamiento.

(42)

En todos los casos, el contrato celebrado con el tercero receptor debe disponer que este notificará a la entidad participante si ya no puede cumplir esta obligación. Cuando se llegue a esta conclusión, el tratamiento por el tercero debe cesar o deben tomarse otras medidas razonables y adecuadas para corregir la situación (59).

(43)

Son de aplicación garantías adicionales en caso de transferencia ulterior a un tercero agente (encargado). En tal caso, la entidad estadounidense debe asegurarse de que el agente solo actúa siguiendo sus instrucciones y tomar medidas razonables y adecuadas para i) garantizar que el agente efectivamente trate los datos personales transferidos cumpliendo las obligaciones que los principios en materia de privacidad imponen a la entidad y ii) detener el tratamiento no autorizado y tomar las oportunas medidas de reparación, previa notificación (60). El Departamento de Comercio puede exigir a la entidad que aporte un resumen o una copia representativa de las cláusulas en materia de privacidad del contrato (61). Cuando se planteen problemas de cumplimiento en una cadena de (sub)tratamiento, la entidad que sea responsable del tratamiento de los datos personales es, en principio, responsable, tal como se especifica en el principio de impugnación, ejecución forzosa y responsabilidad, excepto si demuestra que no es responsable del hecho generador del perjuicio (62).

(44)

En virtud del principio de responsabilidad proactiva, las entidades que traten datos están obligadas a tomar medidas técnicas u organizativas apropiadas para cumplir efectivamente sus obligaciones en materia de protección de datos y deben poder demostrar el cumplimiento de estas obligaciones, en particular ante la autoridad de supervisión competente.

(45)

Cuando la entidad decide voluntariamente certificarse (63) en el Marco de Privacidad de Datos UE-EE. UU., contrae la obligación de cumplir plenamente los principios, que será exigible por la vía de la ejecución forzosa. En virtud del principio de impugnación, ejecución forzosa y responsabilidad (64), las entidades participantes deben establecer mecanismos eficaces para garantizar el cumplimiento de los principios en materia de privacidad. Asimismo, las entidades deben tomar medidas para verificar (65) que sus directrices en materia privacidad se ajustan a los principios en materia de privacidad y se aplican en consecuencia. Dicha verificación puede llevarse a cabo, bien mediante un sistema de autoevaluación, que debe constar de una serie de procedimientos internos que garanticen que los empleados reciben formación sobre la aplicación de las directrices en materia privacidad de la entidad y que se efectúen verificaciones objetivas periódicas del cumplimiento, bien mediante verificaciones externas, entre cuyos métodos pueden figurar las auditorías, las comprobaciones aleatorias o el uso de herramientas tecnológicas.

(46)

Además, las entidades deben conservar los documentos que prueben por escrito la implantación de sus prácticas respecto del Marco de Privacidad de Datos UE-EE. UU. y proporcionarlos previa petición, en el contexto de investigaciones o reclamaciones por incumplimiento, al organismo independiente de resolución de controversias o al organismo de garantía del cumplimiento competente (66).

(47)

El Departamento de Comercio se encarga de la administración y la supervisión del Marco de Privacidad de Datos UE-EE. UU. El Marco contempla mecanismos de supervisión y garantía del cumplimiento para verificar y garantizar que las entidades participantes cumplen los principios en materia de privacidad y que se trata de resolver los incumplimientos. Estos mecanismos se establecen en los principios en materia de privacidad (anexo I) y los compromisos asumidos por el Departamento de Comercio (anexo III), la Comisión Federal de Comercio (anexo IV) y el Departamento de Transporte (anexo V).

(48)

Para certificarse en el Marco de Privacidad de Datos UE-EE. UU. (o revalidar anualmente su certificación), las entidades están obligadas a declarar públicamente su compromiso de cumplir los principios en materia de privacidad, publicar sus directrices en materia privacidad y aplicarlas plenamente (67). Como parte de su solicitud de revalidación de la certificación, las entidades deben presentar información al Departamento de Comercio sobre, entre otros aspectos, el nombre de la entidad pertinente, la descripción de los fines para los que tratará los datos personales, los datos personales cubiertos por la certificación, así como el método de verificación elegido, el órgano independiente de impugnación pertinente y el organismo legal que tenga competencia para hacer cumplir los principios en materia de privacidad (68).

(49)

Las entidades pueden recibir datos personales en el Marco de Privacidad de Datos UE-EE. UU. desde la fecha en que sean inscritas en la lista del Marco por el Departamento de Comercio. Para preservar la seguridad jurídica y evitar las declaraciones falsas, se prohíbe a las entidades que se autocertifiquen por primera vez indicar públicamente que cumplen los principios en materia de privacidad hasta que el Departamento de Comercio haya determinado que el expediente inicial de autocertificación que ha presentado la entidad está completo y haya inscrito a la entidad en la lista del Marco de Privacidad de Datos (69). Al objeto de poder seguir acogiéndose al Marco de Privacidad de Datos UE-EE. UU. para recibir datos personales de la UE, las entidades deben revalidar cada año su certificación de participación en el Marco. Cuando la entidad deje de estar amparada por el Marco de Privacidad de Datos UE-EE. UU. por el motivo que sea, debe eliminar todas las declaraciones que den a entender que continúa participando en el Marco (70).

(50)

Como se refleja en los compromisos mencionados en el anexo III, el Departamento de Comercio debe verificar si las entidades cumplen todos los requisitos para la certificación y han aprobado directrices (públicas) en materia de privacidad con la información exigida por el principio de notificación (71). Basándose en la experiencia adquirida con el proceso de certificación (o de revalidación de la certificación) en el Escudo de la privacidad, el Departamento de Comercio debe llevar a cabo una serie de comprobaciones, en particular para verificar si las directrices en materia privacidad de las entidades incluyen un enlace al formulario de reclamación correcto en el sitio web del órgano de resolución de controversias pertinente y, cuando el expediente de certificación comprenda a varias filiales y sucursales de la entidad, si las directrices en materia privacidad de cada una de esas filiales cumplen los requisitos para la certificación y están a disposición de los interesados (72). Además, el Departamento de Comercio debe llevar a cabo, cuando sea necesario, comprobaciones concertadas con la Comisión Federal de Comercio y el Departamento de Transporte para verificar que las entidades están realmente sujetas al organismo de supervisión indicado en el expediente de certificación (o de revalidación de la certificación), y colaborará con los organismos de resolución alternativa de controversias para verificar que las entidades están dadas de alta realmente ante el órgano independiente de impugnación indicado en el expediente de certificación (o de revalidación de la certificación) (73).

(51)

El Departamento de Comercio debe informar a las entidades de que, para completar la certificación (o la revalidación de la certificación), deben resolver todos los problemas detectados durante su revisión. Si la entidad no responde en el plazo fijado por el Departamento de Comercio (por ejemplo, en lo que respecta a la revalidación de la certificación, se espera que el proceso se complete en un plazo de cuarenta y cinco días) (74) o de algún otro modo no completa su certificación, la certificación se considera desistida. En ese caso, cualquier engaño sobre la participación en el Marco de Privacidad de Datos UE-EE. UU., o sobre su cumplimiento, puede desencadenar actuaciones de ejecución forzosa por parte de la Comisión Federal de Comercio o Departamento de Transporte (75).

(52)

Para garantizar la correcta aplicación del Marco de Privacidad de Datos UE-EE. UU., las partes interesadas, como los particulares afectados, los exportadores de datos y las APD nacionales, deben poder identificar a las entidades que se comprometen a cumplir los principios en materia de privacidad. Para garantizar la transparencia desde el comienzo, el Departamento de Comercio se ha comprometido a publicar y mantener actualizada la lista de las entidades que han certificado su cumplimiento de los principios en materia de privacidad y están sujetas a la competencia de, como mínimo, uno de los organismos de garantía del cumplimiento mencionados en los anexos IV y V de la presente Decisión (76). El Departamento de Comercio debe actualizar dicha lista en función de las revalidaciones anuales de las autocertificaciones de las entidades y cada vez que una entidad se dé de baja o sea eliminada del Marco de Privacidad de Datos UE-EE. UU. Por otra parte y para garantizar la transparencia también al final, debe publicar y mantener actualizado el registro de las entidades que ya no formen parte de la lista, con indicación en cada caso del motivo de dicha eliminación (77). Por último, debe proporcionar un enlace al sitio web de la Comisión Federal de Comercio sobre el Marco de Privacidad de Datos UE-EE. UU. en el que se enumerarán las competencias de la Comisión Federal de Comercio de garantía del cumplimiento respecto del Marco (78).

(53)

El Departamento de Comercio debe controlar de forma continuada el cumplimiento efectivo de los principios en materia de privacidad por parte de las entidades participantes a través de diferentes mecanismos (79). En particular, debe llevar a cabo inspecciones sin aviso de entidades seleccionadas aleatoriamente, así como inspecciones sin aviso ad hoc de entidades específicas cuando se detecten posibles deficiencias en el cumplimiento (por ejemplo, las puestas en conocimiento del Departamento de Comercio por terceros) para verificar si: i) el punto o puntos de contacto responsables de la tramitación de las reclamaciones y las solicitudes de los interesados están disponibles y dan respuesta; ii) las directrices en materia de privacidad de la entidad se pueden visualizar sin restricciones tanto en su sitio web como a través de un enlace en el sitio web del Departamento de Comercio; iii) las directrices en materia de privacidad de la entidad siguen cumpliendo los requisitos para la certificación; y iv) el organismo independiente de resolución de controversias indicado por la entidad está disponible para conocer de las reclamaciones (80).

(54)

Si hay indicios creíbles de que la entidad no cumple sus compromisos a efectos del Marco de Privacidad de Datos UE-EE. UU. (en particular, si el Departamento de Comercio recibe reclamaciones o si la entidad no responde satisfactoriamente a las solicitudes del Departamento), este debe exigir a la entidad que cumplimente y envíe el cuestionario pormenorizado correspondiente (81). Si la entidad no responde oportuna y satisfactoriamente, se remite el asunto a la autoridad competente (Comisión Federal de Comercio o Departamento de Transporte) para que tome las medidas necesarias para garantizar el cumplimiento (82). Como parte de sus actividades de control del cumplimiento en el Escudo de la privacidad, el Departamento de Comercio llevó a cabo periódicamente las inspecciones sin aviso mencionadas en el considerando 53 e hizo un seguimiento constante de los informes públicos, lo que le permitió detectar, tratar y resolver los problemas de cumplimiento (83). Las entidades que incumplan sistemáticamente los principios en materia de privacidad son eliminadas de la lista del Marco de Privacidad de Datos y deben devolver o suprimir la información personal que hubiesen recibido con arreglo al Marco (84).

(55)

En los demás casos de eliminación de la lista, como la baja voluntaria o la falta de revalidación de la certificación, la entidad debe suprimir o devolver los datos, pero también puede conservarlos si revalida cada año ante el Departamento de Comercio su compromiso de continuar aplicando los principios en materia de privacidad o confiere una protección adecuada a los datos personales por otros medios autorizados (por ejemplo, con un contrato que contenga todos los requisitos de las cláusulas contractuales tipo adoptadas por la Comisión) (85). En este caso, la entidad también tiene que nombrar un punto de contacto, dentro de la entidad, para todas las cuestiones relacionadas con el Marco de Privacidad de Datos UE-EE. UU.

(56)

El Departamento de Comercio debe hacer un seguimiento de las posibles declaraciones falsas de participación en el Marco de Privacidad de Datos UE-EE. UU. y del uso indebido de la marca de certificación del Marco, tanto de oficio como previa reclamación (por ejemplo, recibidas de las APD) (86). En particular, debe verificar de forma continuada que las entidades que i) se den de baja en el Marco de Privacidad de Datos UE-EE. UU., ii) no hayan completado la revalidación anual de la certificación (es decir, bien porque iniciaron el trámite, pero no lo completaron a su debido tiempo, bien porque nunca lo iniciaron), iii) no hayan sido eliminadas como participantes, en particular por «incumplimiento sistemático», o iv) no hayan completado la certificación inicial (es decir, porque iniciaron el trámite, pero no lo completaron a su debido tiempo), eliminen toda referencia de las directrices en materia de publicidad pertinentes que implique que participan activamente en el Marco (87). El Departamento de Comercio también debe realizar búsquedas en internet para hallar referencias al Marco de Privacidad de Datos UE-EE. UU. en las directrices en materia privacidad de las entidades, incluida la detección de declaraciones falsas de entidades que nunca hayan participado en el Marco (88).

(57)

Cuando el Departamento de Comercio constate que las referencias al Marco de Privacidad de Datos UE-EE. UU. no se han eliminado o se utilizan indebidamente, informará a la entidad de que, si no se subsana la situación, puede remitir el asunto a la Comisión Federal de Comercio o al Departamento de Transporte (89). Si la entidad no responde satisfactoriamente, el Departamento de Comercio debe remitir el asunto al organismo competente para que tome las medidas oportunas (90). Todo engaño en la información dada a conocer al público en lo referente al cumplimiento por parte de la entidad de los principios en materia de privacidad en forma de declaraciones o prácticas engañosas puede ser objeto de medidas de ejecución forzosa de la Comisión Federal de Comercio, del Departamento de Transporte u otros organismos de garantía del cumplimiento pertinentes estadounidenses. Los engaños en la información transmitida al Departamento pueden castigarse en el marco de la Ley de declaraciones falsas (False Statements Act; título 18, artículo 1001, del Código de Estados Unidos).

(58)

Con el fin de garantizar un nivel de protección adecuado de los datos en la práctica, debe haber una autoridad de control independiente encargada de supervisar el cumplimiento de la normativa en materia de protección de datos y hacerla cumplir en caso necesario.

(59)

Las entidades participantes deben estar sujetas a la competencia de las autoridades estadounidenses competentes (la Comisión Federal de Comercio y el Departamento de Transporte), que disponen de las competencias de investigación y ejecución forzosa necesarias para garantizar el cumplimiento efectivo de los principios en materia de privacidad (91).

(60)

La Comisión Federal de Comercio es una autoridad independiente compuesta por cinco comisarios, nombrados por el presidente con el asesoramiento y la autorización del Senado (92). Los comisarios son nombrados por un mandato de siete años y solo pueden ser destituidos por el presidente por ineficiencia, incumplimiento de deberes o delitos contra la Administración pública. La Comisión Federal de Comercio no puede tener más de tres comisarios del mismo partido político y los comisarios no pueden ejercer, mientras ocupen este cargo, ninguna otro actividad empresarial, profesional o laboral.

(61)

La Comisión Federal de Comercio puede realizar investigaciones sobre el cumplimiento de los principios en materia de privacidad, así como sobre las declaraciones falsas de cumplimiento de los principios o de participación en el Marco de Privacidad de Datos UE-EE. UU. por parte de las entidades que ya no figuren en la lista del Marco o que nunca se hayan certificado (93). También puede exigir coercitivamente el cumplimiento solicitando que se dicten resoluciones administrativas o resoluciones judiciales federales (como las resoluciones de constatación de la avenencia, dictadas para homologar los convenios transaccionales) (94) con las que imponer medidas cautelares o permanentes u otras medidas de reparación, y hace un seguimiento sistemático del cumplimiento de dichas resoluciones (95). Si las entidades incumplen dichas resoluciones, la Comisión Federal de Comercio puede solicitar la imposición de multas y otras medidas de reparación, incluida la indemnización por cualquier perjuicio ocasionado por la conducta infractora. Las resoluciones de constatación de la avenencia dictadas respecto de entidades participantes contienen obligaciones de información (96) y las entidades tienen que publicar todas las secciones pertinentes relacionadas con el Marco de Privacidad de Datos UE-EE. UU. de todo informe de cumplimiento o evaluación presentados a la Comisión Federal de Comercio. Por último, la Comisión Federal de Comercio publica en línea la lista de las entidades objeto de las resoluciones judiciales o dictadas por la Comisión Federal de Comercio en los asuntos relativos al Marco de Privacidad de Datos UE-EE. UU. (97).

(62)

Con respecto al Escudo de la privacidad, la Comisión Federal de Comercio emprendió medidas de ejecución forzosa en unos veintidós casos, tanto en relación con la vulneración de requisitos específicos del marco (por ejemplo, que la entidad no declarase al Departamento de Comercio que siguió aplicando las garantías del Escudo de la privacidad después de que se diese de baja en este; que no verificase, mediante una autoevaluación o una verificación externa del cumplimiento, que cumplía el marco) (98) como con declaraciones falsas de participación en el marco (por ejemplo, por parte de entidades que no completaron el proceso de certificación o que no renovaron anualmente su certificación, pero seguían afirmando participar en el marco) (99). Estas medidas de ejecución forzosa se debieron, entre otras cosas, al uso proactivo de los requerimientos administrativos para obtener información de determinados participantes en el Escudo de la privacidad para comprobar si se habían producido vulneraciones sustanciales de las obligaciones del Escudo de la privacidad (100).

(63)

Con carácter más general, la Comisión Federal de Comercio ha emprendido en los últimos años medidas de ejecución forzosa en una serie de casos relativos al cumplimiento de las exigencias específicas en materia de protección de datos que también están contempladas en el Marco de Privacidad de Datos UE-EE. UU., como, por ejemplo, los principios de limitación de la finalidad y conservación de los datos (101), de minimización de los datos (102), de seguridad de los datos (103) y de exactitud de los datos (104).

(64)

El Departamento de Transporte tiene competencia exclusiva para regular las prácticas en materia de privacidad de las aerolíneas y tiene competencia compartida con la Comisión Federal de Comercio con respecto a las prácticas en materia de privacidad de los agentes de venta de billetes en la comercialización de este tipo de transporte. Los funcionarios del Departamento de Transporte tratan en primer lugar de lograr un convenio transaccional y, si esto no es posible, pueden iniciar un proceso de ejecución, con audiencia probatoria ante un juez de lo contencioso-administrativo del Departamento de Transporte, que tiene potestad para dictar órdenes de cese de actividad e imponer sanciones pecuniarias (105). Los jueces de lo contencioso-administrativo gozan de varias prerrogativas en virtud de la Ley de lo contencioso-administrativo (Administrative Procedure Act) para garantizar su independencia e imparcialidad. Por ejemplo, solo pueden ser separados del servicio por causa justificada; se asignan los asuntos mediante turno de reparto; no pueden desempeñar funciones incompatibles con sus deberes y responsabilidades como jueces de lo contencioso-administrativo; no están sujetos a la supervisión de la unidad de investigación de la autoridad para la que trabajan (en este caso, el Departamento de Transporte); y deben desempeñar su función jurisdiccional y de ejecución con imparcialidad (106). El Departamento de Transporte se ha comprometido a hacer un seguimiento de las resoluciones de ejecución forzosa y a garantizar que las que se deriven de los casos relacionados con los principios del Marco de Privacidad de Datos UE-EE. UU. se puedan consultar en su sitio web (107).

(65)

Para que exista una protección adecuada y, en particular, que se puedan tutelar los derechos individuales por la vía coercitiva, el interesado debe poder ejercitar acciones judiciales y solicitar medidas administrativas con fines reparatorios.

(66)

El Marco de Privacidad de Datos UE-EE. UU. obliga, a través del principio de impugnación, ejecución forzosa y responsabilidad, a las entidades a ofrecer vías de reparación a los particulares afectados por incumplimientos y, por tanto, a darles la posibilidad de presentar reclamaciones en relación con el incumplimiento de las entidades participantes; estas reclamaciones deben resolverse, en su caso, con una resolución que disponga medidas reparatorias eficaces (108). Como parte de su certificación, las entidades deben cumplir las exigencias de dicho principio estableciendo vías de reparación que se puedan activar inmediatamente y creando órganos independientes de impugnación eficaces que puedan investigar y resolver rápidamente las reclamaciones y controversias sin coste alguno para el interesado (109).

(67)

Las entidades pueden optar por órganos independientes de impugnación en la UE o en los EE. UU. Como se explica con más detalle en el considerando 73, esto incluye la posibilidad de comprometerse voluntariamente a cooperar con las APD de la UE. Cuando las entidades traten datos de recursos humanos, dicho compromiso de cooperar con las APD de la UE es obligatorio. Otras opciones son la resolución alternativa de controversias independiente o los programas de protección de la privacidad concebidos por el sector privado que incorporen los principios en materia de privacidad en sus reglas. Estos últimos deben incluir mecanismos de ejecución eficaces de conformidad con los requisitos del principio de impugnación, ejecución forzosa y responsabilidad.

(68)

Por consiguiente, el Marco de Privacidad de Datos UE-EE. UU. otorga a los interesados una serie de posibilidades para hacer valer sus derechos y presentar reclamaciones en relación con el incumplimiento de las entidades participantes; asimismo, contempla que se resuelvan sus reclamaciones, en su caso, con una resolución que imponga medidas reparatorias eficaces. Los particulares pueden presentar su reclamación directamente a la entidad, al organismo independiente de resolución de controversias designado por la entidad, a las APD nacionales, al Departamento de Comercio o a la Comisión Federal de Comercio. Cuando sus reclamaciones no sean resueltas por ninguna de estas vías, los particulares tienen derecho a solicitar la incoación de un proceso arbitral vinculante (anexo I del anexo I de la presente Decisión). Excepto por lo que se refiere al tribunal arbitral, que exige que se agoten ciertas vías de impugnación antes de acudir a él, los particulares tienen la posibilidad de seguir alguna o todas las vías de su elección y no están obligados a elegir una vía antes que otra ni a seguir una secuencia específica.

(69)

En primer lugar, los interesados de la UE pueden buscar una solución en caso de incumplimiento de los principios en materia de privacidad poniéndose en contacto directamente con la entidad participante en cuestión (110). Al objeto de facilitar la resolución, la entidad deberá establecer una vía reparatoria eficaz para tales reclamaciones. Las directrices en materia de privacidad de la entidad han de indicar por tanto claramente cuál es el punto de contacto, ya sea interno o externo, que se encarga de tramitar las reclamaciones (incluido cualquier establecimiento pertinente en la UE que pueda atender las consultas o reclamaciones), e informar asimismo del organismo independiente de resolución de controversias designado por la entidad (véase el considerando 70). Cuando reciba la reclamación del particular, directamente de este o a través del Departamento de Comercio tras haber sido remitida por una APD, la entidad debe responder al interesado de la UE en un plazo de cuarenta y cinco días (111). Asimismo, las entidades tienen la obligación de responder sin demora a las consultas y demás solicitudes de información del Departamento de Comercio o de una APD (112) (en el supuesto de que la entidad se haya comprometido a cooperar con las APD), con respecto a su cumplimiento de los principios en materia de privacidad.

(70)

En segundo lugar, los particulares también pueden presentar su reclamación directamente al organismo independiente de resolución de controversias (de los EE. UU. o de la UE) designado por la entidad que se encargue de investigar y resolver las reclamaciones de los particulares (salvo que sean manifiestamente infundadas o insustanciales) y ofrecer al particular una vía de impugnación adecuada y gratuita (113). Las sanciones y medidas reparatorias impuestas por dicho organismo han de ser lo suficientemente severas para garantizar el cumplimiento de los principios en materia de privacidad por parte de las entidades, y debe poder exigirse la anulación o reparación por estas últimas de los efectos del incumplimiento y, según el caso, el cese del tratamiento de los datos personales en cuestión y/o la supresión de estos, así como la publicidad de los incumplimientos constatados (114). Los organismos independientes de resolución de controversias designados por las entidades tienen que incluir en sus sitios web públicos información pertinente sobre el Marco de Privacidad de Datos UE-EE. UU. y los servicios que prestan en este sentido (115). Todos los años deben publicar un informe anual con estadísticas agregadas sobre estos servicios (116).

(71)

Como parte de sus procedimientos de control del cumplimiento, el Departamento de Comercio puede verificar que las entidades participantes estén dadas de alta realmente ante los órganos independientes de impugnación que ellas mismas han especificado (117). Las entidades y los órganos independientes de impugnación competentes deben responder rápidamente a las consultas y solicitudes de información del Departamento de Comercio relacionadas con el Marco de Privacidad de Datos UE-EE. UU. El Departamento de Comercio debe colaborar con los órganos independientes de impugnación para verificar que incluyen en sus sitios web información sobre los principios en materia de privacidad y los servicios que prestan en el Marco de Privacidad de Datos UE-EE. UU. y que publican informes anuales (118).

(72)

Cuando la entidad incumpla la resolución del organismo de resolución de controversias o del organismo del ámbito autorregulatorio, este debe notificar dicho incumplimiento al Departamento de Comercio y a la Comisión Federal de Comercio (o a otra autoridad estadounidense competente para investigar el incumplimiento de la entidad) o al órgano jurisdiccional competente (119). Si la entidad se niega a cumplir la resolución firme del organismo del ámbito autorregulatorio en materia de privacidad, del organismo independiente de resolución de controversias o de un organismo público competente o si dicho organismo determina que la entidad incumple frecuentemente los principios en materia de privacidad, tal circunstancia se puede considerar un incumplimiento sistemático, lo que tiene como consecuencia que el Departamento de Comercio, tras notificar a la entidad con treinta días de antelación y brindarle la oportunidad de responder, elimina a dicha entidad de la lista del Marco de Privacidad de Datos (120). Si, una vez eliminada de la lista, la entidad sigue afirmando participar en el Marco de Privacidad de Datos UE-EE. UU., el Departamento de Comercio debe remitir el asunto a la Comisión Federal de Comercio u otro organismo de garantía del cumplimiento (121).

(73)

En tercer lugar, los particulares también pueden presentar sus reclamaciones a las APD nacionales de la UE, que pueden ejercer las competencias investigativas y correctivas que les atribuye el Reglamento (UE) 2016/679. Las entidades están obligadas a cooperar en la investigación y la resolución de las reclamaciones por parte de las APD por lo que respecta al tratamiento de datos de recursos humanos recogidos en el marco de la relación laboral o cuando la entidad en cuestión se haya sometido voluntariamente a la supervisión por parte de las APD (122). En concreto, las entidades deben responder a las consultas, acatar los dictámenes de las APD, en particular las medidas reparatorias o indemnizatorias, y comunicar por escrito a las APD la toma de las medidas correspondientes (123). En caso de incumplimiento de los dictámenes de las APD, estas remitirán el asunto al Departamento de Comercio (que puede eliminar a las entidades correspondientes de la lista del Marco de Privacidad de Datos) o, con fines coercitivos, a la Comisión Federal de Comercio o al Departamento de Transporte (el incumplimiento del compromiso de cooperar con las APD, así como de los principios en materia de privacidad, puede ser objeto de acciones de ejecución forzosa en virtud del Derecho estadounidense) (124).

(74)

Para facilitar la cooperación a efectos de una tramitación eficaz de las reclamaciones, tanto el Departamento de Comercio como la Comisión Federal de Comercio han nombrado un punto de contacto específico responsable del contacto directo con las APD (125). Estos puntos de contacto ayudan a resolver las consultas de las APD sobre el cumplimiento de los principios en materia de privacidad por parte de una entidad en concreto.

(75)

Las APD emiten el dictamen (126) una vez que las partes enfrentadas hayan dispuesto de tiempo razonable para formular sus observaciones y aportar las pruebas que deseen. El panel trata de pronunciarse tan pronto como lo permita el respeto de las garantías procesales y, por regla general, en los sesenta días siguientes a la recepción de la reclamación (127). Si la entidad no cumple transcurridos veinticinco días desde que se recibió el dictamen y no ha dado una explicación satisfactoria sobre el retraso, el panel puede notificar su intención ya sea de remitir la reclamación a la Comisión Federal de Comercio (u otro organismo de garantía del cumplimiento estadounidense), ya sea de certificar que se ha vulnerado gravemente el compromiso de cooperar. El primer supuesto puede desencadenar un procedimiento de garantía del cumplimiento con arreglo al artículo 5 de la Ley de la Comisión Federal de Comercio (u otra ley equivalente) (128). En el segundo supuesto, el panel informa al Departamento de Comercio, que debe considerar que la negativa de la entidad a cumplir el dictamen del panel de la APD constituye un incumplimiento sistemático y, por tanto, eliminarla de la lista del Marco de Privacidad de Datos.

(76)

Si la APD a la que se ha dirigido la reclamación no toma medidas al respecto o estas son insuficientes, el reclamante puede impugnar judicialmente esta situación en el Estado miembro de la UE de que se trate.

(77)

Los particulares también pueden presentar reclamaciones a las APD, incluso cuando el panel de las APD no haya sido designado como organismo de resolución de controversias de la entidad. En estos casos, la APD puede remitir dichas reclamaciones al Departamento de Comercio o a la Comisión Federal de Comercio. Con el fin de facilitar y mejorar la cooperación en lo relativo a las reclamaciones de particulares y al incumplimiento por parte de las entidades participantes, el Departamento de Comercio debe nombrar un punto de contacto específico que servirá de enlace y ayudará a resolver las consultas de las APD sobre el cumplimiento de los principios en materia de privacidad por parte de una entidad en concreto (129). Asimismo, la Comisión Federal de Comercio se ha comprometido a nombrar un punto de contacto específico (130).

(78)

En cuarto lugar, el Departamento de Comercio se ha comprometido a recibir, examinar y hacer todo lo posible por resolver las reclamaciones relativas al incumplimiento de los principios en materia de privacidad por parte de las entidades (131). A tal efecto, ha establecido procedimientos especiales para que las APD puedan remitir las reclamaciones al punto de contacto específico, realizar un seguimiento de las mismas y cooperar con las entidades interesadas para facilitar su resolución (132). Con objeto de agilizar la tramitación de las reclamaciones de los particulares, el punto de contacto trata directamente con la APD pertinente las cuestiones relacionadas con el cumplimiento y, en particular, la pone al tanto del estado de las reclamaciones en un plazo no superior a los noventa días siguientes a la remisión de estas (133). De este modo, los interesados pueden presentar las reclamaciones por incumplimiento de las entidades participantes directamente ante su APD nacional, y esta puede remitirlas al Departamento de Comercio, que es la autoridad estadounidense encargada de la administración del Marco de Privacidad de Datos UE-EE. UU.

(79)

Si, a partir de sus verificaciones de oficio, de las reclamaciones recibidas o de cualquier otra información, el Departamento de Comercio llega a la conclusión de que una entidad ha incumplido de forma sistemática los principios en materia de privacidad, puede eliminarla de la lista del Marco de Privacidad de Datos (134). Se considera incumplimiento sistemático la negativa a cumplir la resolución firme del organismo del ámbito autorregulatorio en materia de privacidad, del organismo independiente de resolución de controversias o de un organismo público competente, incluidas las APD (135).

(80)

En quinto lugar, las entidades participantes deben estar sujetas a la competencia de las autoridades estadounidenses, en particular de la Comisión Federal de Comercio (136), que disponen de las competencias de investigación y ejecución forzosa necesarias para garantizar efectivamente el cumplimiento de los principios en materia de privacidad. La Comisión Federal de Comercio da prioridad a las reclamaciones por incumplimiento de los principios en materia de privacidad remitidas por los organismos independientes de resolución de controversias o los organismos del ámbito autorregulatorio, el Departamento de Comercio y las APD (de oficio o previa reclamación) para determinar si se ha vulnerado el artículo 5 de la Ley de la Comisión Federal de Comercio (137). La Comisión Federal de Comercio se ha comprometido a crear un procedimiento normalizado de remisión, a nombrar un punto de contacto de entre su personal al que las APD puedan remitir las reclamaciones y a intercambiar información sobre las reclamaciones remitidas. Asimismo, puede admitir a trámite las reclamaciones que presenten directamente los particulares y emprender investigaciones de oficio en relación con el Marco de Privacidad de Datos UE-EE. UU., en particular como parte de su actividad de investigación más amplia de cuestiones relacionadas con la privacidad.

(81)

En sexto lugar, como instancia de último recurso en el supuesto de que ninguna de las anteriores vías disponibles haya resuelto de manera satisfactoria la reclamación del particular, el interesado de la UE puede solicitar la incoación de un proceso arbitral vinculante al Panel del Marco de Privacidad de Datos UE-EE. UU. (138). Las entidades deben informar a los particulares sobre la posibilidad de solicitar la incoación de un proceso arbitral vinculante y están obligadas a dar respuesta cuando el particular presente dicha solicitud (139).

(82)

El Panel del Marco de Privacidad de Datos UE-EE. UU. está integrado por un grupo mínimo de diez árbitros nombrados por el Departamento de Comercio y la Comisión Europea por su destacada independencia, integridad y experiencia con la normativa estadounidense en materia de privacidad y la normativa de la Unión en materia de protección de datos. En cada litigio, las partes seleccionan de este grupo un tribunal arbitral compuesto por uno o tres árbitros (140).

(83)

El Centro Internacional de Resolución de Controversias (International Centre for Dispute Resolution), que es la división internacional de la Asociación Estadounidense de Arbitraje (American Arbitration Association) (denominadas conjuntamente en lo sucesivo «el CIRC y la AEA»), fue seleccionado por el Departamento de Comercio para gestionar los arbitrajes. Los procesos de los que conozca el Panel del Marco de Privacidad de Datos UE-EE. UU. se rigen por un conjunto pactado de reglas de arbitraje y un código de conducta para los árbitros. El sitio web del CIRC y la AEA ofrece información clara y concisa a los particulares sobre el arbitraje y el procedimiento para solicitar la incoación del proceso arbitral.

(84)

Las reglas de arbitraje acordadas por el Departamento de Comercio y la Comisión Europea complementan el Marco de Privacidad de Datos UE-EE. UU., que cuenta con varios elementos que facilitan el recurso a esta vía por parte de los interesados de la UE: i) en la preparación de sus alegaciones ante el tribunal arbitral, el interesado puede recibir ayuda de su APD nacional; ii) si bien el arbitraje se debe celebrar en los EE. UU., los interesados de la UE pueden participar, si lo desean, por videoconferencia o conferencia telefónica sin coste alguno para ellos; iii) si bien el arbitraje se debe desarrollar, en principio, en inglés, previa solicitud motivada, normalmente se proporciona un servicio de traducción e interpretación en las audiencias arbitrales sin coste para el interesado; iv) por último, si bien cada parte debe pagar los honorarios de sus respectivos abogados en caso de contar con representación letrada ante el tribunal arbitral, el fondo creado por el Departamento de Comercio y financiado con las aportaciones anuales de las entidades participantes ha de sufragar los gastos del proceso arbitral hasta los importes máximos que determinen las autoridades estadounidenses tras consultarlo con la Comisión Europea (141).

(85)

El Panel del Marco de Privacidad de Datos UE-EE. UU. tiene competencia para imponer las medidas específicas, equitativas y no monetarias (142) necesarias para reparar el incumplimiento de los principios en materia de privacidad. Si bien el tribunal arbitral debe tener en cuenta en su apreciación las medidas de reparación que ya se hayan dictado en las demás vías de impugnación que contempla el Marco de Privacidad de Datos UE-EE. UU., los particulares afectados pueden recurrir de todos modos al arbitraje si consideran que tales medidas son insuficientes. De este modo, los interesados de la UE pueden solicitar la incoación de un proceso arbitral en todos aquellos casos en los que, por la actuación u omisión de las entidades participantes, los órganos independientes de impugnación o las autoridades estadounidenses competentes (por ejemplo, la Comisión Federal de Comercio) no se haya resuelto de manera satisfactoria sus reclamaciones. No se puede solicitar la incoación de un proceso arbitral si la APD esté facultada para resolver la reclamación en cuestión con respecto a la entidad participante, en particular cuando la entidad tenga la obligación de cooperar y de acatar los dictámenes de las APD en relación con el tratamiento de los datos de recursos humanos recogidos en el marco de relaciones laborales o se haya comprometido voluntariamente a hacerlo. En virtud de la Ley federal de arbitraje, los particulares pueden solicitar a los órganos jurisdiccionales estadounidenses la ejecución forzosa del laudo arbitral, lo que constituye una garantía para aquellos en caso de incumplimiento por parte de la entidad.

(86)

En séptimo lugar, si la entidad no cumple su compromiso de cumplir los principios en materia de privacidad y las directrices en materia de privacidad que ha publicado, la normativa estadounidense también contempla acciones judiciales, como la de indemnización por daños y perjuicios. Por ejemplo, en determinadas condiciones, los particulares pueden ejercitar acciones judiciales (incluida la de indemnización por daños y perjuicios) con arreglo a la legislación de los Estados federados en materia de consumo en casos de engaños fraudulentos y de actos o prácticas desleales o engañosos (143) y con arreglo al Derecho sobre la responsabilidad civil (en particular, la responsabilidad por violación de la privacidad (144), por apropiación del nombre o la imagen (145) y por injuria con publicidad (146)).

(87)

En conjunto, las distintas vías procesales antes descritas garantizan que las reclamaciones por incumplimiento del Marco de Privacidad de Datos UE-EE. UU. por parte de las entidades certificadas sean resueltas de forma efectiva y se tomen medidas de reparación.

(88)

La Comisión ha evaluado asimismo las limitaciones y garantías previstas, incluidos los mecanismos de supervisión y las vías de impugnación para los particulares contemplados en el Derecho estadounidense en lo que respecta a la recogida y la utilización ulterior por los poderes públicos estadounidenses de los datos personales transferidos a responsables y encargados del tratamiento en los EE. UU. en aras del interés público, en particular a efectos penales y de seguridad nacional (acceso de los poderes públicos) (147). A la hora de evaluar si, con arreglo a la presente Decisión, las condiciones en las que el acceso de los poderes públicos a los datos transferidos a los EE. UU. superan la prueba de la equivalencia sustancial a efectos del artículo 45, apartado 1, del Reglamento (UE) 2016/679, según la interpretación del TJUE a la luz de la Carta de los Derechos Fundamentales, la Comisión tuvo en cuenta, en particular, los criterios siguientes.

(89)

En particular, cualquier limitación del ejercicio del derecho a la protección de los datos personales debe ser establecida por ley, y la base legal que permita la injerencia en dicho derecho debe definir ella misma el alcance de la limitación del ejercicio del derecho de que se trate (148). Además, para cumplir el requisito de proporcionalidad, según el cual las excepciones a la protección de los datos personales y las limitaciones de esa protección no deben exceder de lo estrictamente necesario en una sociedad democrática para lograr objetivos específicos de interés general equivalentes a los reconocidos por la Unión, la base legal debe establecer reglas claras y precisas que regulen el alcance y la aplicación de las medidas en cuestión e imponer unas exigencias mínimas, de modo que las personas cuyos datos se hayan transferido dispongan de garantías suficientes que permitan proteger de manera eficaz sus datos de carácter personal contra los riesgos de abuso (149). Por otra parte, estas reglas y garantías deben ser exigibles por los particulares y vinculantes (150). En concreto, los interesados han de tener la posibilidad de ejercer acciones en Derecho ante un tribunal independiente e imparcial para acceder a los datos personales que les conciernen o para obtener su rectificación o supresión (151).

(90)

Por lo que se refiere a las injerencias en los datos personales transferidos en el Marco de Privacidad de Datos UE-EE. UU. con fines penales, la normativa estadounidense impone una serie de limitaciones al acceso a los datos personales y su uso y contempla mecanismos de supervisión y vías de impugnación que se ajustan a las exigencias mencionadas en el considerando 89 de la presente Decisión. Las condiciones en las que se puede tener acceso y las garantías aplicables al ejercicio de estas competencias se precisan con detalle en las secciones siguientes. A este respecto, el Ejecutivo estadounidense [a través del Departamento de Justicia (Department of Justice)] también se ha comprometido a aplicar con rigor las limitaciones y garantías contempladas (anexo VI de la presente Decisión).

(91)

Los fiscales federales y los agentes de investigación federales estadounidenses pueden acceder a los datos personales tratados por entidades estadounidenses certificadas que se transfieran desde la Unión al amparo del Marco de Privacidad de Datos UE-EE. UU. con fines penales con arreglo a procedimientos diferentes, como se explica con más detalle en los considerandos 92 a 99. Estos procedimientos se aplican también cuando la información se obtiene de cualquier entidad estadounidense, independientemente de la nacionalidad o el lugar de residencia de los interesados afectados (152).

(92)

En primer lugar, a petición de un agente de policía federal o de un abogado del Estado, el juez puede dictar una orden de registro o incautación (incluida la información almacenada electrónicamente) (153). Tal orden solo puede dictarse si existe una causa probable (154) de que los elementos objeto de incautación (pruebas de un delito, objetos de posesión ilegal o bienes utilizados en la comisión de un delito o diseñados o destinados con tal fin) se encuentren en el lugar especificado en la orden. La orden debe especificar los bienes u objetos que deban incautarse y designar al juez al que debe devolverse la orden. La persona objeto de un registro o cuyo patrimonio sea objeto de registro puede impugnar las pruebas obtenidas o derivadas de un registro ilícito si dichas pruebas se aportan en su contra durante el proceso penal (155). Cuando se exija al titular de los datos (por ejemplo, una empresa) que comunique los datos en virtud de una orden judicial, este puede, en particular, impugnar la orden si esta resulta excesivamente onerosa (156).

(93)

En segundo lugar, en la investigación de determinados delitos graves (157), normalmente a petición de un fiscal federal, el jurado de acusación (sección instructora del órgano jurisdiccional para la que se nombra un juez penal o un juez de paz) puede dictar un requerimiento para exigir a alguien que presente o aporte de otro modo documentos empresariales, información almacenada electrónicamente u otros elementos tangibles. Además, son varias las leyes que autorizan el uso de los requerimientos administrativos para que se presenten o aporten de otro modo documentos empresariales, información almacenada electrónicamente u otros elementos tangibles en las investigaciones relacionadas con el fraude sanitario, el maltrato infantil, la protección de los servicios secretos y las sustancias controladas, así como las investigaciones de los inspectores generales (158). En ambos casos, la información debe ser pertinente para la investigación y el requerimiento no puede ser irrazonable, por ser excesivo, opresivo u oneroso (y puede ser impugnado por el destinatario por estos motivos) (159).

(94)

Condiciones muy similares se aplican a los requerimientos administrativos dictados para conseguir acceso a datos en posesión de empresas estadounidenses con fines civiles o regulatorios (interés público). La competencia de los organismos que tengan responsabilidades civiles o regulatorias para dictar requerimientos administrativos debe establecerse por ley. El empleo de los requerimientos administrativos está sujeto a una prueba de verosimilitud, según la cual es preciso que la investigación persiga una finalidad legítima, que la información solicitada con el requerimiento administrativo sea pertinente para esa finalidad, que el organismo no tenga ya la información que solicita y que se respete el procedimiento administrativo para dictar el requerimiento administrativo (160). La Corte Suprema ha aclarado en su jurisprudencia que es necesario hallar un equilibrio entre la importancia del interés público de la información solicitada y la importancia de los intereses privados personales y organizativos (161). Si bien los requerimientos administrativos no están sometidos a aprobación judicial previa, si son controlados judicialmente si los recurre el destinatario por los motivos antes mencionados o si el organismo trata de ejecutar forzosamente el requerimiento administrativo por la vía judicial (162). Además de estas limitaciones generales transversales, en leyes específicas pueden establecerse requisitos específicos más estrictos (163).

(95)

En tercer lugar, hay varias bases legales que permiten a las autoridades acceder con fines penales a los datos de comunicaciones. Los órganos jurisdiccionales pueden dictar una resolución por la que se autorice la recogida, en tiempo real, de información no sustantiva sobre el marcado, el enrutamiento, el direccionamiento y la señalización de un número de teléfono o de una dirección de correo electrónico (mediante el empleo de dispositivos de registro de comunicaciones salientes y entrantes) si considera que la autoridad solicitante ha justificado que la información que probablemente se obtendrá es pertinente para una investigación penal en curso (164). La resolución judicial debe, entre otras cuestiones, especificar la identidad, si se conoce, del sospechoso, las características de las comunicaciones a las que se aplica y el delito al que se refiere la información que debe recogerse. El empleo de dispositivos de registro de comunicaciones salientes y entrantes puede autorizarse por un período máximo de sesenta días, que solo puede prorrogarse mediante una nueva resolución judicial.

(96)

Además, el acceso con fines penales a la información de los usuarios digitales, los datos de tráfico y el contenido almacenado de las comunicaciones que obran en poder de las empresas de servicios de internet, las compañías telefónicas y otras empresas externas de servicios puede venir autorizado por la Ley de comunicaciones almacenadas (165). Para obtener el contenido almacenado de las comunicaciones electrónicas, las autoridades policiales deben, por lo general, solicitar una orden judicial que se fundamente en la existencia de una causa probable para considerar que la cuenta en cuestión alberga pruebas de un delito (166). Las autoridades policiales pueden solicitar un requerimiento para obtener información del registro de abonados, las direcciones IP, los sellos de tiempo correspondientes y la información de la facturación. Para la mayoría de la demás información almacenada no sustantiva, como los encabezados de los correos electrónicos sin el asunto, las autoridades policiales deben solicitar una resolución judicial, que solo se dicta si el juez considera que existen motivos razonables para creer que la información es pertinente e importante para una investigación penal en curso.

(97)

Las empresas que reciben solicitudes en virtud de la Ley de comunicaciones almacenadas pueden notificárselo voluntariamente al cliente o usuario cuya información se solicita, salvo cuando la autoridad policial competente consiga que se dicte una medida cautelar que prohíba dicha notificación (167). Tal medida cautelar es una resolución judicial que obliga a la empresa de servicios de comunicaciones electrónicas o de servicios informáticos remotos a la que se dirige la orden, requerimiento o resolución judicial a no notificar a ninguna otra persona la existencia de dicha orden, requerimiento o resolución judicial mientras el órgano jurisdiccional lo considere oportuno. Esta medida cautelar se dicta si el órgano jurisdiccional considera que existen motivos para creer que la notificación pondría en grave peligro la investigación o retrasaría indebidamente el juicio, por ejemplo, porque pondría en peligro la vida o la integridad física de una persona, podría propiciar la huida del sospechoso, podría desencadenar la intimidación de posibles testigos, etc. Hay una Circular del secretario de Justicia adjunto (Deputy Attorney General) (que es vinculante para todos los funcionarios y cargos del Departamento de Justicia) que exige a los fiscales que justifiquen minuciosamente la necesidad de la medida cautelar y aclaren al órgano jurisdiccional cómo se cumplen los requisitos legales para que se dicte la medida cautelar en ese caso concreto (168). La Circular también exige que las solicitudes de medidas cautelares no tengan por objeto, en general, retrasar la notificación durante más de un año. Si, en circunstancias excepcionales, es necesario que la medida cautelar despliegue sus efectos durante más tiempo, ello solo puede solicitarse con la firma por escrito del supervisor designado por el secretario de Justicia de los EE. UU. o el fiscal general adjunto (Assistant Attorney General) correspondiente. Además, al archivar la investigación, el fiscal debe valorar inmediatamente si existen motivos para no dejar sin efecto las medidas cautelares relacionadas y, en caso contrario, dejarlas sin efecto y asegurarse de que se notifique a la empresa de servicios (169).

(98)

Las autoridades policiales también pueden interceptar en tiempo real comunicaciones por cable, orales o electrónicas con arreglo a una resolución judicial en la que el juez considere, entre otros aspectos, que existe una causa probable para considerar que la escucha o la interceptación electrónica demostrará que se ha cometido un delito federal o permitirá conocer el paradero de un fugitivo de la justicia (170).

(99)

Hay varias directrices e instrucciones del Departamento de Justicia que contemplan garantías adicionales, entre ellas, las Directrices del secretario de Justicia sobre las operaciones nacionales del Buró Federal de Investigaciones (en lo sucesivo, «FBI», por sus siglas en inglés), que, entre otros aspectos, exigen al FBI que sus métodos de investigación sean lo menos invasivos posible, teniendo en cuenta el efecto en la privacidad y en las libertades civiles (171).

(100)

Según el Ejecutivo estadounidense, en el caso de las investigaciones policiales del ámbito de los Estados federados se aplican, como mínimo, las mismas garantías antes descritas (con respecto a las investigaciones llevadas a cabo en virtud del Derecho de los Estados federados) (172). En particular, hay disposiciones constitucionales, así como leyes y jurisprudencia de los Estados federados, que reafirman las garantías antes mencionadas contra los registros que no sean razonables al exigir que se dicte una orden de registro (173). De forma similar a las garantías establecidas en el ámbito federal, solo se puede dictar una orden de registro tras demostrar la existencia de una causa probable y se debe describir el lugar, las personas o los artículos objeto de registro (174).

(101)

Por lo que se refiere al uso ulterior de los datos recogidos por las autoridades policiales federales, las diferentes leyes, directrices y normas imponen garantías específicas. Con la excepción de los instrumentos específicos aplicables a las actividades del FBI (las Directrices del secretario de Justicia sobre las operaciones nacionales del FBI y la Guía de Investigaciones y Operaciones Nacionales del FBI), las obligaciones descritas en esta sección se aplican con carácter general a los demás usos de los datos por las autoridades federales, en particular a los datos consultado o utilizados con fines civiles o regulatorios. Esto incluye por ejemplo las obligaciones derivadas de circulares o reglamentos de la Oficina de Gestión y Presupuesto, de la Ley de modernización de la gestión de la seguridad de la información federal (Federal Information Security Management Modernization Act), de la Ley de Administración digital y de la Ley de archivos federales.

(102)

De conformidad con la competencia conferida por la Ley Clinger-Cohen [Clinger-Cohen Act; Compendio de Leyes de Derecho Público (Public Law), 104.o Congreso, Ley 106, división E] y la Ley de seguridad informática, de 1987 (Computer Security Act; Compendio de Leyes de Derecho Público, 100.o Congreso, Ley 235), la Oficina de Gestión y Presupuesto (Office of Management and Budget) publicó la Circular n.o A-130 para establecer directrices generales vinculantes de aplicación a todos los organismos federales (incluidas las autoridades policiales) cuando tratan información de identificación personal (175). En particular, la Circular exige que todos los organismos federales limiten la creación, la recogida, la utilización, el tratamiento, el almacenamiento, la conservación, la difusión y la comunicación de información de identificación personal a lo que estén legalmente autorizados, sea pertinente y se considere razonablemente necesario para el correcto desempeño de sus funciones (176). Además, en la medida de lo razonablemente posible, los organismos federales deben garantizar que la información de identificación personal sea exacta y pertinente, esté actualizada y completa y se reduzca al mínimo necesario para el correcto desempeño de sus funciones. En términos más generales, los organismos federales deben: establecer un programa integral de privacidad para garantizar el cumplimiento de los requisitos en materia de privacidad aplicables; elaborar y evaluar directrices en materia de privacidad y gestionar los riesgos en materia de privacidad; establecer procedimientos para detectar, documentar y notificar los incidentes relacionados con incumplimientos en materia de privacidad; desarrollar programas de sensibilización y formación en materia de privacidad para empleados y contratistas; y establecer directrices y procedimientos para garantizar que el personal sea responsable del cumplimiento de los requisitos y directrices en materia privacidad (177).

(103)

Además, la Ley de Administración digital (E-Government Act) (178) exige que todas los organismos federales (incluidas las autoridades policiales): establezcan garantías de la seguridad de la información que sean proporcionales al riesgo y la magnitud del daño que se derivaría del acceso, uso, comunicación, perturbación, modificación o destrucción no autorizados; y cuenten con un responsable en materia de información para garantizar el cumplimiento de los requisitos en materia de seguridad de la información y lleven a cabo una evaluación anual independiente (por ejemplo, que la realice un inspector general; véase el considerando 109) de su programa y sus prácticas en materia de seguridad de la información (179). Del mismo modo, la Ley de archivos federales (Federal Records Act) (180) y los reglamentos de desarrollo (181) exigen que la información en poder de los organismos federales esté sujeta a salvaguardias que garanticen la integridad física de la información y la protejan de accesos no autorizados.

(104)

De conformidad con las competencias otorgadas por leyes federales, como la Ley federal de modernización de la seguridad de la información (Federal Information Security Modernisation Act), de 2014, la Oficina de Gestión y Presupuesto y el Instituto Nacional de Normas y Tecnología (National Institute of Standards and Technology) han elaborado normas que son vinculantes para los organismos federales (incluidas las autoridades policiales) y que especifican con más detalle los requisitos mínimos de seguridad de la información que deben establecerse, incluidos los controles de acceso, la sensibilización y la formación, la planificación contra las contingencias, la respuesta a los incidentes, las herramientas de auditoría y rendición de cuentas, la garantía de la integridad del sistema y la información, la realización de evaluaciones de riesgos para la privacidad y la seguridad, etc. (182). Además, todos los organismos federales (incluidas las autoridades policiales) deben, de conformidad con las directrices de la Oficina de Gestión y Presupuesto, aprobar y aplicar un plan para gestionar las violaciones de la seguridad de los datos, especialmente en lo que respecta a la respuesta a dichas violaciones de la seguridad y la evaluación de los riesgos de daños (183).

(105)

Por lo que se refiere a la conservación de los datos, la Ley de archivos federales (184) exige a los organismos federales de los EE. UU. (incluidas las autoridades policiales) que fijen períodos de conservación de la información (tras los cuales debe eliminarse dicha información), que deben ser aprobados por la Administración Nacional de Archivos y Registros (National Archives and Record Administration) (185). La duración de este período de conservación se fija en función de diferentes factores, como el tipo de investigación, si las pruebas siguen siendo pertinentes para la investigación, etc. Por lo que respecta al FBI, las Directrices del secretario de Justicia sobre las operaciones nacionales del FBI establece que este debe contar con un plan de conservación de información de este tipo y con un sistema en el que se pueda consultar rápidamente el estado y el fundamento de las investigaciones.

(106)

Por último, la Circular n.o A-130 de la Oficina de Gestión y Presupuesto también fija determinados requisitos para la difusión de información de identificación personal. En principio, la difusión y comunicación de información de identificación personal debe limitarse a lo que esté autorizado legalmente y sea pertinente y razonablemente necesario para el correcto desempeño de las funciones propias del organismo (186). Al compartir información de identificación personal con otras entidades públicas, los organismos federales estadounidenses deben imponer, cuando proceda, condiciones (incluida la aplicación de controles específicos de seguridad y privacidad) para el tratamiento de la información por medio de acuerdos escritos (como convenios, los acuerdos de utilización de datos, los acuerdos de intercambio de información y los memorandos de entendimiento) (187). Por lo que se refiere a los motivos por los que puede difundir la información, las Directrices del secretario de Justicia sobre las operaciones nacionales del FBI y la Guía de Investigaciones y Operaciones Nacionales del FBI (188) disponen, por ejemplo, que el FBI puede estar obligada jurídicamente a ello (por ejemplo, en virtud de un convenio internacional) o que está autorizada a difundir información en ciertas circunstancias, por ejemplo: a otros organismos estadounidenses si la comunicación es compatible con la finalidad por la que la información fue recogida y guarda relación con sus responsabilidades; a comités del Congreso; a organismos extranjeros si la información guarda relación con sus responsabilidades y la difusión se ajusta a los intereses de los EE. UU.; si la difusión es claramente necesaria para proteger la seguridad de las personas o el patrimonio o para proteger contra un delito o amenaza para la seguridad nacional o prevenirlos y la comunicación es compatible con la finalidad por la que la información fue recogida (189).

(107)

Las actividades de las autoridades policiales federales están sujetas a la supervisión de diversos organismos (190). Como se explica en los considerandos 92 a 99, en la mayoría de los supuestos esto incluye el control judicial previo, para autorizar las medidas de recogida antes de que ejecutarlas. Además, otros organismos supervisan las diferentes fases de las actividades de las autoridades policiales, en particular la recogida y el tratamiento de datos personales. En conjunto, estos organismos judiciales y no judiciales garantizan que las autoridades policiales estén sometidas a una supervisión independiente.

(108)

En primer lugar, existen responsables de la protección de la privacidad y de las libertades civiles en diversos Departamentos con responsabilidades penales (191). Aunque las facultades específicas de estos funcionarios pueden variar ligeramente en función de la ley habilitadora correspondiente, suelen incluir la supervisión de los procedimientos para garantizar que el respectivo Departamento u organismo tenga debidamente en cuenta las cuestiones relacionadas con la privacidad y las libertades civiles y haya implantado procedimientos adecuados para atender las reclamaciones de los particulares que consideren que se han vulnerado su privacidad o sus libertades civiles. Los directores de cada Departamento u organismo deben velar por que los responsables de la protección de la privacidad y de las libertades civiles dispongan de los medios y los recursos necesarios para cumplir su misión, tengan acceso a todo el material y el personal necesarios para desempeñar sus funciones y sean informados y consultados sobre los cambios propuestos en este ámbito (192). Los responsables de la protección de la privacidad y de las libertades civiles presentan informes periódicos al Congreso, entre otros aspectos, acerca del número y la naturaleza de las reclamaciones recibidas por el Departamento u organismo, así como un resumen del curso dado a las mismas, los controles e investigaciones llevados a cabo y las repercusiones de las actuaciones emprendidas por el funcionario (193).

(109)

En segundo lugar, un inspector general independiente supervisa las actividades del Departamento de Justicia, incluido el FBI (194). Los inspectores generales son independientes por mandato legal (195) y se encargan de llevar a cabo investigaciones, auditorías e inspecciones independientes de los programas y operaciones del Departamento. Pueden consultar todos los registros, informes, auditorías, expedientes, documentos, escritos, recomendaciones u otro material pertinente, previo requerimiento si es preciso, y pueden tomar declaración (196). Aunque los inspectores generales solo pueden formular recomendaciones no vinculantes de medidas correctoras, sus informes, especialmente los relativos a las actuaciones a raíz de recomendaciones (o a su ausencia) (197), se publican y se transmiten asimismo al Congreso, que puede ejercer su función de supervisión a este respecto (ver considerando 111) (198).

(110)

En tercer lugar, en la medida en que realicen actividades de lucha contra el terrorismo, los departamentos con competencias policiales están sometidos a la supervisión de la Junta de Supervisión de la Privacidad y las Libertades Civiles, que es un organismo independiente del Ejecutivo que cuenta con una junta de cinco miembros (representativos de los dos partidos) nombrados por el presidente por un mandato fijo de seis años con la aprobación del Senado (199). De conformidad con la ley que la crea, la Junta de Supervisión de la Privacidad y las Libertades Civiles tiene encomendadas responsabilidades en el ámbito de las políticas de lucha contra el terrorismo y su ejecución, con el fin de proteger la privacidad y las libertades civiles. Para llevar a cabo su actividad de supervisión, puede acceder a todos los registros, informes, auditorías, expedientes, documentos, escritos y recomendaciones, incluida información clasificada, así como realizar interrogatorios y tomar declaración (200). También recibe informes de los responsables de la protección de las libertades civiles y la privacidad de diversos Departamentos y organismos federales (201), puede formular recomendaciones a los organismos públicos y a las autoridades policiales, e informa periódicamente a los comités del Congreso y al presidente de los EE. UU. (202). Los informes de la Junta, incluidos los dirigidos al Congreso, deben publicarse en la mayor medida posible (203).

(111)

Por último, las actividades policiales con fines penales están sujetas a la supervisión de comités específicos del Congreso de los EE. UU. (los Comités sobre el Poder Judicial de la Cámara y del Senado). Los Comités sobre el Poder Judicial llevan a cabo su supervisión periódica de diferentes maneras, en particular a través de audiencias, investigaciones, revisiones e informes (204).

(112)

Como se ha indicado, las autoridades policiales deben, en la mayoría de los casos, recabar autorización judicial antes de recoger datos personales. Si bien este requisito no se aplica a los requerimientos administrativos, estos se limitan a supuestos específicos y están sujetos a revisión judicial independiente, al menos cuando el Ejecutivo solicite la ejecución judicial forzosa. En particular, los destinatarios de requerimientos administrativos pueden impugnarlos judicialmente si consideran que son irrazonables, por ser excesivos, opresivos u onerosos (205).

(113)

Los particulares pueden, en primer lugar, presentar sus solicitudes o reclamaciones a las autoridades policiales en relación con la manipulación de sus datos personales, lo que incluye la posibilidad de solicitar acceso a los datos personales y su corrección (206). En cuanto a las actividades relacionadas con la lucha contra el terrorismo, los particulares pueden presentar su reclamación a los responsables de la protección de la privacidad y de las libertades civiles (u otros funcionarios) de las autoridades policiales (207).

(114)

Por otra parte, la normativa estadounidense establece una serie de acciones judiciales que los particulares pueden ejercitar contra las autoridades públicas o uno de sus funcionarios cuando dichas autoridades traten datos personales (208). Cualquier particular, con independencia de su nacionalidad y siempre que se cumplan los requisitos aplicables, está legitimado para ejercitar estas acciones judiciales, que están reguladas, en particular, en la Ley de lo contencioso-administrativo, la Ley de libertad de información (Freedom of Information Act) y la Ley de privacidad de las comunicaciones electrónicas (Electronic Communications Privacy Act).

(115)

En general, en virtud de las disposiciones sobre revisión judicial de la Ley de lo contencioso-administrativo (209), todo particular que sufra un perjuicio por actuaciones ilícitas de un organismo público o que se haya visto adversamente afectado o perjudicado por la actuación de un organismo público está legitimado para ejercitar la correspondiente acción judicial (210). En este sentido, se puede demandar al órgano jurisdiccional que declare ilícitas y anule la actuación, las constataciones y las conclusiones del organismo público que sean arbitrarias, caprichosas, un abuso de la facultad de apreciación o, de otro modo, no conformes a Derecho (211).

(116)

Más concretamente, el título II de la Ley de privacidad de las comunicaciones electrónicas (212) establece un régimen legal de derechos de privacidad y, como tal, regula el acceso de las autoridades policiales al contenido de las comunicaciones telefónicas, orales o electrónicas almacenadas por las empresas externas de servicios (213). Esta norma tipifica el acceso ilícito (es decir, no autorizado judicialmente o permitido de otro modo) a estas comunicaciones y contempla el derecho de los particulares afectados a ejercitar acciones civiles ante los órganos jurisdiccionales federales estadounidenses para la concesión de una indemnización por daños y perjuicios y la imposición de sanciones pecuniarias punitivas, así como a solicitar medidas de reparación declarativas o equitativas contra los EE. UU. o contra los funcionarios públicos que hayan cometido tales ilícitos con dolo.

(117)

Además, otras normas de rango legal, como la Ley de interceptación de comunicaciones (214), la Ley de abusos y fraudes informáticos (Computer Fraud and Abuse Act) (215), la Ley federal de acciones de responsabilidad civil (Federal Torts Claim Act) (216), la Ley del derecho a la privacidad financiera (217) y la Ley sobre la imparcialidad de las fichas de información crediticia (218), confieren a los particulares legitimación para ejercitar acciones judiciales contra autoridades o funcionarios públicos estadounidenses con respecto al tratamiento de sus datos personales.

(118)

Asimismo, con arreglo a la Ley de libertad de información (219) (título 5, artículo 552, del Código de Estados Unidos), todo particular tiene derecho a obtener acceso a los documentos de los organismos federales, especialmente si contienen datos personales del particular en cuestión. Una vez agotada la vía administrativa, los particulares están legitimados para exigir judicialmente el derecho de acceso, salvo que los documentos estén protegidos frente a su publicación por una exención o dispensa policial especial (220). En este caso, el órgano jurisdiccional analiza si es de aplicación alguna exención o si la autoridad pública en cuestión ha hecho valer una exención lícita.

(119)

El Derecho estadounidense contempla una serie de limitaciones y garantías con respecto a la consulta y la utilización de datos personales con fines de seguridad nacional, y establece mecanismos de supervisión y vías de impugnación que se ajustan a los requisitos mencionados en el considerando 89 de la presente Decisión. Las condiciones en las que se puede tener acceso y las garantías aplicables al ejercicio de estas competencias se precisan con detalle en las secciones siguientes.

(120)

Los datos personales transferidos desde la UE a entidades participantes pueden ser recopilados por las autoridades estadounidenses con fines de seguridad nacional basándose en diferentes instrumentos normativos, con sujeción a condiciones y garantías específicas.

(121)

cuando una entidad localizada en los EE. UU. reciben datos personales, los servicios de inteligencia estadounidenses pueden solicitar acceso a esos datos con fines de seguridad nacional únicamente cuando así se autorice por ley, específicamente en virtud de la Ley de vigilancia de inteligencia exterior (Foreign Intelligence Surveillance Act) o de las disposiciones legales que autoricen el acceso mediante requerimientos de seguridad nacional (221). La Ley de Vigilancia de inteligencia exterior incluye varias disposiciones de legitimación para recoger (y posteriormente tratar) los datos personales de los interesados de la UE que se haya transferido en el Marco de Privacidad de Datos UE-EE. UU. (artículo 105 (222), artículo 302 (223), artículo 402 (224), artículo 501 (225) y artículo 702 (226) de la Ley de vigilancia de inteligencia exterior), como se describe con más detalle en los considerandos 142 a 152.

(122)

Los servicios de inteligencia estadounidenses también están facultados para recoger datos personales fuera de los EE. UU., incluidos datos personales en tránsito entre la UE y los EE. UU. La recogida de información fuera de los EE. UU. se basa en el Decreto Presidencial n.o 12333 (227), aprobado por el presidente de los EE. UU. (228).

(123)

La recogida de inteligencia de señales es la forma de recogida de inteligencia más pertinente para la presente decisión de adecuación, ya que se refiere a la recogida de comunicaciones electrónicas y datos de sistemas de información. Esta recogida pueden llevarla a cabo los servicios de inteligencia estadounidenses tanto dentro de los EE. UU. (en virtud de la Ley de vigilancia de inteligencia exterior) como cuando los datos se encuentran en tránsito hacia los EE. UU. (en virtud del Decreto Presidencial n.o 12333).

(124)

El 7 de octubre de 2022, el presidente de los EE. UU. aprobó el Decreto Presidencial n.o 14086, titulado «Refuerzo de las garantías en las actividades de inteligencia de señales de los Estados Unidos», que establece limitaciones y garantías para todas las actividades de inteligencia de señales estadounidenses. Este Decreto Presidencial sustituye, en gran medida, a la Directiva Presidencial n.o 28 (229), refuerza las condiciones, limitaciones y garantías que se aplican a todas las actividades de inteligencia de señales (en virtud de la Ley de vigilancia de inteligencia exterior y del Decreto Presidencial n.o 12333) , independientemente del lugar en el que tengan lugar (230), y establece un nueva vía de reclamación con la que los particulares pueden exigir su cumplimiento (231) (véanse con más detalle los considerandos 176 a 194). Incorpora al Derecho estadounidense el resultado de las negociaciones que tuvieron lugar entre la UE y los EE. UU. tras la invalidación de la decisión de adecuación de la Comisión relativa al Escudo de la privacidad por parte del TJUE (véase el considerando 6). Por lo tanto, constituye un elemento especialmente importante del marco jurídico evaluado en la presente Decisión.

(125)

Los límites y garantías introducidos por el Decreto Presidencial n.o 14086 complementan a los establecidos en el artículo 702 de la Ley de Vigilancia de Inteligencia Exterior y el Decreto Presidencial n.o 12333. Las obligaciones ante descritas (secciones 3.2.1.2 y 3.2.1.3) deben cumplirlas los servicios de inteligencia cuando realicen actividades de inteligencia de señales con arreglo al artículo 702 de la Ley de Vigilancia de Inteligencia Exterior y al Decreto Presidencial n.o 12333, por ejemplo, cuando seleccionen/especifique categorías de información de inteligencia exterior que deba adquirirse con arreglo al artículo 702 de la Ley de Vigilancia de Inteligencia Exterior, cuando recojan inteligencia exterior o contrainteligencia con arreglo al Decreto Presidencial n.o 12333 y cuando tomen decisiones de selección de objetivos individuales con arreglo al artículo 702 de la Ley de Vigilancia de Inteligencia Exterior y al Decreto Presidencial n.o 12333.

(126)

Las obligaciones que impone dicho Decreto Presidencial, aprobado por el presidente, son vinculantes para toda la Comunidad de Inteligencia. Deben ser cumplidos a través de directrices y procedimientos de los organismos que las transpongan en instrucciones concretas para las operaciones cotidianas. A este respecto, el Decreto Presidencial n.o 14086 proporciona a los servicios de inteligencia estadounidenses un máximo de un año para actualizar sus directrices y procedimientos existentes (es decir, a más tardar el 7 de octubre de 2023) con el fin de adaptarlos a las obligaciones que impone el Decreto Presidencial. Estas directrices y procedimientos actualizados deben elaborarse en consulta con el secretario de Justicia, el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional (Office of the Director of National Intelligence) y la Junta de Supervisión de la Privacidad y las Libertades Civiles (Privacy and Civil Liberties Oversight Board), organismo de supervisión independiente facultado para examinar las directrices del poder ejecutivo y su aplicación, con vistas a proteger la privacidad y las libertades civiles (véase el considerando 110 en lo que respecta a la función y el estatuto de la Junta de Supervisión de la Privacidad y las Libertades Civiles), y deben publicarse (232). Además, una vez que se hayan puesto en práctica las directrices y los procedimientos actualizados, la Junta de Supervisión de la Privacidad y las Libertades Civiles llevará a cabo un nuevo examen para garantizar que respetan lo dispuesto en el Decreto Presidencial. En un plazo de 180 días a partir de la finalización de dicho examen por parte de la Junta de Supervisión de la Privacidad y las Libertades Civiles, cada servicio de inteligencia debe estudiar cuidadosamente y aplicar o atender de otro modo todas las recomendaciones de la Junta de Supervisión de la Privacidad y las Libertades Civiles. El 3 de julio de 2023, el Ejecutivo estadounidense publicó esas directrices y procedimientos actualizados (233).

(127)

El Decreto Presidencial n.o 14086 establece una serie de requisitos transversales que se aplican a todas las actividades de inteligencia de señales (recogida, utilización, difusión, etc. de datos personales).

(128)

En primer lugar, estas actividades deben basarse en una ley o contar con autorización presidencial y llevarse a cabo de conformidad con la normativa estadounidense, especialmente la Constitución (234).

(129)

En segundo lugar, deben establecerse garantías adecuadas con las que se asegure que la privacidad y las libertades civiles se tengan en cuenta en la planificación de tales actividades (235).

(130)

En particular, las actividades de inteligencia de señales solo pueden llevarse a cabo tras determinar, en una valoración razonable de todos los factores pertinentes, que las actividades son necesarias para avanzar en la prioridad de inteligencia validada (en lo que respecta al concepto de «prioridad de inteligencia validada», véase el considerando 135) (236).

(131)

Además, tales actividades solo pueden llevarse a cabo en una medida y una manera proporcionadas a la prioridad de inteligencia validada para la que hayan sido autorizadas (237). En otras palabras, debe lograrse un equilibrio adecuado entre la importancia de la prioridad de inteligencia perseguida y la repercusión en la privacidad y las libertades civiles de los particulares afectados, independientemente de su nacionalidad o de su lugar de residencia (238).

(132)

Por último, para garantizar el cumplimiento de estos requisitos generales, que reflejan los principios de legalidad, necesidad y proporcionalidad, las actividades de inteligencia de señales están sujetas a supervisión (en la sección 3.2.2 se explica con mayor detenimiento) (239).

(133)

Estos requisitos generales están más desarrollados con respecto a la recogida de inteligencia de señales: una serie de condiciones y limitaciones que garantizan que la injerencia en los derechos de los particulares se limite a lo que sea necesario y proporcionado para avanzar en un objetivo legítimo.

(134)

En primer lugar, el Decreto Presidencial limita de dos maneras los motivos por los que pueden recogerse datos como parte de las actividades de inteligencia de señales. Por una parte, el Decreto Presidencial fija los objetivos legítimos que pueden perseguirse con la recogida de inteligencia de señales, por ejemplo: comprender o valorar las capacidades, intenciones o actividades de organizaciones extranjeras, incluidas las organizaciones terroristas internacionales, que suponen una amenaza presente o potencial para la seguridad nacional de los EE. UU.; proteger frente a las capacidades y actividades militares extranjeras; comprender o valorar las amenazas transnacionales que afectan a la seguridad mundial, como el cambio climático y otros cambios ecológicos, los riesgos para la salud pública y las amenazas humanitarias (240). Por otra parte, el Decreto Presidencial enumera determinados objetivos que nunca deben perseguirse con las actividades de inteligencia de señales, por ejemplo: hacer frente a las críticas, las opiniones disidentes o la libre expresión de ideas u opiniones políticas por parte de particulares o de la prensa; perjudicar a las personas por razón de su etnia, raza, sexo, identidad de género, orientación sexual o religión; u ofrecer una ventaja competitiva a las empresas estadounidenses (241).

(135)

Además, los objetivos legítimos fijados en el Decreto Presidencial n.o 14086 no pueden, por sí solos, ser invocados por los servicios de inteligencia para justificar la recogida de inteligencia de señales, sino que deben fundamentarse, a efectos operativos, también en prioridades más concretas para las que pueda recogerse inteligencia de señales. En otras palabras, la recogida efectiva solo puede tener lugar para avanzar en una prioridad más específica. Estas prioridades se establecen mediante un proceso específico destinado a garantizar el cumplimiento de los requisitos legales aplicables, como los relativos a la privacidad y las libertades civiles. Más concretamente, las prioridades de inteligencia las elabora primero el director de Inteligencia Nacional (a través del denominado Marco de Prioridades Nacionales de Inteligencia) y se envían al presidente para su aprobación (242). Antes de proponer prioridades de inteligencia al presidente, el director debe, de conformidad con el Decreto Presidencial n.o 14086, recabar una evaluación del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional por cada prioridad en cuanto a si: 1) avanza en uno o varios de los objetivos legítimos enumerados en el Decreto Presidencial; 2) no se prevé ni ha sido diseñada para que dé lugar a la recogida de inteligencia de señales para uno de los objetivos prohibidos enumerados en el Decreto Presidencial; y 3) se estableció tras una adecuada consideración de la privacidad y las libertades civiles de todas las personas, independientemente de su nacionalidad o de su lugar de residencia (243). En caso de que el director no esté de acuerdo con la evaluación del responsable de la protección de las libertades civiles, ambos puntos de vista deben participarse al presidente (244).

(136)

Por lo tanto, este proceso garantiza, en particular, que se tengan en cuenta la privacidad desde la fase inicial en la que se desarrollan las prioridades de inteligencia.

(137)

En segundo lugar, una vez establecida la prioridad en materia de inteligencia, la decisión sobre si la inteligencia de señales puede recogerse y en qué medida para avanzar en dicha prioridad está sujeta a una serie de requisitos. Estos requisitos ponen en práctica los principios generales de necesidad y proporcionalidad establecidos en el artículo 2, letra a), del Decreto Presidencial.

(138)

En particular, la inteligencia de señales solo puede recogerse tras determinar que, con arreglo a una valoración razonable de todos los factores pertinentes, la recogida es necesaria para avanzar en una prioridad específica de inteligencia (245). A la hora de determinar si es necesaria una actividad específica de recogida de inteligencia de señales para avanzar en una prioridad de inteligencia validada, los servicios de inteligencia estadounidenses deben tener en cuenta la disponibilidad, viabilidad e idoneidad de otras fuentes y métodos menos intrusivos, en particular los procedentes de fuentes diplomáticas y públicas (246). Cuando estén disponibles, debe darse prioridad a tales fuentes y métodos alternativos menos intrusivos (247).

(139)

Cuando, al aplicar estos criterios, se considere necesaria la recogida de inteligencia de señales, debe ser lo más personalizada posible y no debe afectar de manera desproporcionada a la privacidad y las libertades civiles (248). Para garantizar que la privacidad y las libertades civiles no se vean afectadas de manera desproporcionada, es decir, para lograr un equilibrio adecuado entre las necesidades de seguridad nacional y la protección de la privacidad y las libertades civiles, deben tenerse debidamente en cuenta todos los factores pertinentes, como: la naturaleza del objetivo perseguido; el carácter intrusivo de la actividad de recogida, incluida su duración; la contribución probable de la recogida al objetivo perseguido; las consecuencias razonablemente previsibles para los particulares; y la naturaleza y el carácter delicado de los datos que deben recogerse (249).

(140)

Por lo que se refiere al tipo de recogida de inteligencia de señales, la recogida de datos en los EE. UU., que es la más pertinente para la presente decisión de adecuación, ya que se refiere a datos que se han transferido a entidades estadounidenses, siempre debe ser selectiva, como se explica pormenorizadamente en los considerandos 142 a 153.

(141)

La recogida masiva (250) solo puede tener lugar fuera de los EE. UU., según el Decreto Presidencial n.o 12333. También en este caso, según el Decreto Presidencial n.o 14086, debe darse prioridad a la recogida selectiva (251). Por el contrario, la recogida masiva solo se permite cuando la información necesaria para avanzar en la prioridad de inteligencia validada no pueda obtenerse razonablemente mediante una recogida selectiva (252). Si es necesario llevar a cabo una recogida masiva de datos fuera de los EE. UU., se aplican las garantías específicas del Decreto Presidencial n.o 14086 (253). En primer lugar, deben aplicarse métodos y medidas técnicas para limitar los datos que se recogen únicamente a lo necesario para avanzar en una prioridad de inteligencia validada, minimizando al mismo tiempo la recogida de información no pertinente (254). En segundo lugar, el Decreto Presidencial limita el uso de la información recogida de forma masiva (incluidas las consultas) a seis objetivos específicos: la protección contra el terrorismo, la toma de rehenes y la privación de libertad de particulares por personas, organizaciones o administraciones públicas extranjeras o en nombre de estas; la protección contra los asesinatos, sabotajes y espionajes extranjeros; la protección contra las amenazas derivadas del desarrollo, la posesión o la proliferación de armas de destrucción masiva o tecnologías y amenazas relacionadas; etc. (255). En último lugar, la consulta de inteligencia de señales obtenidas de forma masiva solo puede realizarse cuando sea necesario para avanzar en una prioridad de inteligencia validada, para lograr alguno de esos seis objetivos y de conformidad con directrices y procedimientos que tengan debidamente en cuenta el efecto de las consultas sobre la privacidad y las libertades civiles de los particulares, independientemente de su nacionalidad o de su lugar de residencia (256).

(142)

Además de las obligaciones que impone el Decreto Presidencial n.o 14086, la recogida de datos de inteligencia de señales que se han transferido a una entidad estadounidense está sujeta a limitaciones y garantías específicas reguladas por el artículo 702 de la Ley de vigilancia de inteligencia exterior (257). El artículo 702 de la Ley de vigilancia de inteligencia exterior autoriza la recogida de información de inteligencia exterior respecto de personas no estadounidenses que se considere que es razonable que se encuentren fuera de los EE. UU., con la ayuda obligada de las empresas de servicios de comunicación electrónica estadounidenses (258). Con el fin de recoger información de inteligencia exterior de conformidad con el artículo 702 de la Ley de vigilancia de inteligencia exterior, el secretario de Justicia y el director de Inteligencia Nacional presentan certificaciones anuales al Tribunal de Vigilancia de Inteligencia Exterior (Foreign Intelligence Surveillance Court) que especifican las categorías de información de inteligencia exterior que deben adquirirse (259). Las certificaciones deben ir acompañadas de procedimientos de selección de objetivos, minimización y consulta, que también aprueba el Tribunal y que son jurídicamente vinculantes para los servicios de inteligencia estadounidenses.

(143)

El Tribunal de Vigilancia de Inteligencia Exterior es un órgano cuasijudicial (260) independiente creado por ley federal cuyas resoluciones pueden recurrirse ante el Tribunal de Apelación de Inteligencia Exterior (Foreign Intelligence Court of Review) (261) y, en última instancia, ante la Corte Suprema de los Estados Unidos (262). El Tribunal de Vigilancia de Inteligencia Exterior (y el Tribunal de Apelación de Inteligencia Exterior) cuenta con el apoyo de un grupo permanente de cinco abogados y cinco técnicos en materia de seguridad nacional y libertades civiles (263). El Tribunal designa de entre este grupo a un amicus curiae para que asista en el examen de cualquier solicitud de resolución o recurso que, a juicio del Tribunal, pida una interpretación nueva o significativa de la normativa aplicable, salvo que el Tribunal considere que no procede tal designación (264). Así se garantiza, en particular, que la apreciación del Tribunal tenga debidamente en cuenta todas las consideraciones relativas a la privacidad. El Tribunal también puede designar como amicus curiae, especialmente para la prestación de asesoramiento técnico, a otras personas o entidades cuando lo estime oportuno o autorizar, previa solicitud, la presentación de un escrito en calidad de amicus curiae por parte de cualquier persona o entidad (265).

(144)

El Tribunal de Vigilancia de Inteligencia Exterior revisa las certificaciones y los procedimientos conexos (en particular, los procedimientos de selección de objetivos y minimización) para comprobar si se cumplen los requisitos que fija la Ley de vigilancia de inteligencia exterior. Si considera que no se cumplen los requisitos, puede no homologar total o parcialmente la certificación y solicitar la modificación de los procedimientos (266). A este respecto, el Tribunal de Vigilancia de Inteligencia Exterior ha confirmado en repetidas ocasiones que su revisión de los procedimientos de selección de objetivos y minimización a efectos del artículo 702 no se limita a los procedimientos escritos, sino que también incluye la forma en que la Administración pone en práctica tales procedimientos (267).

(145)

La selección de objetivos la realiza la Agencia Nacional de Seguridad (que es el servicio de inteligencia responsable de seleccionar a los objetivos en virtud del artículo 702 de la Ley de vigilancia de inteligencia exterior) de conformidad con los procedimientos de selección aprobados por el Tribunal de Vigilancia de Inteligencia Exterior, que obligan a la Agencia Nacional de Seguridad a valorar, atendiendo a todas las circunstancias, si es probable que al dirigirse a la persona en cuestión se obtenga una categoría de información de inteligencia exterior especificada en la certificación (268). Esta valoración debe ser específica, tener base fáctica y estar informada por un juicio analítico, la formación especializada y la experiencia del analista, y la naturaleza de la información de inteligencia exterior que debe obtenerse (269). La selección de objetivos se lleva a cabo mediante la determinación de los denominados «selectores», que indican los medios de comunicación específicos, como la dirección de correo electrónico o el número de teléfono del destinatario, pero nunca palabras o nombres clave de particulares (270).

(146)

En primer lugar, los analistas de la Agencia Nacional de Seguridad especifican los ciudadanos no estadounidenses ubicados en el extranjero cuya vigilancia vaya a conducir, con arreglo a la valoración de los analistas, a la obtención de la inteligencia exterior pertinente especificada en la certificación (271). Tal como se establece en los procedimientos de selección de objetivos de la Agencia Nacional de Seguridad, esta solo puede vigilar a un objetivo cuando ya sepa algo sobre el objetivo (272). Ello puede deberse a información procedente de diferentes fuentes, por ejemplo, la inteligencia humana. A través de estas otras fuentes, el analista también debe conocer un selector específico (es decir, una cuenta de comunicación) utilizado por el posible objetivo. Una vez que estas personas han sido seleccionadas y aprobadas como objetivos a través de un proceso complejo de examen dentro de la Agencia Nacional de Seguridad (273), se asignan (es decir, se desarrollan y aplican) una serie de selectores que determinan los medios de comunicación (por ejemplo, direcciones de correo electrónico) utilizados por dichas personas (274).

(147)

La Agencia Nacional de Seguridad debe documentar la base fáctica de la selección del objetivo (275) y, a intervalos regulares después de la selección inicial, asegurar que siguen cumpliéndose esos presupuestos (276). Cuando dejen de cumplirse, debe cesar la actividad de recogida (277). Los funcionarios de los servicios de supervisión de inteligencia del Departamento de Justicia, que tienen la obligación de comunicar cualquier vulneración al Tribunal de Vigilancia de Inteligencia Exterior y al Congreso (278), revisan cada dos meses la selección por parte de la Agencia Nacional de Seguridad de cada objetivo y el expediente de cada evaluación y la justificación de los objetivos documentados para comprobar el cumplimiento de los procedimientos de selección de objetivos. La documentación escrita de la Agencia Nacional de Seguridad facilita la supervisión por parte del Tribunal de Vigilancia de Inteligencia Exterior de si determinadas personas han sido seleccionadas como objetivos correctamente con arreglo al artículo 702 de la Ley de vigilancia de inteligencia exterior, de conformidad con sus competencias de supervisión, descritas en los considerandos 173 a 174 (279). Por último, el director de Inteligencia Nacional también está obligado a comunicar cada año el número total de objetivos seleccionados con arreglo al artículo 702 de la Ley de vigilancia de inteligencia exterior en los informes públicos anuales de transparencia estadística. Las empresas que reciban instrucciones con arreglo al artículo 702 de la Ley de vigilancia de inteligencia exterior pueden publicar datos agregados (en informes de transparencia) sobre las solicitudes que reciban (280).

(148)

Por lo que se refiere a las demás bases legales para recoger datos personales transferidos a entidades estadounidenses, se aplican diferentes limitaciones y garantías. En general, la recogida de datos masiva está expresamente prohibida en virtud del artículo 402 de la Ley de vigilancia de inteligencia exterior (dispositivos de registro de comunicaciones salientes y entrantes); debe hacerse con requerimientos de seguridad nacional y el uso de criterios de selección específicos es necesario (281).

(149)

Para llevar a cabo la vigilancia electrónica individualizada tradicional (de conformidad con el artículo 105 de la Ley de vigilancia de inteligencia exterior), los servicios de inteligencia deben presentar una solicitud al Tribunal de Vigilancia de Inteligencia Exterior con una exposición de los hechos y circunstancias que refuerzan la hipótesis de que existe una causa probable para creer que una potencia extranjera o un agente de una potencia extranjera utiliza o está a punto de utilizar el bien en cuestión (282). El Tribunal de Vigilancia de Inteligencia Exterior analiza, entre otros aspectos, si los hechos expuestos acreditan que existen esa causa probable (283).

(150)

Para llevar a cabo un registro de bienes inmuebles o muebles de los que se prevé que resultará una inspección, incautación, etc., de información, documentos o bienes (por ejemplo, un dispositivo informático) con arreglo al artículo 301 de la Ley de vigilancia de inteligencia exterior, es preciso solicitar una orden al Tribunal de Vigilancia de Inteligencia Exterior (284). En dicha solicitud se debe demostrar, entre otros aspectos: que existe una causa probable para considerar que el objetivo del registro sea una potencia extranjera o un agente de una potencia extranjera; que los bienes inmuebles o muebles objeto de registro contienen información de inteligencia exterior; y que una potencia extranjera o un agente de una potencia extranjera es propietaria, usuaria o poseedora de los inmuebles que se van a registrar, o estos están siendo transferidos desde o hacia la potencia extranjera en cuestión (285).

(151)

Del mismo modo, para la instalación de dispositivos de registro de comunicaciones salientes y entrantes (de conformidad con el artículo 402 de la Ley de vigilancia de inteligencia exterior) es necesario solicitarlo al Tribunal de Vigilancia de Inteligencia Exterior (o a un juez de paz estadounidense) y usar un criterio de selección específico, es decir, un término que identifique específicamente a una persona, cuenta, etc. y que se utiliza para limitar, en la medida de lo razonablemente posible, la información solicitada (286). Esta facultad no se refiere al contenido de las comunicaciones, sino que se centra en la información relativa al cliente o usuario que utiliza el servicio (como su nombre, dirección, número de usuario, duración o naturaleza del servicio prestado y fuente o modalidad de pago).

(152)

El artículo 501 de la Ley de vigilancia de inteligencia exterior (287), que permite la recogida de documentos comerciales de transportistas comunes (es decir, cualquier persona física o jurídica que se dedica al transporte de personas o bienes por tierra, ferrocarril, agua o aire con ánimo de lucro), establecimientos de alojamiento (por ejemplo, un hotel, un motel o un albergue), establecimientos de alquiler de vehículos o instalaciones de almacenamiento físico (es decir, que ofrece espacio o servicios relacionados con el almacenamiento de bienes y materiales) (288), también exige en estos casos que se presente una solicitud al Tribunal de Vigilancia de Inteligencia Exterior o a un juez de paz. Esta solicitud debe especificar los documentos solicitados y los hechos concretos y relacionados que llevan a creer que el particular al que se refieren los documentos es una potencia extranjera o un agente de una potencia extranjera (289).

(153)

Por último, los requerimientos de seguridad nacional están autorizados por diferentes leyes y permiten a los organismos de investigación obtener cierta información (sin incluir el contenido de las comunicaciones) de determinadas entidades (por ejemplo, entidades financieras, agencias de información crediticia y empresas de servicios de comunicación electrónica) que obre en fichas de información crediticia, documentos económicos y financieros y registros de transacciones electrónicas y de usuarios digitales (290). La ley sobre los requerimientos de seguridad nacional que autoriza el acceso a las comunicaciones electrónicas solo contempla que aquellos puedan ser utilizados por el FBI y exige que en las solicitudes se utilice un término que identifique específicamente a una persona, entidad, número de teléfono o cuenta y se certifique que la información es pertinente para una investigación de seguridad nacional autorizada con el propósito de proteger contra el terrorismo internacional o las actividades clandestinas de inteligencia (291). Los destinatarios de requerimientos de seguridad nacional pueden impugnarlos judicialmente (292).

(154)

El tratamiento de los datos personales recogidos por los servicios de inteligencia estadounidenses a través de la inteligencia de señales está sujeto a una serie de garantías.

(155)

En primer lugar, cada servicio de inteligencia debe garantizar una seguridad adecuada de los datos e impedir el acceso de personas no autorizadas a los datos personales recogidos a través de la inteligencia de señales. A este respecto, una serie de instrumentos, como leyes, directrices y normas varias, especifican en mayor medida los requisitos mínimos de seguridad de la información que deben implantarse (autenticación multifactorial, cifrado, etc.) (293). Solo debe poder acceder a los datos recogidos el personal autorizado y formado que necesite conocer la información para desempeñar sus funciones (294). En términos más generales, los servicios de inteligencia deben formar adecuadamente a sus empleados, en particular acerca de los procedimientos para denunciar y resolver las vulneraciones de la normativa aplicable (especialmente el Decreto Presidencial n.o 14086) (295).

(156)

En segundo lugar, los servicios de inteligencia deben cumplir las normas de la Comunidad de Inteligencia en materia de exactitud y objetividad, en particular en lo que se refiere a garantizar la calidad y fiabilidad de los datos, a considerar fuentes alternativas de información y la objetividad en la realización de análisis (296).

(157)

En tercer lugar y por lo que se refiere a la conservación de los datos, el Decreto Presidencial n.o 14086 aclara que los datos personales de particulares no estadounidenses están sujetos a los mismos períodos de conservación que los que se aplican a los datos de los particulares estadounidenses (297). Los servicios de inteligencia deben definir períodos de conversación específicos y/o los factores que deben valorarse para determinar la duración de los períodos de conservación aplicables (por ejemplo, si la información constituye prueba de un delito, si constituye información de inteligencia exterior, si la información es necesaria para proteger la seguridad de las personas o de entidades, especialmente la de las víctimas y los objetivos del terrorismo internacional), que se establecen en distintos instrumentos normativos (298).

(158)

En cuarto lugar, se aplican reglas específicas en lo que respecta a la difusión de datos personales recogidos a través de la inteligencia de señales. Como disposición general, los datos personales de particulares no estadounidenses solo pueden difundirse si son del mismo tipo que la información que puede difundirse sobre particulares estadounidenses, por ejemplo, la información para proteger la seguridad de una persona u entidad (como objetivos, víctimas o rehenes de organizaciones terroristas internacionales) (299). Además, los datos personales no pueden difundirse únicamente por razón de la nacionalidad o del país de residencia del particular o con el fin de eludir las obligaciones que impone el Decreto Presidencial n.o 14086 (300). La difusión dentro del Ejecutivo estadounidense solo puede tener lugar si la persona autorizada y formada considera que existen motivos razonables para creer que el destinatario tiene la necesidad de conocer la información (301) y la protegerá adecuadamente (302). Para determinar si los datos personales pueden difundirse a destinatarios ajenos al Ejecutivo estadounidense (especialmente organismos públicos extranjeros u organizaciones internacionales), deben tenerse en cuenta la finalidad de la difusión, la naturaleza y la cantidad de los datos objeto de difusión y los posibles perjuicios para los particulares afectados (303).

(159)

Por último, también para facilitar la supervisión del cumplimiento de los requisitos legales aplicables, así como de la reparación efectiva, cada servicio de inteligencia debe, en virtud del Decreto Presidencial n.o 14086, conservar la documentación adecuada sobre la recogida de inteligencia de señales. Esta obligación abarca elementos como la base fáctica de la evaluación de que es necesaria una actividad específica de recogida para avanzar en la prioridad de inteligencia validada (304).

(160)

Además de las garantías antes mencionadas del Decreto Presidencial n.o 14086 para el uso de la información recogida mediante inteligencia de señales, todos los servicios de inteligencia estadounidenses están sometidos a las obligaciones más generales de limitación de la finalidad, minimización de los datos, exactitud, seguridad, conservación y difusión, que se derivan especialmente de la Circular n.o A-130 de la Oficina de Gestión y Presupuesto, la Ley de Administración digital, la Ley de archivos federales (véanse los considerandos 101 a 106) y de las orientaciones del Comité de Sistemas Nacionales de Seguridad (Committee on National Security Systems) (305).

(161)

Las actividades de los servicios de inteligencia estadounidenses están sujetas a la supervisión de diferentes organismos.

(162)

En primer lugar, el Decreto Presidencial n.o 14086 exige que cada servicio de inteligencia cuente con funcionarios de alto nivel responsables de las cuestiones jurídicas, de supervisión y de cumplimiento para garantizar el cumplimiento de la normativa estadounidense aplicable (306). En particular, deben llevar a cabo una supervisión periódica de las actividades de inteligencia de señales y velar por que se subsane cualquier incumplimiento. Los servicios de inteligencia deben proporcionar a dichos funcionarios acceso a toda la información pertinente para llevar a cabo sus funciones de supervisión y no pueden tomar ninguna medida para impedir su labor de supervisión ni influir indebidamente en esta (307). Además, cualquier incidente significativo de incumplimiento (308) detectado por un funcionario de supervisión o por cualquier otro empleado debe comunicarse sin demora al jefe del servicio de inteligencia y al director de Inteligencia Nacional, que deben velar por que se tomen todas las medidas necesarias para reparar la situación y evitar que se repita el incidente significativo de incumplimiento (309).

(163)

Esta función de supervisión la desempeñan funcionarios con un cargo específico en materia de verificación del cumplimiento, así como los responsables de la protección de la privacidad y de las libertades civiles y los inspectores generales (310).

(164)

Al igual que en el caso de las autoridades policiales, en todos los servicios de inteligencia existen responsables de la protección de la privacidad y de las libertades civiles (311). Las facultades de estos funcionarios suelen incluir la supervisión de los procedimientos para garantizar que el correspondiente departamento o servicio tenga debidamente en cuenta las cuestiones relacionadas con la privacidad y las libertades civiles y haya implantado procedimientos adecuados para atender las reclamaciones de los particulares que consideren que se han vulnerado su privacidad o sus libertades civiles (y, en ocasiones, como en el caso de la Oficina del Director de Inteligencia Nacional, pueden estar facultados para investigar las reclamaciones (312)). Los directores de los servicios de inteligencia deben velar por que los responsables de la protección de la privacidad y de las libertades civiles dispongan de los recursos necesarios para cumplir su misión, tengan acceso a todo el material y el personal necesarios para desempeñar sus funciones y sean informados y consultados sobre los cambios propuestos en este ámbito (313). Los responsables de la protección de la privacidad y de las libertades civiles presentan informes periódicos al Congreso y a la Junta de Supervisión de la Privacidad y las Libertades Civiles, entre otros aspectos, acerca del número y la naturaleza de las reclamaciones recibidas por el Departamento u organismo, así como un resumen del curso dado a las mismas, los controles e investigaciones llevados a cabo y las repercusiones de las actuaciones emprendidas por el funcionario (314).

(165)

En segundo lugar, cada servicio de inteligencia dispone de un inspector general independiente, que se encarga, entre otras cosas, de supervisar las actividades de inteligencia exterior. En el caso de la Oficina del Director de Inteligencia Nacional, existe la Oficina del Inspector General de la Comunidad de Inteligencia (Office of the Inspector General of the Intelligence Community), que tiene amplias competencias sobre el conjunto de la Comunidad de Inteligencia y está facultada para investigar las reclamaciones o denuncias relativas a posibles conductas ilícitas o abusos de autoridad, en relación con los programas y actividades de la Oficina del Director de Inteligencia Nacional o de la Comunidad de Inteligencia (315). Al igual que en el caso de las autoridades policiales (véase el considerando 109), estos inspectores generales gozan de independencia por mandato legal (316) y se encargan de llevar a cabo auditorías e investigaciones sobre los programas y las actividades llevadas a cabo por el servicio correspondiente con fines de inteligencia nacional, en particular en relación con el uso abusivo o la vulneración de la normativa aplicable (317). Pueden consultar todos los registros, informes, auditorías, expedientes, documentos, escritos, recomendaciones u otro material pertinente, previo requerimiento si es preciso, y pueden tomar declaración (318). Los inspectores generales remiten los posibles casos de delito a las autoridades competentes para su enjuiciamiento y formulan recomendaciones de medidas correctoras a los jefes de los servicios en cuestión (319). Aunque sus recomendaciones no son vinculantes, sus informes, especialmente los relativos a las actuaciones a raíz de recomendaciones (o a su ausencia) (320), se publican y se transmiten asimismo al Congreso, que puede ejercer su función de supervisión a este respecto (véanse los considerandos 168 a 169) (321).

(166)

En tercer lugar, la Junta de Supervisión de Inteligencia (Intelligence Oversight Board), integrada dentro de la Junta Asesora de Inteligencia del presidente de los EE. UU. (President’s Intelligence Advisory Board), supervisa el cumplimiento de la Constitución y de las demás normas pertinentes por parte de los servicios de inteligencia estadounidenses (322). La Junta Asesora de Inteligencia del presidente de los EE. UU. es un órgano consultivo de la Oficina Ejecutiva del Presidente (Executive Office of the President) compuesto por 16 miembros nombrados por el presidente; los miembros no pueden formar parte del Gobierno. La Junta de Supervisión de Inteligencia está compuesta por un máximo de cinco miembros designados por el presidente de entre los miembros de la Junta Asesora de Inteligencia del presidente de los EE. UU. Según el Decreto Presidencial n.o 12333 (323), los jefes de todos los servicios de inteligencia están obligados a informar a la Junta de Supervisión de Inteligencia de cualquier actividad de inteligencia respecto de la cual haya motivos para creer que puede ser ilícita o contraria a un decreto presidencial o a una directiva presidencial. Para garantizar que la Junta de Supervisión de Inteligencia tenga acceso a la información necesaria para el desempeño de sus funciones, el Decreto Presidencial n.o 13462 obliga al director de Inteligencia Nacional y a los jefes de los servicios de inteligencia a que proporcionen toda la información y ayuda que la Junta de Supervisión de Inteligencia determine que son necesarias para desempeñar sus funciones, en la medida en que lo permita la normativa aplicable (324). A su vez, la Junta de Supervisión de Inteligencia está obligada a informar al presidente de los EE. UU. sobre las actividades de inteligencia que considere que pueden constituir una vulneración del Derecho estadounidense (especialmente los decretos presidenciales) y no están siendo tratadas adecuadamente por el secretario de Justicia, el director de Inteligencia Nacional o el director del servicio de inteligencia correspondiente (325). Además, la Junta de Supervisión de Inteligencia está obligada a denunciar al secretario de Justicia los supuestos de posible comisión de delitos.

(167)

En cuarto lugar, los servicios de inteligencia están sometidos a la supervisión de la Junta de Supervisión de la Privacidad y las Libertades Civiles. De conformidad con la ley que la crea, la Junta de Supervisión de la Privacidad y las Libertades Civiles tiene encomendadas responsabilidades en el ámbito de las políticas de lucha contra el terrorismo y su ejecución, con el fin de proteger la privacidad y las libertades civiles. Para supervisar la actividad de los servicios de inteligencia, puede acceder a todos los registros, informes, auditorías, expedientes, documentos, escritos y recomendaciones, incluida información clasificada, así como realizar interrogatorios y tomar declaración (326). También recibe informes de los responsables de la protección de las libertades civiles y la privacidad de diversos Departamentos y organismos federales (327), puede formular recomendaciones a los organismos públicos y a los servicios de inteligencia, e informa periódicamente a los comités del Congreso y al presidente de los EE. UU. (328). Los informes de la Junta, incluidos los dirigidos al Congreso, deben publicarse en la mayor medida posible (329). La Junta de Supervisión de la Privacidad y las Libertades Civiles ha publicado varios informes de supervisión y seguimiento, incluido un análisis de los programas ejecutados con arreglo al artículo 702 de la Ley de vigilancia de inteligencia exterior, de la protección de la privacidad en este contexto y de la aplicación de la Directiva Presidencial n.o 28 y el Decreto Presidencial n.o 12333 (330). A la Junta de Supervisión de la Privacidad y las Libertades Civiles también se le atribuyeron funciones de supervisión específicas en lo que respecta a la aplicación del Decreto Presidencial n.o 14086, en particular mediante la revisión de la coherencia de los procedimientos de los servicios con el Decreto Presidencial (véase el considerando 126) y la evaluación de la eficacia de la vía de impugnación (véase el considerando 194).

(168)

En quinto lugar, aparte de los mecanismos de supervisión dentro del poder ejecutivo, hay comités específicos del Congreso de los EE. UU. (en particular, los Comités sobre el Poder Judicial y sobre Inteligencia de la Cámara y del Senado) que tienen competencias de supervisión sobre todas las actividades de inteligencia exterior del país, incluidas las relacionadas con la inteligencia de señales. Los miembros de dichos Comités tienen acceso a información clasificada, así como a los métodos y programas de inteligencia (331). Los Comités llevan a cabo su labor de supervisión de diferentes maneras, en particular a través de audiencias, investigaciones, revisiones e informes (332).

(169)

Los comités del Congreso reciben informes periódicos sobre las actividades de inteligencia, en particular del secretario de Justicia, el director de Inteligencia Nacional, los servicios de inteligencia y otros organismos de supervisión (por ejemplo, los inspectores generales) (véanse los considerandos 164 a 165). En particular, en virtud de la Ley de seguridad nacional, el presidente de los EE UU. garantiza que los comités sobre inteligencia del Congreso reciban constantemente información completa y actualizada sobre las actividades de inteligencia de los EE. UU., incluida toda actividad significativa prevista con arreglo a lo dispuesto en el subcapítulo correspondiente (333). Asimismo, la citada Ley dispone que el presidente vela por que se comunique cuanto antes a los comités sobre inteligencia del Congreso toda actividad de inteligencia ilícita, así como toda medida correctora que se haya tomado o se prevea tomar con respecto a dicha actividad ilícita (334).

(170)

Además, hay leyes específicas que imponen obligaciones de información adicionales. En particular, la Ley de vigilancia de inteligencia exterior exige al secretario de Justicia que informe exhaustivamente a los Comités sobre el Poder Judicial y sobre Inteligencia de la Cámara y del Senado acerca de las actividades realizadas por el Ejecutivo en virtud de determinados artículos de la Ley de vigilancia de inteligencia exterior (335). Por otro lado, dispone que el Ejecutivo proporcione a los comités del Congreso copias de todas las resoluciones o dictámenes del Tribunal de Vigilancia de Inteligencia Exterior y del Tribunal de Apelación de Inteligencia Exterior que contengan interpretaciones significativas de las disposiciones de la Ley de vigilancia de inteligencia exterior. Por lo que respecta a la vigilancia contemplada en el artículo 702 de la Ley de vigilancia de inteligencia exterior, la supervisión parlamentaria se ejerce mediante el análisis de los informes que la legislación exige que se envíe a los Comités sobre el Poder Judicial y sobre Inteligencia, así como mediante la celebración de frecuentes reuniones informativas y audiencias. Entre los documentos presentados figuran el informe semestral del secretario de Justicia en el que se describe la aplicación del artículo 702 de la Ley de vigilancia de inteligencia exterior, acompañado de documentos justificativos, en particular, los informes sobre cumplimiento del Departamento de Justicia y de la Oficina del Director de Inteligencia Nacional y la lista de los incidentes de incumplimiento detectados (336), así como una evaluación semestral elaborada aparte por el secretario de Justicia y el director de Inteligencia Nacional para documentar el cumplimiento de los procedimientos de selección de objetivos y de minimización (337).

(171)

Además, la Ley de vigilancia de inteligencia exterior exige que el Ejecutivo estadounidense comunique cada año al Congreso (y que publique) el número de órdenes de las contempladas en la Ley de vigilancia de inteligencia exterior que se solicitan y que se dictan, así como estimaciones del número de ciudadanos estadounidenses y no estadounidenses sometidos a vigilancia, entre otros aspectos (338). La citada Ley impone asimismo la obligación de comunicar el número de requerimientos de seguridad nacional emitidos tanto con respecto a ciudadanos estadounidenses como no estadounidenses (si bien también permite a los destinatarios de las órdenes y certificaciones contempladas en la Ley de vigilancia de inteligencia exterior y de requerimientos de seguridad nacional presentar informes de transparencia en determinadas circunstancias) (339).

(172)

En términos más generales, la Comunidad de Inteligencia estadounidense trata de distintos modos dar transparencia a sus actividades de inteligencia (exterior). Por ejemplo, en 2015, la Oficina del Director de Inteligencia Nacional aprobó principios de transparencia de la inteligencia y un Plan de transparencia y encargó a cada servicio de inteligencia que nombrara a un responsable de la transparencia en materia de inteligencia para fomentar la transparencia y dirigir iniciativas de transparencia (340). Como parte de estas medidas, la Comunidad de Inteligencia ha desclasificado y sigue desclasificando directrices, procedimientos, informes de supervisión, informes de actividades realizadas con arreglo al artículo 702 de la Ley de vigilancia de inteligencia exterior y el Decreto Presidencial n.o 12333, las resoluciones del Tribunal de Vigilancia de Inteligencia Exterior y otros documentos, en particular en el sitio web «IC on the Record», administrado por la Oficina del Director de Inteligencia Nacional (341).

(173)

Por último, la recogida de datos personales con arreglo al artículo 702 de la Ley de vigilancia de inteligencia exterior está sujeta a la revisión del Tribunal de Vigilancia de Inteligencia Exterior junto a la supervisión de los organismos de supervisión mencionados en los considerandos 162 a 168 (342). De conformidad con el artículo 13 del Reglamento de procedimiento del Tribunal de Vigilancia de Inteligencia Exterior, los responsables en materia de cumplimiento de los servicios de inteligencia estadounidenses están obligados a notificar cualquier vulneración de los procedimientos de selección de objetivos, minimización y consulta contemplados en el artículo 702 de la Ley de vigilancia de inteligencia exterior al Departamento de Justicia y a la Oficina del Director de Inteligencia Nacional, que, a su vez, las notifican al Tribunal de Vigilancia de Inteligencia Exterior. Además, el Departamento de Justicia y la Oficina del Director de Inteligencia Nacional presentan informes conjuntos semestrales de evaluación de la supervisión al Tribunal de Vigilancia de Inteligencia Exterior, en los que se indican las tendencias en materia de cumplimiento sobre la selección de objetivos, se describen pormenorizadamente las razones por las que se han producido determinados incidentes de cumplimiento y se señalan las medidas tomadas por los servicios de inteligencia para evitar que se repitan (343).

(174)

En caso necesario (por ejemplo, si se detectan vulneraciones de los procedimientos de selección de objetivos), el Tribunal puede ordenar al servicio de inteligencia en cuestión que tome medidas correctoras (344). Estas medidas pueden ir desde medidas individuales a medidas estructurales, por ejemplo, desde la finalización de la adquisición de datos y la supresión de los datos obtenidos ilícitamente hasta un cambio en las prácticas de recogida de datos, incluidas nuevas directrices y formación para el personal (345). Por otra parte, en su revisión anual de las certificaciones contempladas en el artículo 702, el Tribunal de Vigilancia de Inteligencia Exterior analiza las incidencias de incumplimiento para determinar si las certificaciones presentadas cumplen los requisitos de la Ley de vigilancia de inteligencia exterior. Del mismo modo, si el Tribunal de Vigilancia de Inteligencia Exterior considera que las certificaciones del Ejecutivo no son suficientes, especialmente debido a incidentes particulares de cumplimiento, puede dictar una resolución por incumplimiento en la que exija al Ejecutivo que subsane la vulneración en un plazo de treinta días o que exija al Ejecutivo que cese la ejecución o no empiece a ejecutar la certificación contemplada del artículo 702. Por último, el Tribunal de Vigilancia de Inteligencia Exterior analiza las tendencias que observa en cuestiones de cumplimiento y puede exigir cambios en los procedimientos o una supervisión y notificación adicionales para corregir esas tendencias (346).

(175)

Como se explica con más detalle en la presente sección, en los EE. UU. hay una serie de vías procesales que ofrecen a los interesados de la UE la posibilidad de solicitar a órganos cuasijudiciales independientes e imparciales que dicten medidas con carácter vinculante. Gracias a ellas, los particulares pueden acceder a sus datos personales, hacer que se revise la licitud del acceso a sus datos por los poderes públicos y, si se constata una vulneración, que se tomen medidas de reparación, en particular la rectificación o supresión de sus datos personales.

(176)

En primer lugar, se establece una vía específica, en virtud del Decreto Presidencial n.o 14086, complementado por el Reglamento por el que se crea el Tribunal de Recurso en Materia de Protección de Datos, para tramitar y resolver las reclamaciones de particulares relativas a actividades de inteligencia de señales estadounidenses. Todo particular de la UE está legitimado para presentar una reclamación ante el órgano competente en relación con las posibles vulneraciones de la normativa estadounidense que regula las actividades de inteligencia de señales (por ejemplo, el Decreto Presidencial n.o 14086, el artículo 702 de la Ley de vigilancia de inteligencia exterior y el Decreto Presidencial n.o 12333) que afecten negativamente a sus intereses en materia de privacidad y libertades civiles (347).Pueden recurrir a esta vía los particulares procedentes de países o las organizaciones regionales de integración económica designados por el secretario de Justicia de los Estados Unidos como «Estados cualificados» (348). El 30 de junio de 2023, la UE y los tres países de la AELC que componen el EEE fueron designados por el secretario de Justicia como «Estados cualificados» con arreglo al artículo 3, letra f), del Decreto Presidencial n.o 14086 (349). Esta designación se entiende sin perjuicio del artículo 4, apartado 2, del Tratado de la Unión Europea.

(177)

Los interesados de la UE que quieran presentar tal reclamación deben enviarla primero a la autoridad de control del Estado miembro de la UE competente en materia de supervisión del tratamiento de datos personales por parte de las autoridades públicas (APD) (350). De este modo, se garantiza una vía fácil de impugnación, ya que los particulares se pueden dirigir a una autoridad «cercana» con la que pueden comunicarse en su propia lengua. Una vez que se haya comprobado el cumplimiento los requisitos para presentar una reclamación a que se refiere el considerando 178, la APD competente canaliza la reclamación, a través de la Secretaría del Comité Europeo de Protección de Datos, al órgano correspondiente.

(178)

Los requisitos de admisión a trámite de las reclamaciones no son exigentes, ya que los particulares no necesitan demostrar que sus datos hayan sido efectivamente objeto de actividades de inteligencia de señales estadounidenses (351). Al mismo tiempo, para que el órgano en cuestión tenga un mínimo con el que empezar a analizar la cuestión, debe proporcionarse determinada información básica, como por ejemplo: los datos personales que se cree que se han transferido a los EE. UU. y los medios por los que se cree que han sido transferidos; qué organismos públicos estadounidenses se cree que están implicados en la presunta vulneración (si se conocen); los indicios en que se fundamenta la alegación de que se ha producido una vulneración de la normativa estadounidense (aunque de nuevo no es necesario demostrar que los servicios de inteligencia estadounidenses recogieron los datos personales) y la naturaleza de la medida de reparación solicitada.

(179)

La investigación inicial de las reclamaciones presentadas por esta vía la lleva a cabo el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional, cuya función y competencias legales se han ampliado para abarcar las medidas específicas tomadas con arreglo al Decreto Presidencial n.o 14086 (352). Dentro de la Comunidad de Inteligencia, el responsable de la protección de las libertades civiles se encarga de, entre otras cuestiones: garantizar que la protección de las libertades civiles y la privacidad se integre adecuadamente en las directrices y procedimientos de la Oficina del Director de Inteligencia Nacional y los servicios de inteligencia; supervisar el cumplimiento por parte de la Oficina de las obligaciones aplicables en materia de libertades civiles y privacidad; y realizar evaluaciones de impacto en materia de privacidad (353). El responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional solo puede ser destituido por el director de Inteligencia Nacional en supuestos justificados, a saber, en caso de falta administrativa, delito contra la Administración pública, violación de la seguridad, incumplimiento de deberes o incapacidad (354).

(180)

Al llevar a cabo su examen, el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional tiene acceso a la información para su evaluación y puede recabar la asistencia obligada de los responsables de la protección de la privacidad y de las libertades civiles en los diferentes servicios de inteligencia (355). Se prohíbe a los servicios de inteligencia impedir el examen del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional o influir indebidamente en este. Esta prohibición se extiende al director de Inteligencia Nacional, que no debe interferir en el examen (356). Al examinar la reclamaciones, el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional debe aplicar la normativa en vigor de manera imparcial, teniendo en cuenta tanto los intereses de seguridad nacional en las actividades de inteligencia de señales como la protección de la privacidad (357).

(181)

En el marco de su examen, el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional determina si se ha producido una vulneración de la normativa estadounidense aplicable y, en tal caso, dicta medidas de reparación adecuadas (358), es decir, medidas que reparan plenamente la vulneración detectada, como poner fin a la obtención ilícita de datos, suprimir los datos recogidos ilícitamente, eliminar los resultados de consultas realizadas de forma inadecuada sobre datos recogidos lícitamente por otros medios, restringir el acceso a los datos recogidos lícitamente a personal debidamente formado o retirar informes de inteligencia que contengan datos obtenidos sin autorización suficiente o que hayan sido difundidos ilícitamente (359). Las resoluciones del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional respecto de reclamaciones individuales (incluidas las medidas de reparación) son vinculantes para los servicios de inteligencia en cuestión (360).

(182)

El responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional debe conservar la documentación de su examen y elaborar una resolución clasificada que explique el fundamento de sus conclusiones fácticas, la determinación de si se ha producido una vulneración y la determinación de la reparación adecuada (361). Si el examen del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional pone de manifiesto una vulneración por parte de autoridades sujetas al control del Tribunal de Vigilancia de Inteligencia Exterior, el responsable de la protección de las libertades civiles también debe presentar un informe clasificado al fiscal general adjunto de Seguridad Nacional, que a su vez tiene la obligación de notificar la vulneración al Tribunal de Vigilancia de Inteligencia Exterior, que puede tomar nuevas medidas coercitivas (de conformidad con el procedimiento descrito en los considerandos 173 a 174) (362).

(183)

Una vez concluido el examen, el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional informa al reclamante, a través de la autoridad nacional, de que en el examen no se apreció ninguna vulneración o de que el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional exigió una reparación adecuada (363). De este modo, se puede proteger la confidencialidad de las actividades realizadas para proteger la seguridad nacional, al tiempo que los particulares cuentan con una resolución que confirma que su reclamación ha sido debidamente investigada y resuelta. Además, esta resolución puede ser impugnada por el particular. A tal fin, se le informa de la posibilidad de recurrir al Tribunal de Recurso en Materia de Protección de Datos para que revise los pronunciamiento del responsable de la protección de las libertades civiles (véanse los considerandos 184 y siguientes) y de que, en caso de que se recurra ante el Tribunal, se seleccionará a un abogado especial para defender el interés del reclamante (364).

(184)

Todo reclamante, así como cada servicio de la Comunidad de Inteligencia, puede recurrir la resolución del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional ante el Tribunal de Recurso en Materia de Protección de Datos. Dicho recurso debe presentarse en un plazo de sesenta días a partir de la recepción de la notificación del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional de que ha concluido su examen e incluir cualquier información que el particular quiera comunicar al Tribunal de Recurso en Materia de Protección de Datos (por ejemplo, argumentación sobre cuestiones de Derecho o la aplicación del Derecho al caso (365)). Los interesados de la UE pueden volver a presentar su solicitud a la APD competente (véase el considerando 177).

(185)

El Tribunal de Recurso en Materia de Protección de Datos es un órgano cuasijudicial independiente establecido por el secretario de Justicia con arreglo a el Decreto Presidencial n.o 14086 (366). Está compuesto por al menos seis magistrados, nombrados por el secretario de Justicia tras consultarlo con la Junta de Supervisión de la Privacidad y las Libertades Civiles, el secretario de Comercio y el director de Inteligencia Nacional por mandatos renovables de cuatro años (367). El nombramiento de los magistrados por el secretario de Justicia se basa en los criterios utilizados por el poder ejecutivo al valorar a los candidatos a la judicatura federal, dando preponderancia a la experiencia judicial previa (368). Además, los magistrados deben ser profesionales del Derecho (es decir, miembros colegiados en activo y debidamente autorizados para ejercer la abogacía) y tener la experiencia adecuada en materia de privacidad y normativa de seguridad nacional. El secretario de Justicia debe procurar que al menos la mitad de los magistrados en cualquier momento tengan experiencia judicial previa, y todos los magistrados deben contar con las habilitaciones de seguridad necesarias para poder acceder a información clasificada de seguridad nacional (369).

(186)

Solo las personas que reúnan las cualificaciones mencionadas en el considerando 185 y que no sean empleadas del poder ejecutivo en el momento de su nombramiento o en los dos años anteriores pueden ser nombradas para el Tribunal de Recurso en Materia de Protección de Datos. Del mismo modo, durante su mandato en el Tribunal de Recurso en Materia de Protección de Datos, los magistrados no pueden desempeñar ninguna función o empleo oficial en el Ejecutivo estadounidense (solo pueden ejercer de magistrados del Tribunal de Recurso en Materia de Protección de Datos) (370).

(187)

La independencia de sus pronunciamientos se logra a través de una serie de garantías. En particular, el poder ejecutivo (el secretario de Justicia y los servicios de inteligencia) no puede injerirse o influir indebidamente en la actividad del Tribunal de Recurso en Materia de Protección de Datos (371). El propio Tribunal de Recurso en Materia de Protección de Datos está obligado a resolver imparcialmente los asuntos (372) y funciona con arreglo a su propio reglamento interno (aprobado por mayoría). Además, los magistrados del Tribunal de Recurso en Materia de Protección de Datos solo pueden ser destituidos por el secretario de Justicia y exclusivamente en supuestos justificados (falta administrativa, delito contra la Administración pública, violación de la seguridad, incumplimiento de deberes o incapacidad), tras haber tenido debidamente en cuenta el régimen aplicable a los magistrados federales, establecido en el Reglamento sobre los procedimientos relativos a la conducta y la incapacidad de jueces y magistrados (Rules for Judicial-Conduct and Judicial-Disability Proceedings) (373).

(188)

Los recursos presentados al Tribunal de Recurso en Materia de Protección de Datos son examinados por salas de dos magistrados y un magistrado ponente que deben actuar de conformidad con el Código de conducta de los jueces y magistrados estadounidenses (Code of Conduct for U.S. Judges) (374). Cada sala está asistida por un abogado especial (375), que tiene acceso a toda la información relacionada con el asunto, incluida la información clasificada (376). La función del abogado especial es garantizar que los intereses del reclamante estén representados y que la sala esté bien informada sobre todas las cuestiones de hecho y de Derecho pertinentes (377). Para cumplir adecuadamente su función respecto del recurso del particular, el abogado especial puede solicitar información a este mediante preguntas escritas (378).

(189)

El Tribunal de Recurso en Materia de Protección de Datos revisa las resoluciones del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional (tanto si se ha producido una vulneración de la normativa estadounidense aplicable como si la reparación ha sido adecuada) basándose, como mínimo, en el expediente de la investigación del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional, así como en cualquier información y documentos del reclamante, del abogado especial o del servicio de inteligencia (379). Las salas del Tribunal de Recurso en Materia de Protección de Datos tienen acceso a toda la información necesaria para resolver, que pueden obtener a través del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional (la sala puede, por ejemplo, solicitar al responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional que complemente el expediente con información adicional o conclusiones fácticas si fuera necesario para resolver) (380).

(190)

El Tribunal de Recurso en Materia de Protección de Datos puede 1) resolver que no existen pruebas que indiquen que se han realizado actividades de inteligencia de señales que incluyan datos personales del reclamante, 2) determinar que la resolución del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional era jurídicamente correcta y estaba respaldada por pruebas sustanciales o, 3) si el Tribunal de Recurso en Materia de Protección de Datos no está de acuerdo con la resolución del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional (si se ha producido una vulneración de la normativa estadounidense aplicable o si las medidas reparatorias son adecuadas), dar su propio fallo (381).

(191)

En todos los casos, el Tribunal de Recurso en Materia de Protección de Datos toma su decisión por mayoría y la plasma por escrito. Si durante su análisis el Tribunal constata una vulneración de la normativa aplicable, al resolver dicta medidas reparatorias adecuadas, como poner fin a la obtención ilícita de datos, suprimir los datos recogidos ilícitamente, eliminar los resultados de consultas realizadas de forma inadecuada, restringir el acceso a los datos recogidos lícitamente a personal debidamente formado o retirar informes de inteligencia que contengan datos obtenidos sin autorización suficiente o que hayan sido difundidos ilícitamente (382). La resolución del Tribunal de Recurso en Materia de Protección de Datos es vinculante y firme con respecto a la reclamación (383). Además, si se pone de manifiesto una vulneración por parte de autoridades sujetas al control del Tribunal de Vigilancia de Inteligencia Exterior, el Tribunal de Recurso en Materia de Protección de Datos también debe presentar un informe clasificado al fiscal general adjunto de Seguridad Nacional, que a su vez tiene la obligación de notificar la vulneración al Tribunal de Vigilancia de Inteligencia Exterior, que puede tomar nuevas medidas coercitivas (de conformidad con el procedimiento descrito en los considerandos 173 a 174) (384).

(192)

Las resoluciones de las salas del Tribunal de Recurso en Materia de Protección de Datos se transmiten al responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional (385). En los casos en que el recurso al Tribunal de Recurso en Materia de Protección de Datos procede del reclamante, se notifica a este, a través de la autoridad nacional correspondiente, que el Tribunal de Recurso en Materia de Protección de Datos, bien no detectó ninguna vulneración pertinente, bien resolvió dictando medidas reparatorias adecuadas (386). La Oficina de Privacidad y Libertades Civiles del Departamento de Justicia lleva un registro de toda la información examinada por el Tribunal de Recurso en Materia de Protección de Datos y de todas sus resoluciones, que se pone a disposición de las salas del Tribunal de Recurso en Materia de Protección de Datos como precedentes no vinculantes (387).

(193)

El Departamento de Comercio también está obligado a llevar un registro de cada persona que haya presentado una reclamación (388). Para aumentar la transparencia, el Departamento de Comercio debe ponerse en contacto, al menos cada cinco años, con los servicios de inteligencia pertinentes para verificar si la información relativa a un recurso ante el Tribunal de Recurso en Materia de Protección de Datos ha sido desclasificada (389). Si este es el caso, se notifica al particular que dicha información puede consultarse con arreglo a la normativa aplicable (es decir, que puede solicitar acceso con arreglo a la Ley de libertad de información; véase el considerando 199).

(194)

Por último, el correcto funcionamiento de esta vía de recurso está sujeto a una evaluación periódica e independiente. Más concretamente y de conformidad con el Decreto Presidencial n.o 14086, el funcionamiento de esta vía de recurso está sujeto a revisión anual por parte de la Junta de Supervisión de la Privacidad y las Libertades Civiles, un organismo independiente (véase el considerando 110) (390). Como parte de esta revisión, la Junta de Supervisión de la Privacidad y las Libertades Civiles evalúa, entre otros aspectos: si el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional y el Tribunal de Recurso en Materia de Protección de Datos han tramitado las reclamaciones de manera oportuna; si han obtenido pleno acceso a la información necesaria; si las garantías sustantivas del Decreto Presidencial n.o 14086 se han tenido debidamente en cuenta en los recursos; y si la Comunidad de Inteligencia ha cumplido plenamente las resoluciones del responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional y el Tribunal de Recurso en Materia de Protección de Datos. La Junta de Supervisión de la Privacidad y las Libertades Civiles debe presentar un informe sobre el resultado de su revisión al presidente de los EE. UU, al secretario de Justicia, al director de Inteligencia Nacional, a los jefes de los servicios de inteligencia, al responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional y a los comités sobre inteligencia del Congreso, que también se publicará en una versión no clasificada y, a su vez, contribuirá a la revisión periódica del funcionamiento de la presente Decisión que llevará a cabo la Comisión Europea. El secretario de Justicia, el director de Inteligencia Nacional, el responsable de la protección de las libertades civiles de la Oficina del Director de Inteligencia Nacional y los jefes de los servicios de inteligencia están obligados a cumplir o tratar de otro modo todas las recomendaciones incluidas en dichos informes. Además, la Junta de Supervisión de la Privacidad y las Libertades Civiles debe hacer una certificación pública anual de si los recursos se tramitan de conformidad con los requisitos del Decreto Presidencial n.o 14086.

(195)

Además de la vía procesal específica establecida en el Decreto Presidencial n.o 14086, los particulares (con independencia de su nacionalidad o lugar de residencia) también pueden recurrir a la vía judicial ordinaria estadounidense (391).

(196)

En particular, la Ley de vigilancia de inteligencia exterior y una ley conexa legitiman a los particulares para: interponer una demanda de indemnización por daños y perjuicios contra los EE. UU. cuando se haya utilizado o comunicado información suya de manera intencionada e ilícita (392); interponer una demanda de indemnización por daños y perjuicios contra funcionarios públicos estadounidenses cuando actúen a título personal (393); e impugnar la legalidad de la vigilancia (y solicitar la supresión de la información) en el supuesto de que el Ejecutivo estadounidense pretenda utilizar o comunicar información obtenida o derivada de la vigilancia electrónica en contra del interesado en procesos judiciales o procedimientos administrativos emprendidos en dicho país (394). De manera más general, si el Ejecutivo tiene la intención de utilizar la información obtenida durante las operaciones de inteligencia contra un sospechoso en un asunto penal, la Constitución y ciertas leyes (395) imponen la obligación de comunicar determinada información de modo que el encausado pueda impugnar la licitud de la recogida y el uso de medios de pruebas por parte del Ejecutivo.

(197)

Por otra parte, hay una serie de vías procesales específicas con las que impugnar la actuaciones de los funcionarios por el acceso ilícito a datos personales y la utilización de estos por parte del Ejecutivo, incluso con presuntos fines de seguridad nacional (a saber, la Ley de abusos y fraudes informáticos (396), la Ley de privacidad de las comunicaciones electrónicas (397) y la Ley del derecho la privacidad financiera (398)). Todas estas acciones judiciales se refieren a datos, objetivos o tipos de acceso específicos (por ejemplo, el acceso remoto a un ordenador a través de internet) y pueden ejercitarse en determinadas circunstancias (tales como los actos u omisiones dolosos, los actos u omisiones que no se realizan como parte de un cargo o función oficial y la existencia de daños y perjuicios).

(198)

Otra vía procesal más general se contempla en la Ley de lo contencioso-administrativo (399), según la cual todo particular que sufra un perjuicio por actuaciones ilícitas de un organismo público o que se haya visto adversamente afectado o perjudicado por la actuación de un organismo público está legitimado para ejercitar la correspondiente acción judicial (400). En este sentido, se puede demandar al órgano jurisdiccional que declare ilícitas y anule la actuación, las constataciones y las conclusiones del organismo público que sean arbitrarias, caprichosas, un abuso de la facultad de apreciación o, de otro modo, no conformes a Derecho (401). Por ejemplo, una corte federal de apelaciones resolvió, respecto de una acción de las contempladas en la Ley de lo contencioso-administrativo ejercitada en 2015, que la recogida masiva de metadatos telefónicos por parte del Ejecutivo estadounidense no estaba autorizada por el artículo 501 de la Ley de vigilancia de inteligencia exterior (402).

(199)

Por último, además de las vías procesales mencionadas en los considerandos 176 a 198, todo particular tiene derecho a solicitar acceso a los documentos que obren en poder los organismos federales en el marco de la Ley de libertad de información, especialmente cuando contengan datos personales de ese particular (403). La concesión de este acceso también puede facilitar el ejercicio de las acciones judiciales correspondientes ante los órganos jurisdiccionales ordinarios, especialmente para demostrar que se goza de legitimación activa. Los organismos pueden no proporcionar información en supuestos excepcionales tasados, como el acceso a información clasificada de seguridad nacional y a información relativa a investigaciones policiales (404), pero los reclamantes que no estén satisfechos con la respuesta pueden impugnarla primero por la vía administrativa y, posteriormente, por la judicial (federal) (405).

(200)

De lo anterior se desprende que, cuando las autoridades policiales y las autoridades de seguridad nacional estadounidenses acceden a datos personales que entran en el ámbito de aplicación de la presente Decisión, dicho acceso se rige por un marco jurídico que establece las condiciones en las que puede concederse el acceso y garantiza que el acceso y el uso ulterior de los datos se limiten a lo que sea necesario y proporcionado al objetivo perseguido de interés general. Estas garantías pueden hacerlas valer los particulares que gocen de legitimación.

(201)

La Comisión considera que los EE. UU. garantizan, a través de los principios en materia de privacidad publicados por el Departamento de Comercio de los EE. UU., un nivel de protección de los datos personales transferidos desde la UE a entidades estadounidenses certificadas en el Marco de Privacidad de Datos UE-EE. UU. que es equivalente en lo esencial al garantizado por el Reglamento (UE) 2016/679.

(202)

Por otra parte, la Comisión considera que la aplicación efectiva de los principios en materia de privacidad queda garantizada por las obligaciones de transparencia y la administración del Marco de Privacidad de Datos UE-EE. UU. que realiza el Departamento de Comercio. Además, en su conjunto, los mecanismos de supervisión y las vías de impugnación contemplados en el Derecho estadounidense son suficientes para detectar y sancionar en la práctica las vulneraciones de la normativa de protección de datos y brindan al interesado medios jurídicos para solicitar el acceso a sus datos personales y, en su caso, su rectificación o supresión.

(203)

Por último, sobre la base de la información disponible acerca del ordenamiento jurídico estadounidense, en particular la información que figura en los anexos VI y VII, la Comisión considera que toda injerencia por motivos de interés público, en particular a efectos penales y de seguridad nacional, por los poderes públicos estadounidenses en los derechos fundamentales de los particulares cuyos datos personales sean transferidos desde la UE a los EE. UU. en el Marco de Privacidad de Datos UE-EE. UU. se limitará a lo estrictamente necesario para lograr el objetivo legítimo perseguido, y que existen garantías jurídicas efectiva contra tales injerencias. Por lo tanto y teniendo en consideración las constataciones anteriores, debe concluirse que los EE. UU. garantizan un nivel de protección adecuado, en el sentido del artículo 45 del Reglamento (UE) 2016/679, interpretado a la luz de la Carta de los Derechos Fundamentales de la Unión Europea, de los datos personales transferidos desde la UE a las entidades participantes en el Marco de Privacidad de Datos UE-EE. UU.

(204)

Dado que las limitaciones, garantías, vías de impugnación y órganos establecidos por el Decreto Presidencial n.o 14086 son elementos esenciales del marco jurídico estadounidense en el que se basa la evaluación de la Comisión, la adopción de la presente Decisión depende notoriamente de que los servicios de inteligencia estadounidenses aprueben directrices y procedimientos actualizados que pongan en práctica los preceptos del Decreto Presidencial n.o 14086, y de la designación de la UE como organización internacional cualificada a efectos de la vía de reparación; ambas decisiones han sido tomadas, respectivamente, el 3 de julio de 2023 (véase el considerando 126) y el 30 de junio de 2023 (véase el considerando 176).

(205)

Los Estados miembros y sus organismos están obligados a tomar las medidas necesarias para dar cumplimiento a los actos de las instituciones de la UE, ya que estos disfrutan de presunción de legalidad y producen, por consiguiente, efectos jurídicos en tanto no hayan sido revocados, anulados en el marco de un recurso de anulación o declarados inválidos a raíz de una cuestión prejudicial o de una excepción de ilegalidad.

(206)

Por lo tanto, toda decisión de adecuación de la Comisión adoptada en virtud del artículo 45, apartado 3, del Reglamento (UE) 2016/679 vincula a todos los organismos de los Estados miembros destinatarios, incluidas sus autoridades de control independientes. En particular, pueden producirse transferencias de responsables o encargados del tratamiento en la UE a entidades certificadas estadounidenses sin necesidad de autorización adicional.

(207)

Cabe recordar que, de conformidad con el artículo 58, apartado 5, del Reglamento (UE) 2016/679 y como explicó el Tribunal de Justicia en la sentencia Schrems (406), cuando una autoridad nacional de protección de datos cuestiona, en especial a raíz de una reclamación, la compatibilidad de una decisión de adecuación de la Comisión con los derechos fundamentales del particular a la privacidad y la protección de los datos, el Derecho nacional debe prever las vías de acción para exponer las alegaciones correspondientes ante los tribunales nacionales, a los que podrá pedirse que planteen una cuestión prejudicial al TJUE (407).

(208)

De conformidad con la jurisprudencia del TJUE (408) y tal como se reconoce en el artículo 45, apartado 4, del Reglamento (UE) 2016/679, la Comisión debe supervisar de manera continuada los acontecimientos en el tercer país después de la adopción de la decisión de adecuación, para evaluar si el tercer país todavía garantiza un nivel de protección equivalente en lo esencial. En cualquier caso, esa comprobación es obligada cuando la Comisión tenga indicios que generen una duda razonable en ese sentido.

(209)

Por consiguiente, la Comisión debe hacer una supervisión continuada de la situación en los EE. UU. en lo que respecta al marco jurídico y a la práctica real relacionada con el tratamiento de los datos personales evaluada en la presente Decisión. Para facilitar este proceso, los poderes públicos estadounidenses deben informar puntualmente a la Comisión de cualquier cambio sustancial en el ordenamiento jurídico estadounidense que afecte al marco jurídico objeto de la presente Decisión, así como de cualquier evolución en las prácticas relacionadas con el tratamiento de los datos personales evaluadas en la presente Decisión, tanto en lo que se refiere al tratamiento de datos personales por las entidades certificadas estadounidenses como a las limitaciones y garantías aplicables al acceso a los datos personales por parte de las autoridades públicas.

(210)

Además, a fin de que la Comisión pueda desempeñar eficazmente su función de supervisión, los Estados miembros deben informarle de toda medida pertinente tomada por las autoridades nacionales de protección de datos, en particular en lo que respecta a las consultas o las reclamaciones de los interesados de la UE en relación con la transferencia de datos personales desde la UE a las entidades certificadas estadounidenses. También debe informarse a la Comisión de todo indicio de que las medidas de los poderes públicos estadounidenses responsables de la seguridad nacional o de la prevención, la investigación, la detección o la persecución de las infracciones penales no garantizan el nivel de protección necesario.

(211)

En aplicación del artículo 45, apartado 3, del Reglamento (UE) 2016/679 (409), la Comisión, tras la adopción de la presente Decisión, debe revisar periódicamente si las conclusiones relativas a la adecuación del nivel de protección garantizado por los EE. UU. en el Marco de Privacidad de Datos UE-EE. UU. siguen estando justificadas de hecho y de Derecho. Dado que, en particular, el Decreto Presidencial n.o 14086 y el Reglamento sobre el Tribunal de Recurso exigen el establecimiento de nuevas vías y órganos de impugnación y la aplicación de nuevas garantías, la presente Decisión debe ser objeto de una primera revisión en el plazo de un año a partir de su entrada en vigor, a fin de verificar si todos los elementos pertinentes se han implantado plenamente y si funcionan eficazmente en la práctica. Tras la primera revisión y en función de su resultado, la Comisión debe decidir, en estrecha consulta con el comité establecido en virtud del artículo 93, apartado 1, del Reglamento (UE) 2016/679 y con el Comité Europeo de Protección de Datos, la periodicidad de las próximas revisiones (410).

(212)

Para llevar a cabo las revisiones, la Comisión debe reunirse con el Departamento de Comercio, la Comisión Federal de Comercio y el Departamento de Transporte, acompañados, si procede, por otros Departamentos y organismos que participen en la aplicación del Marco de Privacidad de Datos UE-EE. UU., así como, respecto de las cuestiones relativas al acceso de los poderes públicos a los datos, representantes del Departamento de Justicia, la Oficina del Director de Inteligencia Nacional (incluido el responsable de la protección de las libertades civiles), otros servicios de la Comunidad de Inteligencia, el Tribunal de Recurso en Materia de Protección de Datos y abogados especiales. La participación en esta reunión debe estar abierta a los representantes de los miembros del Comité Europeo de Protección de Datos.

(213)

Las revisiones deben abarcar todos los aspectos del funcionamiento de la presente Decisión respecto del tratamiento de los datos personales en los EE. UU. y, en particular: la aplicación y ejecución de los principios en materia de privacidad, prestando especial atención a las garantías establecidas para las transferencias ulteriores; la evolución de la jurisprudencia pertinente; la eficacia del ejercicio de los derechos individuales; el control y la garantía del cumplimiento de los principios en materia de privacidad; las limitaciones y garantías con respecto al acceso por los poderes públicos, especialmente la ejecución y aplicación de las garantías introducidas por el Decreto Presidencial n.o 14086, también a través de directrices y procedimientos desarrollados por los servicios de inteligencia; la interacción entre el Decreto Presidencial n.o 14086 y el artículo 702 de la Ley de Vigilancia de Inteligencia Exterior y el Decreto Presidencial n.o 12333; y la eficacia de los mecanismos de supervisión y las vías procesales (incluido el funcionamiento de la nueva vía procesal establecida en virtud del Decreto Presidencial n.o 14086). En el contexto de estas revisiones, se prestará atención también a la cooperación entre las APD y las autoridades competentes estadounidenses, especialmente a la elaboración y desarrollo de directrices y otros instrumentos interpretativos para la aplicación de los principios en materia de privacidad, así como a otros aspectos del funcionamiento del Marco.

(214)

Sobre la base de la revisión, la Comisión debe elaborar un informe público que presentará al Parlamento Europeo y al Consejo.

(215)

Cuando la información disponible, en particular la información resultante de la labor de supervisión respecto de la presente Decisión o proporcionada por las autoridades estadounidenses o de los Estados miembros, muestre que el nivel de protección conferido a los datos transferidos con arreglo a la presente Decisión puede que ya no sea adecuado, la Comisión debe informar sin demora de ello a las autoridades competentes estadounidenses y solicitar que se tomen medidas apropiadas dentro del plazo razonable que se fije.

(216)

Si, al vencer dicho plazo, las autoridades estadounidenses competentes no han tomado dichas medidas o no han demostrado satisfactoriamente de otro modo que se sigue garantizando un nivel de protección adecuado a efectos de la presente Decisión, la Comisión debe iniciar el procedimiento a que se refiere el artículo 93, apartado 2, del Reglamento (UE) 2016/679 con el fin de suspender o derogar, total o parcialmente, la presente Decisión.

(217)

La Comisión también puede iniciar ese procedimiento para modificar la presente Decisión, en particular con el fin de imponer condiciones adicionales a las transferencias de datos o con el fin de limitar la conclusión de adecuación solo a las transferencias de datos para las que se siga garantizando un nivel de protección adecuado.

(218)

En particular, la Comisión debe iniciar el procedimiento de suspensión o derogación en los supuestos siguientes:

(219)

La Comisión debe considerar asimismo la posibilidad de iniciar el procedimiento conducente a la modificación, suspensión o derogación de la presente Decisión si las autoridades estadounidenses competentes no proporcionan la información o las aclaraciones necesarias para la evaluación del nivel de protección de los datos personales transferidos desde la UE a los EE. UU. o en relación con el cumplimiento de la presente Decisión. A este respecto, la Comisión debe tener en cuenta en qué medida puede obtenerse la información pertinente de otras fuentes.

(220)

Por razones imperiosas de urgencia debidamente justificadas (por ejemplo, si el Decreto Presidencial n.o 14086 o el Reglamento sobre el Tribunal de Recurso se modificase de modo que disminuyese el nivel de protección descrito en la presente Decisión o si la designación, por parte del secretario de Justicia, de la UE como organización internacional cualificada a efectos de la vía de reparación se revoca), la Comisión debe hacer uso de la competencia de adoptar, de conformidad con el procedimiento a que se refiere el artículo 93, apartado 3, del Reglamento (UE) 2016/679, actos de ejecución inmediatamente aplicables que suspendan, deroguen o modifiquen la presente Decisión.

(221)

El Comité Europeo de Protección de Datos publicó su correspondiente dictamen (411), que se ha tenido en cuenta en la elaboración de la presente Decisión.

(222)

El Parlamento Europeo aprobó la resolución sobre la adecuación de la protección conferida por el marco de privacidad de datos UE-EE. UU. (412).

(223)

Las medidas previstas por la presente Decisión se ajustan al dictamen del Comité contemplado en el artículo 93, apartado 1, del Reglamento (UE) 2016/679.

1.

2.

3.

4.

5.

6.

7.

8.

a. por «datos personales» e «información personal» se entienden los datos sobre un particular identificado o identificable a los que es de aplicación el RGPD, que los recibe de la UE una entidad estadounidense y que quedan registrados de alguna forma;

b. por «tratamiento» de los datos personales se entiende cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación, difusión y supresión o destrucción;

c. por «responsable del tratamiento de datos» o «responsable» se entiende una persona física o jurídica que, sola o junto con otros, determina las finalidades y medios del tratamiento de datos personales.

9.

a.

Las entidades deberán informar a los particulares sobre:

b.

La notificación deberá hacerse en un lenguaje claro y evidente cuando se solicite por primera vez a los particulares que proporcionen a la entidad información personal o tan pronto como sea posible después, pero, en cualquier caso, antes de que la entidad utilice dicha información para una finalidad distinta de aquella para la que inicialmente la recogió o trató la entidad que la transfiere o antes de que entidad la comunique por primera vez a un tercero.

a.

Las entidades deberán ofrecer a los particulares la posibilidad de oponerse a que su información personal i) se comunique a un tercero o ii) se utilice para una finalidad sustancialmente distinta de la finalidad para la que fueron recogidos inicialmente o que autorizó posteriormente el particular. Se deberán ofrecer a los particulares mecanismos claros, bien visibles e inmediatamente utilizables para que ejerzan su derecho de opción.

b.

No obstante lo establecido en la letra anterior, no es necesario ofrecer la posibilidad anterior cuando la información se comunique a un tercero que actúe como agente realizando tareas por cuenta de la entidad y siguiendo sus instrucciones. Sin embargo, la entidad deberá celebrar siempre un contrato a tal efecto con el agente.

c.

Si se trata de información delicada, como la información que indique el estado de salud, el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical o la información sobre la vida sexual del particular, las entidades deberán obtener el consentimiento expreso del particular si dicha información i) va a comunicarse a un tercero o ii) va a utilizarse para una finalidad distinta de la finalidad para la que fue recogida inicialmente o que autorizó posteriormente de forma expresa el particular. En cualquier caso, las entidades deberán tratar como delicada toda información personal recibida de un tercero cuando dicho tercero la considere y trate como información delicada.

a.

Para transferir información personal a un tercero que actúe como responsable del tratamiento, las entidades deberán cumplir con los principios de notificación y opción. Las entidades deberán también celebrar un contrato con el tercero responsable del tratamiento por el que se estipule que tales datos solo se podrán tratar para finalidades limitadas y específicas que sean compatibles con el consentimiento proporcionado por el particular, y que el destinatario garantizará el mismo nivel de protección que los principios en materia de privacidad y comunicará a la entidad si ya no puede cumplir esta obligación. En el contrato se establecerá que, en caso de que se llegue a esta constatación, el tercero responsable del tratamiento dejará de tratar los datos o tomará otras medidas razonables y adecuadas para reparar la situación.

b.

Para transferir datos personales a un tercero que actúe como agente, las entidades deberán: i) transferir dichos datos única y exclusivamente para finalidades limitadas y específicas; ii) cerciorarse de que el agente está obligado a garantizar como mínimo el mismo nivel de protección de la privacidad que el exigido por los principios en materia de privacidad; iii) tomar medidas razonables y apropiadas para garantizar el tratamiento efectivo por parte del agente de la información personal transferida con arreglo a las obligaciones que imponen a la entidad los principios en materia de privacidad; iv) exigir al agente que notifique a la entidad si ya no puede cumplir la obligación de garantizar el mismo nivel de protección que el exigido por los principios en materia de privacidad; v) previa recepción de notificación, en particular en el supuesto del inciso iv), tomar las medidas razonables y apropiadas para detener el tratamiento no autorizado y reparar la situación; y vi) aportar, a instancias del Departamento, un resumen o una copia representativa de las cláusulas en materia de privacidad pertinentes de su contrato con ese agente.

a.

Las entidades que creen, tengan, utilicen o difundan información personal deberán tomar medidas razonables y apropiadas para evitar su pérdida, su mal uso y consulta no autorizada, su comunicación, su modificación y su destrucción, teniendo en cuenta los riesgos inherentes al tratamiento y la naturaleza de los datos personales.

a.

De acuerdo con los principios en materia de privacidad, la información personal deberá limitarse a la información pertinente a efectos del tratamiento (6). Las entidades no podrán tratar la información personal de manera incompatible con la finalidad para la que fue recogida inicialmente o que autorizó posteriormente el particular. En la medida necesaria para lograr dicha finalidad, las entidades tomarán medidas razonables para que los datos personales sean fiables en relación con el uso previsto, exactos y actuales y estén completos. Las entidades deberán respetar los principios en materia de privacidad durante el tiempo que conserven dicha información.

b.

La información podrá conservarse en una forma que identifique o haga identificable (7) al particular únicamente mientras esta conservación contribuya a alcanzar la finalidad del tratamiento con arreglo a lo dispuesto en el punto 5, letra a. Esta obligación no impide a las entidades tratar información personal por períodos más largos, por el tiempo y en la medida en que dicho tratamiento contribuya razonablemente a las finalidades siguientes, a saber, archivamiento en interés público, periodismo, literatura y arte, investigación científica o histórica y análisis estadístico. En estos casos, el tratamiento estará sujeto a los demás principios y disposiciones del Marco de Privacidad de Datos UE-EE. UU. Las entidades deberán tomar medidas razonables y apropiadas para cumplir esta disposición.

a.

Los particulares deberán tener acceso a la información personal que las entidades tengan sobre ellos y poder corregir, modificar o suprimir dicha información si resulta inexacta o ha sido tratada infringiendo los principios en materia de privacidad, excepto en dos casos: cuando el trabajo o el gasto de conceder el acceso sean desproporcionados en relación con los riesgos para la privacidad del particular dadas las circunstancias del caso o cuando con ello se vulneren los derechos de otras personas.

a.

Para que se pueda proteger eficazmente la privacidad debe haber sólidos mecanismos para exigir el cumplimiento de los principios en materia de privacidad, vías de impugnación para los particulares afectados por el incumplimiento de dichos principios y sanciones para la entidad incumplidora. Como mínimo, tales mecanismos deberán incluir:

b.

Las entidades y los órganos independientes de impugnación de estas responderán rápidamente a las consultas y solicitudes de información del Departamento relacionadas con el Marco de Privacidad de Datos UE-EE. UU. Todas las entidades deberán responder sin demora a las reclamaciones relacionadas con el cumplimiento de los principios en materia de privacidad remitidas por las autoridades de los Estados miembros de la UE a través del Departamento. Las entidades que hayan decidido cooperar con las APD, en particular las entidades que tratan datos de recursos humanos, deberán responder directamente a estas autoridades en relación con la investigación y la resolución de las reclamaciones.

c.

Las entidades están obligadas a arbitrar las reclamaciones y atenerse a las condiciones establecidas en el anexo I siempre que el particular haya solicitado la incoación de un proceso arbitral vinculante mediante la notificación a la entidad en cuestión de conformidad con los procedimientos y condiciones establecidos en el anexo I.

d.

En el contexto de las transferencias ulteriores, las entidades participantes asumen la responsabilidad del tratamiento de la información personal que reciben en dicho Marco y posteriormente transfieren a un tercero que actúe como agente por su cuenta. Las entidades participantes serán responsables a efectos de los principios en materia de privacidad si su agente trata dicha información personal infringiendo los mismos, salvo que la entidad demuestre que no es responsable del suceso que ha provocado los daños y perjuicios.

e.

Cuando la entidad sea objeto de una resolución judicial por incumplimiento o de una resolución por incumplimiento dictada por un organismo legal estadounidense (por ejemplo, la Comisión Federal de Comercio o el Departamento de Transporte) de los enumerados en los principios en materia de privacidad o en un futuro anexo de dichos principios, dicha entidad publicará las secciones pertinentes relacionadas con el Marco de Privacidad de Datos UE-EE. UU. de cualquier informe de cumplimiento o evaluación presentado al órgano jurisdiccional o al organismo legal estadounidense en la medida en que sea compatible con los requisitos de confidencialidad. El Departamento ha nombrado un punto de contacto específico para las APD en caso de problemas de cumplimiento por parte de las entidades participantes. La Comisión Federal de Comercio y el Departamento de Transporte darán prioridad a las reclamaciones remitidas por el Departamento y las autoridades de los Estados miembros de la UE relativas al incumplimiento de los principios e intercambiarán sin demora información relativa a las reclamaciones con las autoridades públicas que las hayan remitido, de conformidad con las restricciones de confidencialidad existentes.

a.

Las entidades no están obligadas a obtener el consentimiento expreso del particular por lo que respecta a los datos delicados en los casos en que el tratamiento:

a.

Habida cuenta del amparo que la Constitución de los EE. UU. brinda a la libertad de prensa, cuando el derecho a la libertad de prensa consagrado en la primera enmienda de la Constitución de los EE. UU. entre en conflicto con los intereses de la protección de privacidad, la primera enmienda deberá regir el equilibrio de tales intereses en lo tocante a las actividades de los particulares o entidades estadounidenses.

b.

La información personal que se recoge para su publicación, retransmisión u otras formas de comunicación pública de material periodístico, aunque no se utilice, y la información contenida en material de archivo publicado previamente no están sujetas a los requisitos de los principios en materia de privacidad.

a.

Las empresas de servicios de internet, los operadores de telecomunicaciones y otras entidades no son responsables a efectos de los principios en materia de privacidad cuando se limiten a transmitir, encaminar, intercambiar o almacenar temporalmente información por cuenta de otra entidad. El Marco de Privacidad de Datos UE-EE. UU. no crea una responsabilidad subsidiaria. Si la entidad actúa como mero conducto de los datos transmitidos por terceros y no determina ni la finalidad ni los medios de tratamiento de los datos personales, no será responsable.

a.

Las actividades de los bancos de inversión y las empresas de auditoría pueden conllevar el tratamiento de datos personales sin el consentimiento o el conocimiento del particular. Los principios de notificación, opción y acceso lo permiten en las circunstancias descritas a continuación.

b.

Las sociedades cotizadas (public stock corporations) y las sociedades con concentración de los títulos de participación (closely held companies), incluidas las entidades participantes, están generalmente sujetas a auditorías. La eficacia de dichas auditorías, especialmente las que examinan posibles irregularidades, puede verse amenazada si se comunican sus hallazgos antes de tiempo. De igual modo, las entidades participantes involucradas en una posible fusión o absorción deberán realizar o someterse a una revisión de la «diligencia debida». Con frecuencia esto comportará la recogida y el tratamiento de datos personales tales como información sobre los altos directivos y otro personal clave. La comunicación prematura de cierta información podría frustrar la operación o incluso infringir la normativa del mercado de valores aplicable. Los bancos de inversión, los abogados especializados en diligencia debida o las empresas de auditoría pueden tratar información sin conocimiento del particular solo en la medida y durante el período necesarios para satisfacer las exigencias legales o de interés público, así como en otras circunstancias en que la aplicación de los principios en materia de privacidad perjudicaría los intereses legítimos de la entidad. Entre estos se cuenta la supervisión, llevada a cabo por los bancos de inversión o las empresas de auditoría, del cumplimiento por la entidad de sus obligaciones jurídicas y las actividades legítimas de contabilidad, así como de la necesidad de secreto relacionada con posibles adquisiciones, fusiones, empresas en participación u otras operaciones similares.

a.

Las entidades deberán cooperar con las APD tal como se describe a continuación. En virtud del Marco de Privacidad de Datos UE-EE. UU., las entidades estadounidenses que reciban datos personales procedentes de la UE deberán utilizar mecanismos eficaces para dar cumplimiento a los principios en materia de privacidad. Más concretamente y tal como se establece en el principio de impugnación, ejecución forzosa y responsabilidad, las entidades participantes deberán establecer: a.i) vías de impugnación para los particulares a los que se refieran los datos; a.ii) procedimientos de seguimiento para comprobar la veracidad de las afirmaciones y declaraciones que han realizado sobre sus prácticas en materia de privacidad; y a.iii) la obligación de reparar por los problemas derivados del incumplimiento de los principios en materia de privacidad y las sanciones correspondientes para las entidades. Las entidades podrán satisfacer la letra a, incisos i y iii, del principio de impugnación, ejecución forzosa y responsabilidad si se cumplen las obligaciones aquí establecidas de cooperación con las APD.

b.

Las entidades se comprometen a cooperar con las APD mediante la declaración adjunta al expediente de autocertificación presentado al Departamento a efectos del Marco de Privacidad de Datos UE-EE. UU. (véase el principio complementario sobre la autocertificación) de que:

c.

Funcionamiento de los paneles de las APD

d.

Las entidades que quieran que el régimen del Marco de Privacidad de Datos UE-EE. UU. se extienda a los datos de recursos humanos transferidos desde la UE en el marco de la relación laboral deberán comprometerse a cooperar con las APD en relación con estos datos (véanse los principios complementarios sobre los datos de recursos humanos).

e.

Las entidades que se acojan a esta opción deberán pagar una tasa anual, concebida para sufragar los gastos de funcionamiento del panel. Además, se les podrá pedir que abonen los gastos de traducción necesarios derivados del examen por parte del panel de las reclamaciones remitidas o recibidas contra ellas. El Departamento determinará el importe de la tasa previa consulta a la Comisión Europea. El cobro de la tasa podrá correr a cargo de un tercero nombrado por el Departamento para actuar como depositario de los fondos recaudados con este fin. El Departamento cooperará estrechamente con la Comisión Europea y las APD para establecer procedimientos adecuados para la distribución de los fondos recaudados con la tasa, así como otros aspectos procedimentales y administrativos del panel. El Departamento y la Comisión Europea podrán acordar modificar la frecuencia con la que se exigirá el pago de la tasa.

a.

El Marco de Privacidad de Datos UE-EE. UU. despliega sus efectos para la entidad desde la fecha en que el Departamento la inscriba en la lista del Marco de Privacidad de Datos. El Departamento solo inscribirá en la lista del Marco de Privacidad de Datos a aquellas entidades respecto de las que haya comprobado que el expediente inicial de autocertificación presentado está completo, y eliminará de dicha lista a las entidades que se den de baja voluntariamente, no realicen la revalidación anual de su certificación o incumplan sistemáticamente los principios en materia de privacidad (véase el principio complementario sobre la resolución de controversias y la ejecución forzosa).

b.

Para autocertificarse inicialmente o revalidar posteriormente la certificación a efectos del Marco de Privacidad de Datos UE-EE. UU., las entidades deberán, en cada ocasión y por medio de un representante de la entidad que se autocertifique o que revalide la certificación (según proceda) su cumplimiento de los principios en materia de privacidad, presentar al Departamento un expediente que contenga al menos la información siguiente (8):

c.

Cuando la entidad quiera que el régimen del Marco de Privacidad de Datos UE-EE. UU. se extienda a la información de recursos humanos transferida desde la UE para usarla en el marco de la relación laboral, podrá hacerlo cuando un organismo legal de los enumerados en los principios en materia de privacidad o en un futuro anexo de dichos principios tenga competencia para conocer de las reclamaciones contra la entidad derivadas del tratamiento de información de recursos humanos. Asimismo, la entidad deberá indicarlo en el expediente inicial de autocertificación, así como en los expedientes posteriores de revalidación, y expresar su compromiso de cooperar con las autoridades de la UE pertinentes de conformidad con los principios complementarios sobre los datos de recursos humanos y la función de las APD (según proceda), y que cumplirá los dictámenes de dichas autoridades. La entidad también deberá presentar al Departamento una copia de sus directrices en materia privacidad de recursos humanos y proporcionar información sobre el lugar en el que los empleados afectados pueden consultarlas.

d.

El Departamento establecerá y publicará la lista del Marco de Privacidad de Datos, en la que figurarán las entidades que hayan presentado un expediente de autocertificación inicial completo, y actualizará dicha lista en función de los expedientes de revalidación anual de la certificación completos que se presenten, así como de las notificaciones recibidas con arreglo al principio complementario sobre la resolución de controversias y la ejecución forzosa. La revalidación de la certificación deberá realizarse con carácter anual, como mínimo; de lo contrario, la entidad será eliminada de la lista del Marco de Privacidad de Datos y no podrá seguir disfrutando del régimen del Marco de Privacidad de Datos UE-EE. UU. Todas las entidades inscritas en la lista del Marco de Privacidad de Datos por el Departamento deberán contar con directrices en materia privacidad pertinentes que cumplan el principio de notificación y declarar en dichas directrices que cumplen los principios en materia de privacidad (12). Si están disponibles en internet, las directrices en materia privacidad de la entidad deberán incluir un enlace al sitio web del Departamento sobre el Marco de Privacidad de Datos y otro enlace al sitio web o al formulario del órgano independiente de impugnación con competencia para investigar las reclamaciones no resueltas relativas a los principios en materia de privacidad.

e.

Los principios en materia de privacidad son de aplicación inmediatamente después de la autocertificación. Las entidades participantes que se hubieran autocertificado con arreglo a los principios marco del Escudo de la privacidad UE-EE. UU. tendrán que actualizar sus directrices en materia privacidad para hacer referencia, en su lugar, a los «principios del Marco de Privacidad de Datos UE-EE. UU.». Dichas entidades deberán introducir esta referencia lo antes posible y, en cualquier caso, a más tardar tres meses después de la fecha de entrada en vigor de los principios del Marco de Privacidad de Datos UE-EE. UU.

f.

Las entidades deberán someter a los principios en materia de privacidad todos los datos personales recibidos de la UE en el Marco de Privacidad de Datos UE-EE. UU. El compromiso de cumplir los principios en materia de privacidad no está limitado en el tiempo a los datos personales recibidos durante el período en el que la entidad esté acogida al Marco de Privacidad de Datos UE-EE. UU.; dicho compromiso significa que la entidad seguirá aplicando los principios en materia de privacidad a dichos datos mientras los almacene o siempre que los utilice o comunique, aunque posteriormente se dé de baja en el Marco de Privacidad de Datos UE-EE. UU. por algún motivo. Toda entidad que pretenda darse de baja en el Marco de Privacidad de Datos UE-EE. UU. deberá notificarlo previamente al Departamento. Tal notificación también deberá indicar qué hará la entidad con los datos personales que haya recibido en el Marco de Privacidad de Datos UE-EE. UU. (es decir, conservar, devolver o suprimir los datos y, si conservara los datos, los medios autorizados por los que garantizará la protección de los datos). La entidad que se dé de baja en el Marco de Privacidad de Datos UE-EE. UU., pero quiera conservar estos datos, deberá, bien declarar al Departamento con carácter anual su compromiso de seguir aplicando los principios en materia de privacidad a los datos, bien conferir una protección «adecuada» a la información por otros medios autorizados (por ejemplo, con un contrato que contenga todos los requisitos de las cláusulas contractuales tipo adoptadas por la Comisión Europea); de lo contrario, la entidad deberá devolver o suprimir la información (13). La entidad que se dé de baja en el Marco de Privacidad de Datos UE-EE. UU. deberá eliminar de las directrices en materia privacidad pertinentes toda referencia al Marco que insinúe que la entidad continúa participando en el Marco y que está amparada por este.

g.

La entidad que deje de existir como persona jurídica independiente a resultas de un cambio sustancial de su situación, como una fusión, una absorción, la bancarrota o la disolución, deberá notificarlo previamente al Departamento. La notificación también deberá indicar si la entidad resultante del cambio sustancial i) seguirá participando en el Marco de Privacidad de Datos UE-EE. UU. con una autocertificación existente, ii) hará una nueva autocertificación a efectos del Marco (por ejemplo, cuando la nueva entidad o la entidad superviviente no disponga de una autocertificación con la que participar en el Marco) o iii) establecerá otras garantías, como un acuerdo escrito por el que se asegure la aplicación continuada de los principios en materia de privacidad a los datos personales que la entidad haya recibido en el Marco de Privacidad de Datos UE-EE. UU. y que conservará. Si no se dan lo supuestos de los incisos i), ii) o iii), los datos que se hayan recibido en el Marco de Privacidad de Datos UE-EE. UU. deberán devolverse o suprimirse inmediatamente.

h.

Cuando la entidad deje de estar amparada por el Marco de Privacidad de Datos UE-EE. UU. por el motivo que sea, deberá eliminar todas las declaraciones que den a entender que continúa participando en el Marco de Privacidad de Datos UE-EE. UU. o tiene derecho a estar amparada por el Marco de Privacidad de Datos UE-EE. UU. También deberá eliminar la marca de certificación del Marco de Privacidad de Datos UE-EE. UU. en caso de que la utilice. Todo engaño en la información dada a conocer al público referente al cumplimiento de la entidad de los principios en materia de privacidad podrá ser perseguible por la Comisión Federal de Comercio, el Departamento de Transporte u otro organismo público competente. Los engaños en la información transmitida al Departamento podrán ser punibles en el marco de la Ley de declaraciones falsas (False Statements Act; título 18, artículo 1001, del Código de Estados Unidos).

a.

Las entidades deberán establecer procedimientos de seguimiento para verificar que las afirmaciones y declaraciones de estas sobre sus prácticas en materia de privacidad relativas al Marco de Privacidad de Datos UE-EE. UU. son ciertas y que tales prácticas se aplican de la manera indicada y de conformidad con los principios en materia de privacidad.

b.

Para cumplir los requisitos de verificación del principio de impugnación, ejecución forzosa y responsabilidad, las entidades deberán verificar las afirmaciones y declaraciones mencionadas mediante la autoevaluación o mediante verificaciones por terceros.

c.

Cuando la entidad haya optado por la autoevaluación, dicha verificación deberá demostrar que sus directrices en materia de privacidad en relación con la información personal recibida de la UE son exactas, completas y de consulta inmediata, que se ajustan a los principios en materia de privacidad y que se aplican integralmente (es decir, que se cumplen). Asimismo, deberá indicar: que los particulares reciben información sobre las vías internas de resolución de reclamaciones y de los órganos independientes de impugnación a los que presentar las reclamaciones; que la entidad dispone de procedimientos de formación de los empleados a estos efectos y que se aplicarán sanciones en caso de incumplimiento; y que existen procedimientos internos para efectuar periódicamente revisiones objetivas del cumplimiento de todo lo anterior. Un directivo u otro representante autorizado de la entidad deberá firmar la declaración de que se ha realizado la autoevaluación como mínimo una vez al año; dicha declaración deberá proporcionarse a petición de los particulares o en el contexto de investigaciones o reclamaciones por incumplimiento.

d.

Cuando la entidad haya optado por la verificación externa del cumplimiento, dicha verificación deberá demostrar que sus directrices en materia de privacidad en relación con la información personal recibida de la UE son exactas, completas y de consulta inmediata, que se ajustan a los principios en materia de privacidad y que se aplican integralmente (es decir, que se cumplen). También deberá indicar que los particulares reciben información sobre las vías de resolución de las reclamaciones. Son métodos de verificación válidos, a título meramente enunciativo, las auditorías, las comprobaciones aleatorias, el uso de «señuelos» o de herramientas tecnológicas, según se considere apropiado. El verificador externo o un directivo u otro representante autorizado de la entidad deberá firmar la declaración de que se ha realizado la verificación externa, con resultado satisfactorio, como mínimo una vez al año; dicha declaración deberá proporcionarse a petición de los particulares o en el contexto de investigaciones o reclamaciones por incumplimiento.

e.

Las entidades deberán conservar los documentos que prueben por escrito la implantación de sus prácticas en materia de privacidad respecto del Marco de Privacidad de Datos UE-EE. UU. y proporcionarlos previa petición, en el contexto de investigaciones o reclamaciones por incumplimiento, al organismo independiente de resolución de controversias responsable de la investigación de las reclamaciones o al organismo competente en materia de prácticas desleales y engañosas. Las entidades deberán responder inmediatamente a las consultas y demás solicitudes de información del Departamento relacionadas con el cumplimiento de los principios en materia de privacidad.

i.

De acuerdo con los principios en materia de privacidad, el derecho de acceso es fundamental para la protección de la privacidad. En particular, permite a los particulares verificar la exactitud de la información existente sobre ellas. El principio de acceso otorga a los particulares el derecho a:

ii.

Los particulares no estarán obligados a justificar las solicitudes de acceso a sus datos personales. En su respuesta a las solicitudes de acceso de los particulares, las entidades deberán primero considerar la motivación de dichas solicitudes. Por ejemplo, si la solicitud de acceso es vaga o muy amplia, la entidad puede dialogar con el particular para comprender mejor los motivos de la solicitud y localizar la información correspondiente. La entidad podrá preguntar con qué parte o partes de la entidad se puso en contacto el particular o sobre la naturaleza de la información que sea objeto de la solicitud de acceso, o de su uso.

iii.

Al ser fundamental el principio de acceso, las entidades siempre deberán procurar, con buena fe, conceder acceso. Por ejemplo, cuando deba protegerse determinada información y esta se distinga fácilmente de la información personal objeto de la solicitud de acceso, la entidad deberá expurgar la información protegida y comunicar la restante. Si la entidad decide limitar el acceso en un supuesto concreto, deberá comunicar al particular que solicitó el acceso la debida justificación e indicar el punto de contacto al que plantear consultas ulteriores.

i.

El derecho de acceso a los datos personales podrá limitarse en circunstancias excepcionales en las que puedan vulnerarse los derechos legítimos de terceros o cuando el trabajo o el gasto de conceder el acceso sean desproporcionados en relación con los riesgos para la privacidad del particular en cuestión. El trabajo y el gasto son factores importantes y deberán tenerse en cuenta, pero no son factores determinantes para decidir si es razonable conceder el acceso.

ii.

Por ejemplo, si la información personal se utiliza para tomar decisiones que afecten sustancialmente al particular (por ejemplo, la denegación o la concesión de cuestiones importantes como un seguro, un préstamo hipotecario o un trabajo), entonces, de conformidad con las demás disposiciones de los presentes principios complementarios, la entidad deberá comunicar esta información aun cuando hacerlo sea relativamente difícil o caro. Si la información personal solicitada no es delicada o no se utilizará para tomar decisiones que afecten sustancialmente al particular, pero es fácilmente accesible y poco costosa de proporcionar, la entidad deberá conceder acceso a dicha información.

i.

La información comercial confidencial es información que la entidad ha protegido para que no se publique, porque su publicación supondría una ventaja para sus competidores. Las entidades podrán denegar o limitar el acceso en la medida en que la concesión del acceso pleno revele su información comercial confidencial, como en el caso de predicciones de mercado o clasificaciones elaboradas por la entidad, o información comercial confidencial de un tercero que esté sujeta a la obligación contractual de confidencialidad.

ii.

Cuando la información comercial confidencial pueda distinguirse fácilmente de la información personal objeto de la solicitud de acceso, la entidad deberá expurgar la información comercial confidencial y comunicar la información no confidencial.

i.

El acceso puede concederse mediante la comunicación de la información personal pertinente por parte de la entidad al particular, sin que el particular acceda a la base de datos de la entidad.

ii.

El acceso deberá concederse únicamente en la medida en que la entidad tenga en esta información personal. El principio de acceso no comporta en sí ninguna obligación de conservar, mantener, reorganizar o reestructurar los archivos de información personal.

i.

Teniendo en cuenta que las entidades deben procurar, con buena fe, conceder a los particulares acceso a sus datos personales, las circunstancias en las que las entidades podrán limitar este acceso están tasadas y las razones de dicha limitación deberán ser específicas. De conformidad con el RGPD, las entidades podrán limitar el acceso a la información en la medida en que su comunicación pueda interferir con la protección de intereses públicos preponderantes, como la seguridad nacional, la defensa o la seguridad pública. De igual modo, también podrá denegarse el acceso cuando la información personal sea tratada únicamente con fines de investigación o estadísticos. Entre otros motivos para denegar o limitar el acceso, cabe citar los siguientes:

ii.

Las entidades que se acojan a una excepción tendrán que demostrar al particular por qué es necesario y los motivos por los que procede limitar el acceso, así como indicar el punto de contacto al que plantear consultas ulteriores.

i.

Los particulares tienen derecho a obtener confirmación de si la entidad posee o no datos personales relacionados con su persona. Los particulares tienen también derecho a que se les comuniquen los datos personales relacionados con su persona. La entidad podrá cobrar una tasa que no sea excesiva.

ii.

El cobro de la tasa podrá justificarse, por ejemplo, cuando las solicitudes de acceso sean manifiestamente abusivas, en particular por su carácter repetitivo.

iii.

No podrá denegarse el acceso por motivo de su coste si el particular se ofrece a sufragarlo.

i.

Las entidades podrán establecer límites razonables en cuanto al número de veces que responderá en un período determinado las solicitudes de acceso de cada particular. Al fijar estos límites, las entidades deberán analizar factores tales como la frecuencia con que se actualiza la información, los fines para los que se usan los datos y la naturaleza de la información.

i.

Las entidades no estarán obligadas a conceder acceso a menos que reciban información suficiente para confirmar la identidad del particular que presenta la solicitud.

i.

Las entidades deberán responder a las solicitudes de acceso en un plazo razonable, de una manera razonable y en una forma que sea fácilmente comprensible para el particular. La entidad que proporcione información a los interesados de manera periódica podrá atender la solicitud de acceso del particular por medio de dicha comunicación periódica, siempre que ello no suponga un retraso excesivo.

i.

Cuando las entidades ubicadas en la UE transfieran información personal de sus empleados (pasada o presente) obtenida en el marco de la relación laboral a la matriz, la filial o a una empresa de servicios no asociada ubicados en los EE. UU. que participen en el Marco de Privacidad de Datos UE-EE. UU., la transferencia estará amparada por el Marco de Privacidad de Datos UE-EE. UU. En tal caso, la recogida de la información y su tratamiento previo a la transferencia deberán haber respetado la normativa del Estado miembro de la UE donde se haya recogido y cualquier condición o limitación aplicable a su transferencia de conformidad con la normativa vigente.

ii.

Los principios en materia de privacidad solamente son de aplicación cuando se transfieran datos sobre particulares identificados o identificables de manera individualizada o se acceda a ellos. Los informes estadísticos basados en datos agregados sobre empleo que no contengan datos personales o el uso de datos anonimizados no plantean problemas desde el punto de vista de la privacidad.

i.

Las entidades estadounidenses que hayan recibido información sobre los empleados en el Marco de Privacidad de Datos UE-EE. UU. podrán comunicarla a terceros o utilizarla con fines distintos exclusivamente con arreglo a los principios de notificación y de opción. Por ejemplo, cuando las entidades estadounidenses pretendan utilizar la información personal obtenida a través de la relación laboral para fines no laborales, como comunicaciones de publicitarias, deberán brindar a los particulares afectados la posibilidad de ejercer su derecho de opción antes de hacerlo, a menos que estos hayan dado su consentimiento a la utilización de la información para tales fines. Dicho uso deberá ser compatible con los fines para los que la información personal ha sido recogida o para los que, posteriormente, haya dado su consentimiento el particular. Es más, esta posibilidad no se utilizará para limitar sus oportunidades laborales ni para sancionarlos.

ii.

Debe advertirse que algunas condiciones de aplicación general a las transferencias procedentes de los Estados miembros de la UE podrán prohibir otros usos de la información incluso después de su transferencia fuera de la UE, y que tales condiciones deben respetarse.

iii.

Además, los empleadores deberán procurar razonablemente tener en cuenta las preferencias de sus empleados en cuanto a la protección de su privacidad, como, por ejemplo, limitar el acceso a los datos personales, anonimizar determinados datos o asignar códigos o seudónimos cuando no se necesiten los nombres reales para la finalidad de gestión de que se trate.

iv.

La entidad no aplicará los principios de notificación y de opción en la medida y por el tiempo necesarios para que no haya perjuicio de sus intereses legítimos cuando tome decisiones sobre ascensos, nombramientos y otras decisiones laborales similares.

i.

El principio complementario sobre el acceso ofrece directrices sobre los motivos con que se podrá justificar la denegación o limitación del acceso previa petición en el ámbito de los recursos humanos. Por supuesto, los empleadores de la UE deberán cumplir la normativa local y garantizar que los empleados de la UE tengan acceso a la información de la forma exigida por ley en sus países, independientemente del lugar donde se traten y almacenen los datos. El Marco de Privacidad de Datos UE-EE. UU. exige a las entidades que traten estos datos en los EE. UU. que cooperen a la hora de conceder el acceso directamente o a través del empleador de la UE.

i.

En la medida en que la información se utilice exclusivamente en el marco de la relación laboral, la entidad de la UE es la responsable principal de los datos ante el empleado. De ello se deduce que, cuando los empleados de la UE planteen reclamaciones sobre la vulneración de sus derechos de protección de datos y no estén satisfechos con el resultado de los procedimientos de verificación interna, reclamación y recurso (o con cualquier procedimiento de resolución de reclamaciones laborales derivados de contratos con entidades sindicales), deben dirigirse a la agencia de protección de datos o a la autoridad laboral, nacional o regional, del Estado correspondiente. Se incluyen también los casos en que el supuesto tratamiento inadecuado de la información personal sea responsabilidad de la entidad estadounidense que haya recibido la información a través del empleador y, por consiguiente, suponga una posible vulneración de los principios en materia de privacidad. Este será el método más eficiente para atender los derechos y obligaciones, que con frecuencia se solapan, impuestos por la normativa laboral local y por los convenios colectivos, así como por la normativa sobre protección de datos.

ii.

Las entidades estadounidenses participantes que utilicen datos de recursos humanos transferidos desde la UE en el marco de la relación laboral y que deseen que dichas transferencias también estén amparadas por el Marco de Privacidad de Datos UE-EE. UU. deberán comprometerse a cooperar en las investigaciones de las autoridades de la UE competentes y a acatar sus dictámenes en dichos casos.

i.

Para las necesidades operativas ocasionales relacionadas con el trabajo de las entidades participantes en relación con los datos personales transferidos en el Marco de Privacidad de Datos UE-EE. UU., como la reserva de un vuelo o de una habitación de hotel o la contratación de un seguro, podrán realizarse transferencias de datos personales de un pequeño número de empleados a los responsables del tratamiento de los datos sin necesidad de aplicar el principio de acceso ni suscribir un contrato con el responsable externo del tratamiento, a diferencia de lo que exige el principio de responsabilidad proactiva por las transferencias ulteriores, siempre y cuando la entidad participante haya cumplido los principios de notificación y de opción.

i.

Cuando se transfieran datos personales desde la UE a los EE. UU. únicamente a efectos de su tratamiento, se exigirá un contrato, independientemente de la participación del encargado del tratamiento en el Marco de Privacidad de Datos UE-EE. UU.

ii.

Los responsables del tratamiento de datos de la UE están obligados a suscribir un contrato cuando se realice una transferencia a efectos meramente de tratamiento, independientemente de que la operación de tratamiento se realice dentro o fuera de la UE y de que el encargado del tratamiento participe o no en el Marco de Privacidad de Datos UE-EE. UU. La finalidad del contrato es garantizar que el encargado del tratamiento:

iii.

Dado que las entidades participantes confieren una protección adecuada, los contratos con dichas entidades a efectos meramente de tratamiento no requieren autorización previa.

i.

Cuando se produce una transferencia de información personal entre dos responsables del tratamiento pertenecientes a un grupo de sociedades de capital o entidades vinculadas, no siempre se exige la suscripción de un contrato en virtud del principio de responsabilidad proactiva por las transferencias ulteriores. Los responsables del tratamiento pertenecientes a un grupo de sociedades de capital o entidades vinculadas podrán basar estas transferencias en otros instrumentos, como la normativa societaria vinculante de la UE u otros instrumentos intragrupo (por ejemplo, programas de cumplimiento y control), que garanticen la continuidad de la protección de la información personal de conformidad con los principios en materia de privacidad. En el caso de estas transferencias, la entidad participante seguirá siendo responsable del cumplimiento de los principios en materia de privacidad.

i.

Para las transferencias entre responsables del tratamiento, no es necesario que el responsable del tratamiento destinatario sea una entidad participante o cuente con un órgano independiente de impugnación. La entidad participante deberá suscribir un contrato con el responsable externo del tratamiento destinatario que confiera el mismo nivel de protección que el Marco de Privacidad de Datos UE-EE. UU., sin incluir el requisito de que el responsable externo del tratamiento sea una entidad participante en el Marco o tenga un órgano independiente de impugnación, siempre y cuando ofrezca otro medio equivalente.

a.

El principio de impugnación, ejecución forzosa y responsabilidad establece los requisitos para la ejecución forzosa del Marco de Privacidad de Datos UE-EE. UU. En el principio complementario sobre la verificación se establece cuándo se entiende que se cumplen los requisitos de la letra a, inciso ii, del principio anterior. Este principio complementario se refiere a la letra a, incisos i y iii, donde se exigen órganos independientes de impugnación. Estas vías de impugnación pueden adoptar diferentes formas, pero deben cumplir los requisitos que impone el principio de impugnación, ejecución forzosa y responsabilidad. Las entidades pueden cumplirlos de la manera siguiente: i) cumplimiento de los programas de protección de la privacidad concebidos por el sector privado que incorporen los principios en materia de privacidad en sus reglas y cuenten con mecanismos de ejecución forzosa eficaces, similares a los descritos en el principio de impugnación, ejecución forzosa y responsabilidad; ii) cumplimiento de lo dispuesto por las autoridades de supervisión establecidas legal o reglamentariamente que prevean la tramitación de las reclamaciones individuales y la resolución de las controversias; o iii) compromiso de cooperación con las APD establecidas en la UE o con sus representantes autorizados.

b.

Esta lista se ofrece a título ilustrativo y no es de ninguna manera taxativa. El sector privado podrá establecer otros mecanismos para la ejecución forzosa, siempre que cumplan los requisitos que imponen el principio de impugnación, ejecución forzosa y responsabilidad y los principios complementarios. Téngase en cuenta que los requisitos que impone el principio de impugnación, ejecución forzosa y responsabilidad se añaden al requisito de que las medidas del ámbito autorregulatorio deben ser ejecutables con arreglo al artículo 5 de la Ley de la Comisión Federal de Comercio (título 15, artículo 45, del Código de Estados Unidos), por el que se prohíben los actos desleales o engañosos, con arreglo al título 49, artículo 41712, del Código de Estados Unidos, por el que se prohíbe a los transportistas y los agentes de venta de billetes participar en prácticas desleales o engañosas en el transporte aéreo o en la comercialización de este tipo de transporte, o con arreglo a otras leyes o reglamentos por los que se prohíban tales actos.

c.

Con el objeto de garantizar el cumplimiento del Marco de Privacidad de Datos UE-EE. UU. y para coadyuvar a la administración del programa, las entidades, así como sus órganos independientes de impugnación, deberán proporcionar información sobre el Marco cuando así lo solicite el Departamento. Asimismo, las entidades deberán responder sin demora a las reclamaciones relacionadas con su cumplimiento de los principios en materia de privacidad remitidas por las APD a través del Departamento. La respuesta deberá contemplar si la reclamación está fundamentada y, en caso afirmativo, cómo subsanará el problema la entidad. El Departamento protegerá la confidencialidad de la información que reciba de conformidad con la normativa estadounidense.

d.

Órganos de impugnación

e.

Medidas de reparación y sanciones:

f.

Impugnación ante la Comisión Federal de Comercio

g.

Incumplimiento sistemático

a.

En general, la finalidad del principio de opción es garantizar que la información personal se utilice y comunique de manera coherente con las expectativas y elecciones del particular. Por tanto, los particulares deberán tener la posibilidad de oponerse a que su información personal se utilice con fines de mercadotecnia directa en cualquier momento, siempre que se respeten los plazos razonables establecidos por la entidad, como el tiempo necesario para que esta pueda aplicar dicha decisión del particular. Asimismo, las entidades pueden exigir información suficiente para confirmar la identidad del particular que se opone. En los EE. UU., los particulares pueden ejercer este derecho mediante un programa central de oposición. En cualquier caso, a los particulares se les deberá ofrecer un mecanismo inmediatamente utilizable y asequible para ejercer su derecho.

b.

De la misma forma, la entidad puede utilizar la información para determinados fines de mercadotecnia directa cuando sea inviable brindar al particular la oportunidad de oponerse antes de utilizar la información, siempre que le brinde de inmediato la oportunidad (y en cualquier momento, previa petición) de negarse (sin coste alguno para el particular) a recibir posteriores comunicaciones de mercadotecnia directa y que la entidad cumpla los deseos del particular.

a.

La reserva de un billete de avión y otra información de viaje, como la información de viajero frecuente, de reserva hotelera y de necesidades especiales, como la dieta por motivos religiosos o la ayuda física, podrán ser transferidas a entidades radicadas fuera de la UE en diversas circunstancias. En virtud del RGPD, a falta de una decisión de adecuación, los datos personales solo pueden transmitirse a un tercer país si se ofrecen garantías adecuadas de protección de los datos de conformidad con el artículo 46 del RGPD o, en situaciones específicas, si se cumple alguna de las condiciones del artículo 49 del RGPD (por ejemplo, cuando el interesado haya dado explícitamente su consentimiento a la transferencia). Las entidades estadounidenses que participan en el Marco de Privacidad de Datos UE-EE. UU. confieren una protección adecuada a los datos personales y, por tanto, pueden recibir transferencias de datos de la UE en virtud del artículo 45 del RGPD, sin tener que establecer un instrumento para las transferencias de conformidad con el artículo 46 del RGPD ni cumplir las condiciones del artículo 49 del RGPD. Dado que el Marco de Privacidad de Datos UE-EE. UU. incluye reglas específicas para la información delicada, dicha información (que puede ser preciso recoger, por ejemplo, en relación con las necesidades de ayuda física de los clientes) puede incluirse en las transferencias a entidades participantes. No obstante, en todos los casos, la entidad que transfiere la información ha de cumplir la normativa del Estado miembro de la UE en el que opera, que, por ejemplo, puede imponer condiciones especiales para el tratamiento de datos delicados.

i.

La normativa de los Estados miembros o de la UE se aplica a la recogida de los datos personales y a todo tratamiento previo a su transferencia a los EE. UU. Los principios en materia de privacidad se aplican a los datos una vez que se hayan transferido a los EE. UU. Los datos personales utilizados con fines de investigación farmacéutica u otros fines deberán ser anonimizados cuando resulte adecuado.

i.

Los datos personales conseguidos en estudios de investigación médica o farmacéutica suelen desempeñar un valioso papel en futuras investigaciones científicas. Cuando se transfieran datos personales recogidos para un estudio de investigación a una entidad estadounidense en el Marco de Privacidad de Datos UE-EE. UU., la entidad podrá utilizar los datos en una nueva actividad de investigación científica si lo notifica con la debida antelación y brinda oportunidad para oponerse. En la notificación se proporcionará información sobre el uso concreto que se dará a los datos, a saber, seguimiento, otros estudios o mercadotecnia.

ii.

Se sobreentiende que no podrán especificarse todos los usos futuros de los datos, ya que estos pueden resultar de un nuevo enfoque respecto de los datos originales, de nuevos descubrimientos y avances médicos y de novedades normativas y de salud pública. Por consiguiente, la notificación deberá incluir, si procede, una referencia al posible uso de los datos personales en futuras actividades de investigación médica y farmacéutica que todavía se desconocen. Será necesario obtener un nuevo consentimiento si el uso no es coherente con las finalidades de investigación general para las que se recogieron originalmente los datos o dieron posteriormente los particulares su consentimiento.

i.

Los participantes podrán decidir por sí mismos o a instancias de terceros retirarse de un ensayo clínico en cualquier momento. No obstante, los datos recogidos con anterioridad a que se retiren podrán seguir siendo tratados con los demás datos del ensayo clínico si este extremo quedó claro en la notificación a los participantes en el momento en que consintieron en participar.

i.

Las empresas de productos farmacéuticos y sanitarios tienen autorización para comunicar datos personales obtenidos en ensayos clínicos realizados en la UE a las autoridades reguladoras de los EE. UU. con fines regulatorios y de supervisión. Se autorizan transferencias similares a terceros que no sean las autoridades reguladoras, como filiales de las empresas u otros investigadores, siempre que se haga con arreglo a los principios de notificación y opción.

i.

Muchas veces, para garantizar la objetividad de los ensayos clínicos, se priva a los participantes y, con frecuencia, también a los investigadores, de la información sobre el tratamiento que recibe cada participante. Dar esa información podría poner en peligro la validez de los estudios de investigación y de sus resultados. A los participantes en estos ensayos clínicos (denominados «estudios enmascarados») no se les proporcionará acceso a los datos sobre su tratamiento durante el ensayo si se les explicó tal limitación cuando se unieron al ensayo y si la comunicación de dicha información puede poner en peligro la integridad de la investigación.

ii.

Consentir en participar en los ensayos en estas condiciones constituye un modo razonable de renunciar al derecho de acceso. Tras la conclusión del ensayo y el análisis de los resultados, los participantes tendrán acceso a sus datos si lo solicitan. En primer lugar, se dirigirán al médico o profesional sanitario de quien recibieron tratamiento en el marco del ensayo clínico o, subsidiariamente, a la entidad patrocinadora.

i.

Las empresas de productos farmacéuticos y sanitarios no están obligadas a aplicar los principios en materia de privacidad en lo relativo a los principios de notificación, opción, responsabilidad proactiva, transferencia ulterior y acceso en las actividades que realizan para controlar la eficacia y la seguridad de los productos, entre ellas informar sobre circunstancias adversas y hacer seguimiento a los pacientes o personas que utilicen determinados medicamentos o productos sanitarios, en la medida en que el cumplimiento de los principios en materia de privacidad afecte al cumplimiento de los requisitos regulatorios. Esto se aplica tanto a los informes de los profesionales sanitarios dirigidos a las empresas de productos farmacéuticos y sanitarios, como a los de estas a los organismos del Ejecutivo, como la Administración de Alimentos y Medicamentos (Food and Drug Administration).

i.

El investigador principal codifica siempre los datos de la investigación en su origen, con una clave única, para que no se conozca la identidad de los interesados. Las empresas farmacéuticas que patrocinan la investigación no reciben la clave. La clave original solo la conoce el investigador, de modo que solo él puede identificar al sujeto investigado en determinadas circunstancias (por ejemplo, cuando es necesario un seguimiento médico). Las transferencias de datos codificados de esta forma desde la UE a los EE. UU. que sean datos personales en virtud de la normativa de la UE quedarán sujetas a los principios en materia de privacidad.

a.

Las entidades deberán aplicar los principios de seguridad, de integridad de los datos y limitación de la finalidad y de recurso, ejecución forzosa y responsabilidad a los datos personales obtenidos de fuentes de acceso público. Estos principios se aplicarán también a los datos personales obtenidos de registros públicos, por ejemplo, los registros de organismos públicos o entidades a cualquier nivel que sean de consulta pública.

b.

No es necesario aplicar los principios de notificación, opción y responsabilidad proactiva por las transferencias ulteriores a la información de registros públicos siempre que no se combine con información de registros no públicos y se cumplan las condiciones de consulta establecidas por el organismo competente. Asimismo, no es necesario, por lo general, aplicar los principios de notificación, opción y responsabilidad proactiva por las transferencias ulteriores a la información de dominio público a menos que el remitente europeo indique que dicha información está sujeta a limitaciones que imponen la aplicación de tales principios por parte de la entidad para los fines que tenga previsto. Las entidades no son responsables del uso de la información por quienes la obtengan de fuentes publicadas.

c.

Cuando se descubra que la entidad ha hecho pública intencionadamente información personal contraviniendo los principios en materia de privacidad para beneficiarse de estas excepciones o que otros puedan hacerlo, la entidad dejará de estar amparada por el Marco de Privacidad de Datos UE-EE. UU.

d.

No es necesario aplicar el principio de acceso a la información de registros públicos siempre que no se combine con otra información personal, excepto en el caso de que se utilice una pequeña cantidad de datos para indizar u organizar la información de los registros públicos; sin embargo, deberán respetarse las condiciones de consulta establecidas por el organismo correspondiente. Por el contrario, cuando la información de registros públicos se combine con información de otros registros que no sean públicos (con la excepción indicada anteriormente), las entidades deberán dar acceso a toda la información, siempre que no le sean de aplicación otras excepciones permitidas.

e.

Como sucede con la información de registros públicos, no es necesario dar acceso a la información de dominio público siempre que no se combine con información que no sea de dominio público. Las entidades dedicadas a la venta de información de dominio público podrán cobrar las tarifas habituales por responder a las solicitudes de acceso. Alternativamente, los particulares podrán solicitar el acceso a su información directamente a través de la entidad que haya compilado los datos inicialmente.

a.

Con el objeto de garantizar la transparencia de las solicitudes lícitas de acceso a información personal procedentes de los poderes públicos, las entidades participantes podrán publicar voluntariamente informes periódicos de transparencia sobre el número de solicitudes de información personal que reciban de las autoridades públicas por razones de seguridad nacional o policiales, siempre y cuando dicha comunicación esté permitida en virtud de la normativa aplicable.

b.

La información proporcionada por las entidades participantes en estos informes, junto con la información publicada por la Comunidad de Inteligencia y otra información, podrá ser utilizada para contribuir a la revisión conjunta anual del funcionamiento del Marco de Privacidad de Datos UE-EE. UU. de conformidad con los principios en materia de privacidad.

c.

La falta de la notificación contemplada en la letra a, inciso xii, del principio de notificación no impedirá que la entidad responda a las solicitudes lícitas, ni condicionará su capacidad para hacerlo.

1.

Los particulares podrán solicitar la incoación de un proceso arbitral vinculante siempre que se cumplan los requisitos para el arbitraje antes mencionados, enviando una «notificación» a la entidad. La notificación deberá contener un resumen de las medidas, contempladas en el apartado C, emprendidas para resolver la reclamación, una descripción de la supuesta vulneración y, a discreción del particular, documentos justificativos y demás medios probatorios y/o un análisis de la normativa aplicable a la reclamación en cuestión.

2.

Se sustanciará el proceso de tal modo que se garantice que la vulneración objeto de la reclamación por el particular no dé lugar a medidas de reparación o procesos por duplicado.

3.

La impugnación ante la Comisión Federal de Comercio podrá sustanciarse de forma paralela al arbitraje.

4.

Ningún representante de los EE. UU., de la UE, de un Estado miembro de la UE o de alguna autoridad pública u organismo de garantía del cumplimiento podrá participar en estos arbitrajes, si bien, a petición de los particulares de la UE, las APD podrán ayudarles únicamente a preparar la notificación, pero sin poder consultar el contenido ni ningún otro documento relacionado con estos arbitrajes.

5.

El arbitraje se desarrollará en los EE. UU., y el particular podrá elegir participar por videoconferencia o por teléfono, posibilidad que no supondrá coste alguno para el mismo. No se exigirá la participación presencial.

6.

El idioma del arbitraje será el inglés, salvo que las partes acuerden lo contrario. Previa solicitud motivada y teniendo en cuenta si el particular está representado por un abogado, se prestará servicio de interpretación en las audiencias arbitrales, así como de traducción de los documentos del arbitraje, sin coste alguno para el particular, salvo que el Panel del Marco de Privacidad de Datos UE-EE. UU. decida que, dadas las circunstancias del arbitraje en concreto, esto supondría un gasto injustificado o desproporcionado.

7.

Los documentos y medios probatorios presentados a los árbitros serán tratados confidencialmente y solo se utilizarán en relación con el arbitraje.

8.

Si es necesario, podrá autorizarse la revelación de contenido confidencial; dicha información será tratada confidencialmente por las partes y solo se utilizará en relación con el arbitraje.

9.

Los arbitrajes deberán finalizarse en el plazo de los noventa días siguientes a la entrega de la notificación a la entidad en cuestión, salvo que las partes acuerden lo contrario.

DEPARTAMENTO DE COMERCIO DE LOS ESTADOS UNIDOS

Secretaria de Comercio

Washington, D.C. 20230

Excmo. Sr. D. Didier Reynders

Comisario de Justicia

Commission européenne / Europese Commissie

Rue de la Loi / Wetstraat 200

1049 Bruxelles/Brussel

BÉLGICA

—

los principios del Marco de Privacidad de Datos UE-EE. UU., así como los principios complementarios (denominados conjuntamente «los principios en materia de privacidad») y el anexo I de los principios en materia de privacidad (anexo que fija el régimen que las entidades participantes están obligadas a seguir al arbitrar ciertas reclamaciones no resueltas respecto de los datos personales amparados por los principios en materia de privacidad);

—

una carta de la Administración de Comercio Internacional, adscrita al Departamento y que administra el programa del Marco de Privacidad de Datos, en la que se describen los compromisos que asume nuestro Departamento para garantizar el funcionamiento eficaz del Marco de Privacidad de Datos UE-EE. UU.;

—

una carta de la Comisión Federal de Comercio en la que se describen sus competencias de garantía del cumplimiento respecto de los principios en materia de privacidad;

—

una carta del Departamento de Transporte en la que se describen sus competencias de garantía del cumplimiento respecto de los principios en materia de privacidad;

—

una carta de la Oficina del Director de Inteligencia Nacional sobre las garantías y limitaciones aplicables a las autoridades de seguridad nacional estadounidenses; y

—

una carta del Departamento de Justicia sobre las garantías y las limitaciones aplicables al acceso a los datos por parte del Ejecutivo estadounidense a efectos policiales o en aras del interés público.

Excmo. Sr. D. Didier Reynders

Comisario de Justicia

Commission européenne / Europese Commissie

Rue de la Loi / Wetstraat 200

1049 Bruxelles/Brussel

BÉLGICA

—

El Departamento, antes de dar por concluida la autocertificación inicial o la revalidación anual de la certificación por parte de la entidad (denominadas conjuntamente, «autocertificación») y de incluir o mantener a la entidad en la lista del Marco de Privacidad de Datos, verificará que la entidad ha cumplido, como mínimo, los requisitos pertinentes establecidos en el principio complementario sobre la autocertificación en relación con la información que la entidad deba aportar en el expediente de autocertificación que presente al Departamento y que ha presentado en el momento oportuno unas directrices en materia de privacidad pertinentes que informen a los particulares de los trece elementos enumerados en el principio de notificación. El Departamento verificará que la entidad:

—

El Departamento también verificará que el expediente de autocertificación que presenten las entidades es coherente con sus directrices en materia de privacidad pertinentes. Cuando las entidades que se autocertifiquen deseen extender su autocertificación a filiales o sucursales estadounidenses suyas que tengan directrices en materia privacidad propias y pertinentes, el Departamento revisará también las directrices en materia privacidad pertinentes de dichas filiales o sucursales para asegurarse de que incluyan todos los elementos exigidos por el principio de notificación.

—

El Departamento colaborará con los organismos legales correspondientes (por ejemplo, la Comisión Federal de Comercio y el Departamento de Transporte) para verificar que las entidades están realmente sujetas a la competencia del organismo legal pertinente indicado en el expediente de autocertificación, cuando el Departamento vea indicios para dudar de que estén sujetas a la competencia de ese organismo.

—

El Departamento colaborará con los organismos de resolución alternativa de controversias del sector privado para verificar que las entidades están dadas de alta realmente antes esos organismos indicados en sus expediente de autocertificación como órgano independiente de impugnación; también colaborará con dichos organismos para verificar que las entidades están dadas de alta realmente para la verificación externa del cumplimiento indicada en sus expediente de autocertificación, cuando dichos organismos puedan ofrecer ambos tipos de servicios.

—

El Departamento colaborará con el tercero seleccionado por el Departamento para actuar como depositario de los fondos recaudados a través de la tasa del panel de la APD (es decir, la tasa anual destinada a sufragar el coste de funcionamiento del panel de la APD) para verificar que las entidades han pagado la tasa del año correspondiente, cuando las entidades hayan indicado a las APD como el órgano independiente de impugnación pertinente.

—

El Departamento colaborará con el tercero seleccionado por el Departamento para gestionar los arbitrajes y administrar el fondo arbitral contemplados en el anexo I de los principios en materia de privacidad, a fin de verificar que las entidades han contribuido a dicho fondo arbitral.

—

Cuando el Departamento detecte algún problema durante su revisión de los expedientes de autocertificación de las entidades, les informará de que deben resolver esos problemas en el plazo razonable que fije el Departamento (2). El Departamento también les informará de que la falta de respuesta dentro de los plazos fijados por el Departamento o cualquier otro incumplimiento de la obligación de completar su autocertificación de conformidad con los procedimientos del Departamento tendrá como consecuencia que se entiendan desistidas dichas autocertificaciones, y de que cualquier engaño sobre la participación de la entidad en el Marco de Privacidad de Datos UE-EE. UU. o sobre su cumplimiento puede desencadenar actuaciones de garantía del cumplimiento por parte de la Comisión Federal de Comercio, el Departamento de Transporte u otro organismo público pertinente. El Departamento informará a las entidades a través de los medios de contacto que estas le hayan comunicado.

—

El Departamento colaborará con los organismos de resolución alternativa de controversias del sector privado que ejerzan de órganos independientes de impugnación, a los que se puede acudir para que investiguen las reclamaciones no resueltas en relación con los principios en materia de privacidad, para verificar que cumplen, como mínimo, los requisitos derivados del principio complementario sobre la resolución de controversias y la ejecución forzosa. El Departamento verificará lo siguiente.

—

Si la entidad quiere darse de baja en el Marco de Privacidad de Datos UE-EE. UU., el Departamento le exigirá que elimine de sus directrices en materia de privacidad pertinentes toda referencia al Marco que insinúe que continúa participando en el Marco y que puede recibir datos personales de conformidad con el Marco (véase la descripción del compromiso del Departamento de detectar las declaraciones falsas de participación). El Departamento también exigirá a la entidad que cumplimente y envíe al Departamento un cuestionario adecuado para verificar:

—

Si la entidad escogió la opción a), el Departamento también le pedirá que cumplimente y envíe al Departamento anualmente desde que se dé de baja (es decir, antes del primer aniversario de su baja, así como cada aniversario posterior, a menos que la entidad confiera una protección «adecuada» a dichos datos por otros medios autorizados o devuelva o suprima dichos datos y lo notifique al Departamento) un cuestionario adecuado para verificar lo que ha hecho con esos datos personales, qué hará con cualquiera de esos datos personales que siga conservando y quién, dentro de la entidad, ejercerá de punto de contacto permanente para las cuestiones relacionadas con los principios en materia de privacidad.

—

Si la entidad ha dejado vencer su autocertificación (es decir, no ha realizado la revalidación anual de su certificación de cumplimiento de los principios en materia de privacidad, ni ha sido eliminada de la lista del Marco de Privacidad de Datos por alguna otra razón, como la baja voluntaria), el Departamento le pedirá que cumplimente y envíe al Departamento un cuestionario adecuado para verificar si quiere darse de baja o revalidar su certificación:

—

Si la entidad es eliminada de la lista del Marco de Privacidad de Datos por alguna de las razones siguientes: a) baja voluntaria del Marco de Privacidad de Datos UE-EE. UU., b) no haber completado la revalidación anual de la certificación de su cumplimiento de los principios en materia de privacidad (es decir, bien porque inició el trámite, pero no lo completó a su debido tiempo, bien porque nunca lo inició); o c) «incumplimiento sistemático»; el Departamento enviará una notificación a los contactos indicados en el expediente de autocertificación de la entidad en la que se especifique el motivo de su eliminación y se explique que debe dejar de declarar explícita o implícitamente que participa en el Marco de Privacidad de Datos UE-EE. UU. o lo cumple y que puede recibir datos personales en el Marco. La notificación, que también podrá incluir otra información adaptada al motivo de la eliminación, indicará que las entidades que representen falsamente su participación en el Marco de Privacidad de Datos UE-EE. UU., especialmente cuando den a entender que participan en el Marco tras haber sido eliminadas de la lista del Marco de Privacidad de Datos, podrán ser objeto de medidas coercitivas por parte de la Comisión Federal de Comercio, el Departamento de Transporte u otro organismo público pertinente.

—

De forma continuada, cuando la entidad: a) se dé de baja voluntariamente en el Marco de Privacidad de Datos UE-EE. UU., b) no haya completado la revalidación anual de la certificación de su cumplimiento de los principios en materia de privacidad (es decir, bien porque inició el trámite, pero no lo completó a su debido tiempo, bien porque nunca lo inició); c) sea eliminada del Marco por su «incumplimiento sistemático»; o d) no haya completado la autocertificación inicial de su cumplimiento de los principios (es decir, porque inició el trámite, pero no lo completó a su debido tiempo); el Departamento tomará de oficio medidas para verificar que las directrices en materia de privacidad pertinentes publicadas por la entidad no contienen referencias al Marco que insinúen que participa en el Marco y que puede recibir datos personales de conformidad con el Marco. En caso de que el Departamento constate que estas referencias no han sido eliminadas, informará a la entidad de que, si procede, remitirá el asunto al organismo pertinente para que tome las medidas oportunas si la entidad continúa declarando con engaño que participa en el Marco de Privacidad de Datos UE-EE. UU. El Departamento informará a la entidad a través de los medios de contacto que esta le haya comunicado o, cuando proceda, a través de otros medios. En caso de que la entidad no elimine las referencias ni autocertifique su cumplimiento del Marco de Privacidad de Datos UE-EE. UU. de conformidad con los procedimientos del Departamento, este remitirá de oficio el asunto a la Comisión Federal de Comercio, al Departamento de Transporte o a cualquier otro organismo de garantía del cumplimiento competente o, cuando proceda, tomará las medidas necesarias para garantizar que se utilice correctamente la marca de certificación del Marco de Privacidad de Datos UE-EE. UU.

—

El Departamento tomará medidas para detectar las declaraciones falsas sobre la participación en el Marco de Privacidad de Datos UE-EE. UU. y el uso indebido de la marca de certificación del Marco, especialmente por parte de entidades que, a diferencia de las descritas antes, nunca han iniciado el proceso de autocertificación (por ejemplo, realizando búsquedas específicas en internet para hallar referencias al Marco en las directrices en materia privacidad de las entidades). Cuando, con estas medidas, el Departamento detecte declaraciones falsas de participación en el Marco de Privacidad de Datos UE-EE. UU. y usos indebidos de la marca de certificación del Marco, informará a la entidad de que, si procede, remitirá el asunto al organismo pertinente para que tome las medidas oportunas si la entidad continúa declarando con engaño que participa en el Marco. El Departamento informará a la entidad a través de los medios de contacto que, en su caso, esta le haya comunicado o, cuando proceda, a través de otros medios. En caso de que la entidad no elimine las referencias ni autocertifique su cumplimiento del Marco de Privacidad de Datos UE-EE. UU. de conformidad con los procedimientos del Departamento, este remitirá de oficio el asunto a la Comisión Federal de Comercio, al Departamento de Transporte o a cualquier otro organismo de garantía del cumplimiento competente o, cuando proceda, tomará las medidas necesarias para garantizar que se utilice correctamente la marca de certificación del Marco de Privacidad de Datos UE-EE. UU.

—

El Departamento revisará y tramitará sin demora las reclamaciones específicas y no insustanciales sobre las declaraciones falsas de participación en el Marco de Privacidad de Datos UE-EE. UU. que reciba (por ejemplo, las reclamaciones recibidas de las APD, los organismos de resolución alternativa de controversias del sector privado que actúen como órganos independientes de impugnación, los interesados, las empresas de la UE y de los EE. UU. y otros tipos de terceros).

—

El Departamento podrá tomar otras medidas correctoras adecuadas. Los engaños en la información transmitida al Departamento podrán ser punibles en el marco de la Ley de declaraciones falsas (título 18, artículo 1001, del Código de Estados Unidos).

—

De forma continuada, el Departamento tratará de supervisar el cumplimiento efectivo por parte de las entidades del Marco de Privacidad de Datos UE-EE. UU. a fin de detectar problemas que puedan justificar medidas de seguimiento. En particular, el Departamento llevará a cabo, de oficio, inspecciones sin aviso rutinarias de entidades participantes seleccionadas aleatoriamente, así como inspecciones sin aviso ad hoc de entidades participantes específicas cuando se detecten posibles deficiencias en el cumplimiento (por ejemplo, las puestas en conocimiento del Departamento por terceros) para verificar: a) que el punto o puntos de contacto responsables de la tramitación de las reclamaciones, las solicitudes de acceso y otras cuestiones que surjan en el Marco de Privacidad de Datos UE-EE. UU. están disponibles; b) cuando proceda, que las directrices en materia de privacidad públicas de la entidad se pueden visualizar sin restricciones tanto en el sitio web público de la entidad como a través de un enlace en la lista del Marco de Privacidad de Datos; c) que las directrices en materia de privacidad de la entidad siguen cumpliendo los requisitos para la autocertificación descritos en los principios en materia de privacidad; y d) que el órgano independiente de impugnación indicado por la entidad está disponible para conocer de las reclamaciones relacionadas con el Marco de Privacidad de Datos UE-EE. UU. El Departamento también hará un seguimiento proactivo de las noticias para buscar denuncias de las que se desprendan indicios creíbles de incumplimiento por parte de las entidades participantes.

—

Como parte de su labor de garantía del cumplimiento, el Departamento exigirá a las entidades participantes que cumplimenten y envíen al Departamento el cuestionario pormenorizado cuando: a) el Departamento reciba reclamaciones específicas y no insustanciales sobre el cumplimiento de Marco de Privacidad de Datos UE-EE. UU. por parte de la entidad; b) la entidad no responda satisfactoriamente a las solicitudes del Departamento respecto de información relacionada con el Marco; o c) haya indicios creíbles de que la entidad no cumple sus compromisos en el Marco de Privacidad de Datos UE-EE. UU. Cuando el Departamento haya enviado el cuestionario pormenorizado a la entidad y esta no lo responda satisfactoriamente, informará a la entidad de que, si procede, remitirá el asunto al organismo competente para que tome las medidas oportunas si el Departamento no recibe una respuesta oportuna y satisfactoria de la entidad. El Departamento informará a la entidad a través de los medios de contacto que esta le haya comunicado o, cuando proceda, a través de otros medios. Si la entidad no responde oportuna y satisfactoriamente, el Departamento remitirá el asunto de oficio a la Comisión Federal de Comercio, al Departamento de Transporte o a cualquier otro organismo de garantía del cumplimiento competente o tomará las medidas necesarias para garantizar el cumplimiento. Cuando sea necesario, el Departamento consultará a las autoridades competentes de protección de datos sobre estas revisiones del cumplimiento.

—

El Departamento evaluará periódicamente la administración y la supervisión del programa del Marco de Privacidad de Datos para garantizar que su labor de seguimiento, incluida la realizada con herramientas de búsqueda (por ejemplo, para comprobar si han dejado de funcionar los enlaces a las directrices en materia de privacidad de las entidades participantes), es adecuada para tratar los problemas existentes y cualquier problema nuevo que surja.

Oficina de la presidenta

ESTADOS UNIDOS DE AMÉRICA

Comisión Federal de Comercio

WASHINGTON, D.C. 20580

Sr. D. Didier Reynders

Comisario de Justicia

Commission européenne / Europese Commissie

Rue de la Loi / Wetstraat 200

1049 Bruxelles/Brussel

BÉLGICA

N.o de expediente/sumario de la CFC

Asunto

Enlace

1

Expediente de la Comisión Federal de Comercio n.o 2023062

Asunto n.o 3:22-cv-03070 (Distrito Norte de California)

US c. Twitter, Inc.

Twitter

2

Expediente de la Comisión Federal de Comercio n.o 192 3209

Residual Pumpkin Entity, LLC (antiguamente llamada CafePress), y PlanetArt, LLC (anteriormente operando con el nombre CafePress)

CafePress

3

Expediente de la Comisión Federal de Comercio n.o 192 3133

Sumario n.o C-4747

Flo Health, Inc.

Flo Health

4

Expediente de la Comisión Federal de Comercio n.o 192 3050

Sumario n.o C-4723

Ortho-Clinical Diagnostics, Inc.

Ortho-Clinical

5

Expediente de la Comisión Federal de Comercio n.o 192 3092

Sumario n.o C-4709

T&M Protection, LLC

T&M Protection

6

Expediente de la Comisión Federal de Comercio n.o 192 3084

Sumario n.o C-4704

TDARX, Inc.

TDARX

7

Expediente de la Comisión Federal de Comercio n.o 192 3093

Sumario n.o C-4706

Global Data Vault, LLC

Global Data

8

Expediente de la Comisión Federal de Comercio n.o 192 3078

Sumario n.o C-4703

Incentive Services, Inc.

Incentive Services

9

Expediente de la Comisión Federal de Comercio n.o 192 3090

Sumario n.o C-4705

Click Labs, Inc.

Click Labs

10

Expediente de la Comisión Federal de Comercio n.o 182 3192

Sumario n.o C-4697

Medable, Inc.

Medable

11

Expediente de la Comisión Federal de Comercio n.o 182 3189

Sumario n.o 9386

NTT Global Data Centers Americas, Inc., como sucesora de RagingWire Data Centers, Inc.

RagingWire

12

Expediente de la Comisión Federal de Comercio n.o 182 3196

Sumario n.o C-4702

Thru, Inc.

Thru

13

Expediente de la Comisión Federal de Comercio n.o 182 3188

Sumario n.o C-4698

DCR Workforce, Inc.

DCR Workforce

14

Expediente de la Comisión Federal de Comercio n.o 182 3194

Sumario n.o C-4700

LotaData, Inc.

LotaData

15

Expediente de la Comisión Federal de Comercio n.o 182 3195

Sumario n.o C-4701

EmpiriStat, Inc.

EmpiriStat

16

Expediente de la Comisión Federal de Comercio n.o 182 3193

Sumario n.o C-4699

214 Technologies, Inc. (también conocida como Trueface.ai)

Trueface.ai

17

Expediente de la Comisión Federal de Comercio n.o 182 3107

Sumario n.o 9383

Cambridge Analytica, LLC

Cambridge Analytica

18

Expediente de la Comisión Federal de Comercio n.o 182 3152

Sumario n.o C-4685

SecureTest, Inc.

SecurTest

19

Expediente de la Comisión Federal de Comercio n.o 182 3144

Sumario n.o C-4664

VenPath, Inc.

VenPath

20

Expediente de la Comisión Federal de Comercio n.o 182 3154

Sumario n.o C-4666

SmartStart Employment Screening, Inc.

SmartStart

21

Expediente de la Comisión Federal de Comercio n.o 182 3143

Sumario n.o C-4663

mResourceLLC (también conocida como Loop Works LLC)

mResource

22

Expediente de la Comisión Federal de Comercio n.o 182 3150

Sumario n.o C-4665

Idmission LLC

IDmission

23

Expediente de la Comisión Federal de Comercio n.o 182 3100

Sumario n.o C-4659

ReadyTech Corporation

ReadyTech

24

Expediente de la Comisión Federal de Comercio n.o 172 3173

Sumario n.o C-4630

Decusoft, LLC

Decusoft

25

Expediente de la Comisión Federal de Comercio n.o 172 3171

Sumario n.o C-4628

Tru Communication, Inc.

Tru

26

Expediente de la Comisión Federal de Comercio n.o 172 3172

Sumario n.o C-4629

Md7, LLC

Md7

30

Expediente de la Comisión Federal de Comercio n.o 152 3198

Sumario n.o C-4543

Jhayrmaine Daniels (también conocida como California Skate-Line)

Jhayrmaine Daniels