El EDPB ha fijado las Directrices sobre el controlador-procesador, Directrices sobre la orientación de los usuarios de las redes sociales, grupo de trabajo sobre las denuncias presentadas a raíz de la sentencia del caso Schrems II del Tribunal de Justicia de las Comunidades Europeas.
El Comité aprobó las Directrices sobre los conceptos de controlador y procesador en la RPI y las Directrices sobre la orientación de los usuarios de las redes sociales. Además, el EDPB creó un grupo de trabajo sobre denuncias a raíz del fallo del caso Schrems II del CJEU y un grupo de trabajo dedicado a las medidas complementarias que se puede exigir a los exportadores e importadores de datos para garantizar una protección adecuada cuando se transfieren datos a la luz del fallo del caso Schrems II del CJEU.
Desde la entrada en vigor de la GDPR, se han planteado cuestiones sobre la medida en que la GDPR ha introducido cambios en esos conceptos, en particular en lo que respecta al concepto de control conjunto, así como a las obligaciones de los encargados del tratamiento establecidas en el capítulo IV de la GDPR.
En marzo de 2019, la EDPB, junto con su Secretaría, organizó un evento de partes interesadas, que dejó claro que era necesario contar con más orientación práctica y permitió a la Junta comprender mejor las necesidades y preocupaciones en este ámbito.
Las nuevas directrices constan de dos partes principales: una en la que se explican los diferentes conceptos; la otra incluye una orientación detallada sobre las principales consecuencias de esos conceptos para los controladores, procesadores y controladores conjuntos. Las Directrices incluyen un diagrama de flujo para proporcionar más orientación práctica y serán objeto de consulta pública.
Directrices prácticas y aplicables
La EDPB adoptó las Directrices sobre la orientación de los usuarios de las redes sociales. Las Directrices tienen por objeto proporcionar orientación práctica a los interesados y contienen varios ejemplos de diferentes situaciones para que los interesados puedan identificar rápidamente el "escenario" que más se aproxime a la práctica de focalización que pretenden desplegar.
Las nuevas directrices constan de dos partes principales.
El objetivo principal de las Directrices es aclarar las funciones y responsabilidades del proveedor de redes sociales y de la persona a la que se dirigen. Para ello, las Directrices, entre otras cosas, identifican los riesgos potenciales para las libertades de las personas, los principales actores y sus funciones, la aplicación de los requisitos clave de protección de datos, como la legalidad y la transparencia.
Además, las Directrices se centran en los distintos mecanismos de selección, el tratamiento de categorías especiales de datos y la obligación de que los responsables conjuntos de los controles.
Caso Schrems II del CJEU
La Junta ha creado un grupo de trabajo para examinar las denuncias presentadas a raíz de la sentencia del caso Schrems II del CJEU. Un total de 101 quejas idénticas se han presentado ante las autoridades de protección de datos del EEE contra varios controladores de los Estados miembros del EEE en relación con el uso de los servicios de Google o Facebook que implican la transferencia de datos personales.
En concreto, los demandantes, representados por la ONG NOYB, afirman que Google y Facebook transfieren datos personales a Estados Unidos basándose en el Escudo de Privacidad o en las Cláusulas Contractuales Estándar de la UE y Estados Unidos y que, de acuerdo con la reciente sentencia del CJEU en el caso C-311/18, el controlador no puede garantizar una protección adecuada de los datos personales de los demandantes.
Si (
No(
