DATA PROTECTION PANEL (related to FAQs 5 and 9 issued by the US Department of Commerce, and annexed to Commission Decision 2000/520/EC on the adequacy of the 'safe harbor' privacy principles) 25 de julio de 2005 Esta nota ofrece información básica en forma de preguntas y respuestas sobre la Autoridad europea de protección de datos ("Panel de protección de datos") prevista por la Decisión de puerto seguro1, y sobre los procedimientos para presentar una queja ante el panel. La presente nota no pretende proporcionar una descripción legal completa del panel de protección de datos sino que aspira a ser una herramienta útil para ayudar a aquellos que consideran que sus datos personales han sido tratados infringiendo la Decisión sobre puerto seguro para presentar una queja. Por consiguiente, el presente documento está destinado especialmente a las personas cuyos datos personales se han transferido a empresas de Estados Unidos que han suscrito los principios de puerto seguro (en adelante "portuarios") y han elegido el panel de protección de datos como su mecanismo de recursos independiente. PREGUNTAS Y RESPUESTAS 1. ¿En qué consiste el Panel de protección de datos? El panel de protección de datos es un órgano informal creado en virtud de la Decisión de puerto seguro, competente, entre otros aspectos, en investigar y resolver las quejas presentadas por los particulares ante la supuesta infracción de los principios de puerto seguro2. 2. ¿Quiénes son los miembros del grupo de expertos de protección de datos? El panel de protección de datos está integrado por representantes de diversas autoridades de protección de datos de la UE. Una lista completa de las autoridades de protección de datos que son miembros del grupo de expertos está disponible en: http://forum.europa.eu.int/Public/irc/secureida/safeharbor/home 3. ¿Cómo puedo presentar una queja y cómo desempeña sus tareas el panel de protección de datos? 1 Decisión de la Comisión, de 26 de julio de 2000, con arreglo a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, sobre la adecuación de la protección conferida por los principios de puerto seguro para la protección de la vida privada y las correspondientes preguntas más frecuentes, publicadas por el Departamento de Comercio de Estados Unidos de América en el DO 215 de 28 de agosto de 2000. 2 La lista completa de las funciones del panel está recogida en el FAQ nº 5 de la Decisión de puerto seguro. DATA PROTECTION PANEL (related to FAQs 5 and 9 issued by the US Department of Commerce, and annexed to Commission Decision 2000/520/EC on the adequacy of the 'safe harbor' privacy principles) Los formularios de quejas están disponibles en este sitio Internet y también en el sitio Internet del panel de protección de datos http://forum.europa.eu.int/Public/irc/secureida/safeharbor/home El sitio Internet del panel de protección de datos ofrece asimismo un documento en el que se recogen los métodos de trabajo para el panel de protección de datos. La unidad de protección de datos de la Comisión Europea actúa como la secretaría del Panel. 4. ¿En qué casos se produciría una infracción potencial de un principio de puerto seguro susceptible de ser investigada por el panel de protección de datos? Primero, vamos a describir uno de los principios de puerto seguro y a continuación propondremos un ejemplo que ilustra en qué casos se produciría una violación del mismo. Uno de los principios de puerto seguro es el llamado "principio de transferencia ulterior" según el cual los portuarios deben ofrecer a los particulares la posibilidad de que no se divulguen sus datos personales a terceros. Lo que viene a continuación ilustra una violación potencial del principio anteriormente mencionado: Si su empleador con domicilio en la UE transfiriera sus datos personales a la sede domiciliada en los EE.UU. que opera conforme al acuerdo de puerto seguro y esta última revelara tal información sin su consentimiento, esta acción puede suponer una violación del principio de transferencia ulterior. En este caso, el panel de protección de datos sería competente para investigar si tal acción constituye una infracción de los principios de puerto seguro. 5. ¿Es el panel de protección de datos competente para investigar todas las quejas en relación con una supuesta infracción de los principios de puerto seguro? No, el panel de expertos de protección de datos no tiene competencia para investigar todas las quejas relacionadas con una supuesta infracción de los principios de puerto seguro. En ciertos casos, los particulares tendrán a su disposición otros tipos de recursos descritos más adelante en la respuesta número 6. 6. ¿Cómo puedo saber si el panel de protección de datos es competente para investigar mi queja? En primer lugar, si su queja hace referencia a información personal que forma parte de los datos sobre recursos humanos, entonces el panel de protección de datos será competente para investigar tal queja. DATA PROTECTION PANEL (related to FAQs 5 and 9 issued by the US Department of Commerce, and annexed to Commission Decision 2000/520/EC on the adequacy of the 'safe harbor' privacy principles) En segundo lugar, si su queja hace referencia a información personal que no está incluida entre los datos sobre recursos humanos, el panel de protección de datos será competente para investigar tal queja si la organización de EEUU que importó la información personal seleccionó el panel de la UE como su mecanismo de recurso independiente. Para determinar si éste es el caso, puede comprobarlo en la lista de certificación de puerto seguro abierta al público del Ministerio de Comercio de EE.UU.: http://web.itadoc.gov/safeharbor/shlist.nsf/webPages/safe+harbor+list Como puede ver, esta lista ofrece los nombres de las empresas que han autocertificado su adhesión a los principios de puerto seguro. Basta pulsar en cada empresa individual, para obtener información adicional sobre la autocertificación al puerto seguro. Esto incluye una referencia al mecanismo efectivo elegido por la empresa para garantizar el cumplimiento efectivo (véase la sección "información de puerto seguro", pregunta "resolución de conflictos"). Si la respuesta a la cuestión "resolución de conflictos" es “el panel de protección de datos”, entonces el panel será competente. Por último, si el panel no es competente, no significa que no exista ningún mecanismo efectivo para garantizar el cumplimiento de los principios de puerto seguro. En tal caso, la empresa habrá diseñado otro mecanismo para garantizar dicho cumplimiento y para remediar los problemas que se deriven del incumplimiento de los principios. Otros mecanismos similares son los sistemas privados de resolución de conflictos tales como BBB OnLine, TRUSTe, AICPA WebTrust, etc.