El nuevo Reglamento europeo de Protección de Datos Personales

Introducción

Durante veinte años la Unión Europea ha tenido una legislación orientadora y poco eficaz, concediendo mayor margen de interpretación a los legisladores, tribunales y autoridades de control de todos los países de la zona euro y permitiendo la creación de un conglomerado de normas heterogéneas y poco coherentes. El derecho a la protección de datos no se ha garantizado de la misma forma en todos los países de la UE y, conforme han avanzado las nuevas tecnologías, ese derecho ha quedado expuesto a una mayor vulneración.

Por este motivo, en aras de dar una mayor y eficaz tutela al derecho fundamental a la protección de datos, que garantice su tratamiento efectivo dentro y fuera del Espacio Económico Europeo, la Comisión Europea se ha visto obligada a establecer un nuevo marco jurídico que armonice y aúne este derecho fundamental en toda la UE: Reglamento 679/2016, de 27 abril, de protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Aunque este Reglamento entró en vigor el 4 de mayo de 2016, la Comisión Europea da un plazo hasta el 25 de mayo de 2018 para que los legisladores de cada estado miembro adapte su legislación a la nueva normativa europea y las empresas y organismos públicos realicen los ajustes necesarios para que cumplan con dichas normas.


Objetivos del nuevo Reglamento

Está diseñado conforme al artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea y el artículo 16.1 del Tratado de Funcionamiento de la Unión Europea. Ambas leyes fundamentales refuerzan el derecho de toda persona a la protección de los datos de carácter personal que le conciernan, independientemente de cual sea su nacionalidad o residencia. Pretende “contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas”. El mismo Consejo de la Unión Europea afirmó a este respecto que el acuerdo al que habían llegado todos los estados para la creación del Reglamento había sido “un acuerdo fundamental con consecuencias importantes. Esta reforma no solo refuerza los derechos de los ciudadanos, sino también adapta a la era digital la normativa para las empresas, al tiempo que reduce la carga administrativa. Se trata de textos ambiciosos y con visión de futuro. Podemos tener plena confianza en el resultado”.

A la vista de la evolución tecnológica y la globalización, donde son cada vez más las empresas privadas y autoridades públicas que utilizan “datos personales en una escala sin precedentes”, aumentando la recogida e intercambio de dichos datos de forma significativa a nivel mundial, los órganos legislativos de la Unión Europea se han dado cuenta de la importancia de una regulación profunda y la creación de un marco sólido entre todos los países de la UE que garantice el control de los datos personales por parte de los ciudadanos. “El tratamiento de datos personales debe estar concebido para servir a la humanidad”, manteniendo un equilibrio con los demás derechos fundamentales y aplicándose dicho tratamiento en base al principio de proporcionalidad. De entre los derechos que más importancia concede destacan:

- de la vida privada y familiar
- del domicilio
- de las comunicaciones
- la protección de los datos de carácter personal
- la libertad de pensamiento, de conciencia y de religión
- la libertad de expresión y de información
- la libertad de empresa
- la tutela judicial efectiva y a un juicio justo
- la diversidad cultural, religiosa y lingüística

Por tanto, el objetivo del nuevo reglamento es reforzar la seguridad jurídica y práctica en el control de los datos personales, unificando criterios que deben ser contemplados en las leyes de los distintos países de la UE. De esta forma se crea un “escudo” jurídico dentro de la zona euro que proteja los derechos fundamentales en materia de privacidad y conciban un ambiente de confianza “que permita a la economía digital desarrollarse en todo el mercado interior”. Sin esta regulación única para todos los países de la UE, seguirá existiendo diferencias en el nivel de protección de los datos personales y, por tanto, supondrán un obstáculo en la actividad económica dentro de la UE y la libre circulación de datos dentro de los países que la integran.


Novedades importantes

Comité europeo de protección de datos
El nuevo reglamento crea un nuevo organismo con personalidad jurídica propia denominado Comité europeo de protección de datos. Este Comité sustituye al que fuera Comité del artículo 29 y representa las 28 autoridades de control actuales. A grandes rasgos, este Comité tiene como función garantizar “la aplicación coherente del presente Reglamento”, esto es, supervisión, asesoramiento, establecimiento de directrices, recomendaciones y buenas prácticas, elaboración de códigos de conducta, acreditación de los organismos de certificación o realización de dictámenes. Además, promoverá programas de formación comunes a toda la UE, fomentará la cooperación e intercambios de información y personal entre las autoridades de control de la zona euro y con terceros países. El Comité está regulado en la Sección 3ª del Capítulo VII del Reglamento europeo.

Consentimiento del menor
Inicialmente, el nuevo Reglamento da importancia al consentimiento para que los datos personales sean tratados. Concretamente, en su artículo 8, trata sobre el consentimiento de los menores, estableciendo que para un tratamiento lícito de los datos es obligatorio que el menor tenga 16 años para que pueda dar su consentimiento. En caso contrario, tendrán que dar su consentimiento los padres o tutores del menor. No obstante, deja abierta la posibilidad de que los estados miembros de la UE rebajen la edad hasta los 13 años para que el menor pueda dar su consentimiento.

Derecho al olvido
El día 13 de mayo de 2014 el Tribunal de Justicia de la Unión Europea sentaba un primer precedente con respecto al llamado “derecho al olvido online”. Dicha Sentencia era consecuencia de una cuestión prejudicial que la Audiencia Nacional planteó en marzo de 2012 sobre una demanda contra Google en la que se pedía que el buscador borrara información y enlaces que ya no tenían relevancia alguna. Esta Sentencia llenaba un vacío legal a nivel europeo y nacional. Gracias a esto, la Comisión Europea añade el artículo 17: “Derecho de supresión”, permitiendo al interesado obtener “sin dilación indebida” del responsable del tratamiento el borrado o supresión de los datos personales. Para ello debe darse las siguientes circunstancias:

1. Que ya no sean necesarios los datos personales para cumplir con los fines establecidos.

2. Que el interesado retire el consentimiento de permitir el tratamiento de sus datos.

3. Una vez los datos personales sean tratados, el interesado se oponga a su tratamiento.

4. Cuando los datos personales sean tratados ilícitamente.

5. Existencia de una obligación legal de supresión de los datos personales.

6. En el caso de que se hayan recogido datos de menores de 16 años sin su consentimiento o el de sus padres o tutores en relación con la oferta de servicios de la sociedad de la información.

La novedad radica en que el “derecho al olvido” es una institución independiente. No se trata de un derecho de cancelación u oposición, sino un derecho a suprimir los datos personales.

Portabilidad de los datos
Otro importante derecho que el Reglamento incorpora es la posibilidad de que el interesado solicite la transferencia de sus datos de un responsable de tratamiento a otro, cuando dicha transferencia pueda ser posible técnicamente. El ejemplo más claro es el de los servicios de telefonía móvil. Habiendo contratado los servicios de una empresa operadora el usuario puede solicitar la baja de dichos servicios y la portabilidad de los datos personales a otra compañía. La importancia radica fundamentalmente en un dato personal concreto: el número de teléfono. Sin la posibilidad de solicitar la portabilidad de los datos, la baja en los servicios de una compañía y el alta en otra nueva supondría la pérdida de dicho número.

No obstante, ¿qué sucede con los datos personales que la antigua compañía guarda en sus archivos? El artículo 20.3 del Reglamento europeo lo dice bien claro: “el ejercicio del derecho mencionado en el apartado 1 del presente artículo se entenderá sin perjuicio del artículo 17“, es decir, el ejercicio del derecho a la portabilidad de los datos personales se entenderá sin perjuicio de la posibilidad de solicitar la supresión de los datos personales (derecho al olvido). Por tanto, el interesado puede solicitar la portabilidad y que sus datos personales sean suprimidos en la antigua compañía.

Protección de datos desde el diseño y por defecto
Esta es una de las obligaciones que desde hace mucho tiempo se venía pidiendo para los responsables del tratamiento de datos. Hasta ahora, darse de alta en un servicio suponía que nuestros datos personales fueran de dominio público y el usuario tenía que cambiar la configuración de privacidad para decidir qué datos podían ser públicos y cuales no. Esta política de privacidad dejaba vulnerables a los interesados al tener que realizar diversas tareas, a veces complicadas o confusas, para salvaguardar su privacidad. El nuevo reglamento viene a exigir que desde el diseño de un servicio o producto, y por defecto, es obligatorio cumplir con los requisitos de protección de los datos personales. De esta forma, el usuario podrá estar tranquilo de que sus datos personales están protegidos y puede decidir cuales pueden ser públicos o privados.

La importancia del artículo 25 del Reglamento europeo radica en su carácter preventivo, esto es, impedir cualquier violación de la privacidad desde el momento en que se desarrolla un producto o servicio.

Obligación de designar un representante en la Unión Europea
Es te es otro aspecto importante en la protección de datos cuando el responsable del tratamiento no reside en la Unión Europea. Existen empresas que ofrecen servicios a usuarios de la Unión Europea pero el responsable del tratamiento no residen dentro de las frontera comunitaria, por lo que no le afectaría las normas europeas. El Reglamento viene a corregir este fallo obligando a aquellos encargados o responsables no establecidos en la Unión Europea (art. 3.2 Reglamento europeo) a designar por escrito un representante que contraiga obligaciones según las leyes de la UE.

El representante deberá establecerse en uno de los países de la zona euro y su función será atender las consultas de las autoridades de control y de los interesados sobre “todos los asuntos relativos al tratamiento, a fin de garantizar el cumplimiento de lo dispuesto en el presente Reglamento”.

Mayor protagonismo de las autoridades de control
Según el artículo 4.21) del Reglamento europeo, autoridad de control es “la autoridad pública independiente establecida por un Estado miembro”. En el caso de España es la Agencia Española de Protección de Datos, una entidad pública independiente que “vela por el cumplimiento de la normativa sobre protección de datos y garantiza y tutela el derecho fundamental a la protección de datos personales”.

El nuevo reglamento pretende dar más importancia a las autoridades de control de la UE y asegurar una mejor protección a los ciudadanos. En el caso de que existan varias autoridades de control en un estado, se prevé un sistema de ventanilla única, mecanismo que permite la supervisión de la actividad de los responsables, encargados y representantes a una autoridad de control principal. Ello permitiría que a) los interesados puedan acudir a la autoridad de control donde tengan su residencia habitual, lugar de trabajo o lugar donde se ha cometido la infracción e interponer un recurso y b) puedan las empresas con varias filiales en distintos Estados de la UE cooperar o realizar gestiones con la autoridad de control del país de la UE donde se encuentra el establecimiento principal.

El artículo 57 del Reglamento europeo establece las funciones de la autoridad de control para todos los países miembros:

1. Controlar la aplicación del presente Reglamento y hacerlo aplicar.

2. Promover la sensibilización del público y su comprensión de los riesgos, normas, garantías y derechos en relación con el tratamiento. Las actividades dirigidas específicamente a los niños deberán ser objeto de especial atención.

3. Asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento nacional, al Gobierno y a otras instituciones y organismos sobre las medidas legislativas y administrativas relativas a la protección de los derechos y libertades de las personas físicas con respecto al tratamiento.

4. Promover la sensibilización de los responsables y encargados del tratamiento acerca de las obligaciones que les incumben en virtud del presente Reglamento.

5. Previa solicitud, facilitar información a cualquier interesado en relación con el ejercicio de sus derechos en virtud del presente Reglamento y, en su caso, cooperar a tal fin con las autoridades de control de otros Estados miembros.

6. Tratar las reclamaciones presentadas por un interesado o por un organismo, organización o asociación de conformidad con el artículo 80, e investigar, en la medida oportuna, el motivo de la reclamación e informar al reclamante sobre el curso y el resultado de la investigación en un plazo razonable, en particular si fueran necesarias nuevas investigaciones o una coordinación más estrecha con otra autoridad de control.

7. Cooperar, en particular compartiendo información, con otras autoridades de control y prestar asistencia mutua con el fin de garantizar la coherencia en la aplicación y ejecución del presente Reglamento.

8. Llevar a cabo investigaciones sobre la aplicación del presente Reglamento, en particular basándose en información recibida de otra autoridad de control u otra autoridad pública.

9. Hacer un seguimiento de cambios que sean de interés, en la medida en que tengan incidencia en la protección de datos personales, en particular el desarrollo de las tecnologías de la información y la comunicación y las prácticas comerciales.

10. Adoptar las cláusulas contractuales tipo a que se refieren el artículo 28, apartado 8, y el artículo 46, apartado 2, letra d).

11. Elaborar y mantener una lista relativa al requisito de la evaluación de impacto relativa a la protección de datos, en virtud del artículo 35, apartado 4.

12. Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas en el artículo 36, apartado 2.

13. Alentar la elaboración de códigos de conducta con arreglo al artículo 40, apartado 1, y dictaminar y aprobar los códigos de conducta que den suficientes garantías con arreglo al artículo 40, apartado 5.

14. Fomentar la creación de mecanismos de certificación de la protección de datos y de sellos y marcas de protección de datos con arreglo al artículo 42, apartado 1, y aprobar los criterios de certificación de conformidad con el artículo 42, apartado 5.

15. Llevar a cabo, si procede, una revisión periódica de las certificaciones expedidas en virtud del artículo 42, apartado 7.

16. Elaborar y publicar los criterios para la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43.

17. Efectuar la acreditación de organismos de supervisión de los códigos de conducta con arreglo al artículo 41 y de organismos de certificación con arreglo al artículo 43.

18. Autorizar las cláusulas contractuales y disposiciones a que se refiere el artículo 46, apartado 3.

19. Aprobar normas corporativas vinculantes de conformidad con lo dispuesto en el artículo 47.

20. Contribuir a las actividades del Comité.

21. Llevar registros internos de las infracciones del presente Reglamento y de las medidas adoptadas de conformidad con el artículo 58, apartado 2.

22. Desempeñar cualquier otra función relacionada con la protección de los datos personales.

Mayor seguridad en el tratamiento de datos
La evolución tecnológica exige un seguimiento progresivo del tratamiento de datos personales y asegurar un nivel adecuado de protección.

Por un lado, se crea la figura del “Delegado de protección de datos” (data protection officerDPO), designado por el responsable y el encargado del tratamiento, cuya función es cooperar con la autoridad de control, informar y asesorar tanto al responsable como al encargado y empleados del tratamiento, y supervisar que se cumpla lo establecido en la legislación europea y nacional en materia de protección de datos. En principio no es obligatorio crear un delegado de protección de datos salvo que se trate de:

1. Administraciones públicas
2. Entidades con más de 250 trabajadores
3. Entidades que trate datos personales a gran escala o monitorice dichos datos
4. Entidades que traten datos personales especialmente protegidos

Para poder ejercer como Delegado de Protección de Datos es necesario acreditar una formación y conocimientos especializados en protección de datos y su contratación podrá realizarse de forma externa o a través de promoción interna.

Por otro lado, el artículo 35.1 del Reglamento europeo establece otro mecanismo para el correcto tratamiento a través de la “evaluación de impacto de la privacidad” (Privacy Impact AssessmentsPIA): “Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares”.

Hay que tener en cuenta que los datos no solo circulan entre ordenadores (PC o portátiles), también nos encontramos con los Big Data (almacenamiento masivo de datos en servidores), los dispositivos biométricos o de geolocalización, los weareables (por ejemplo los relojes o gafas inteligentes), que crean nuevos riesgos de seguridad en materia de privacidad. Para preservar el correcto tratamiento de los datos, es obligatorio llevar a cabo una previa evaluación del impacto que puede tener en dichos dispositivos y analizar los elevados riesgos futuros. El Reglamento europeo pretende fomentar la cultura de la prevención desde el inicio.

En cuanto a la circulación de datos personales a un país tercero u organización internacional que no pertenezca a la Unión Europea, el reglamento también establece mayor control permitiendo que solo se realicen transferencias de datos si estos son tratados en el tercer país (art. 44 Reglamento europeo). Además, para la posible transferencia de datos, debe existir un nivel adecuado de protección, cumpliendo para ello las condiciones establecidas en el Reglamento. La novedad recae en la obligación de acreditar que se han establecido las medidas de seguridad necesarias y se llevarán a cabo políticas de prevención (art. 46 Reglamento europeo).

Finalmente el Reglamento obliga al responsable del tratamiento a notificar a la autoridad de control, en un máximo de 72 horas, toda violación de la seguridad de los datos personales. Igualmente, el encargado del tratamiento debe notificarlo al encargado del tratamiento se tuviera conocimiento de ello, siguiendo así un orden jerárquico. Además, los responsables del tratamiento deben comunicar dicha violación al interesado “sin dilación indebida” y en un lenguaje claro y sencillo.

Códigos de conducta

Otra novedad del Reglamento europeo es la obligación de los estados miembros a promover “la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del presente Reglamento, teniendo en cuenta las características específicas de los distintos sectores de tratamiento y las necesidades específicas de las microempresas y las pequeñas y medianas empresas”. No solo se pretende armonizar la legislación a nivel europeo, también se quiere una mayor participación de todos los actores: las administraciones públicas, los organismos internacionales, asociaciones y empresas. El mundo tecnológico abarca muchos ámbitos, sectores, cuya dinámica es distinta. Las empresas de cada sector cuentan con unas determinadas necesidades, unos modelos de tratamiento de datos diferentes que los lleva a buscar patrones a medida. Los códigos de conducta vendrían a ser un referente para cada sector económico, ayudando a adaptar la política de privacidad a sus necesidades y estructura de acuerdo con la legislación europea y local.