Introducción
Durante veinte años la Unión Europea ha tenido una legislación orientadora
y poco eficaz, concediendo mayor margen de interpretación a los legisladores,
tribunales y autoridades de control de todos los países de la zona euro y
permitiendo la creación de un conglomerado de normas heterogéneas y poco
coherentes. El derecho a la protección de datos no se ha garantizado de la
misma forma en todos los países de la UE y, conforme han avanzado las nuevas
tecnologías, ese derecho ha quedado expuesto a una mayor vulneración.
Por este motivo, en aras de dar una mayor y eficaz tutela al derecho
fundamental a la protección de datos, que garantice su tratamiento efectivo
dentro y fuera del Espacio Económico Europeo, la Comisión
Europea se ha visto obligada a establecer un nuevo marco jurídico que
armonice y aúne este derecho fundamental en toda la UE: Reglamento
679/2016, de 27 abril, de protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos y
por el que se deroga la Directiva 95/46/CE.
Aunque este Reglamento entró en vigor el 4 de mayo de 2016, la Comisión
Europea da un plazo hasta el 25 de mayo de 2018 para que los
legisladores de cada estado miembro adapte su legislación a la nueva normativa
europea y las empresas y organismos públicos realicen los ajustes necesarios
para que cumplan con dichas normas.
Objetivos del nuevo Reglamento
Está diseñado conforme al artículo 8.1 de la Carta
de los Derechos Fundamentales de la Unión Europea y el artículo
16.1 del Tratado de Funcionamiento de la Unión Europea.
Ambas leyes fundamentales refuerzan el derecho de toda persona a la protección
de los datos de carácter personal que le conciernan, independientemente de cual
sea su nacionalidad o residencia. Pretende “contribuir a la plena
realización de un espacio de libertad, seguridad y justicia y de una unión
económica, al progreso económico y social, al refuerzo y la convergencia de las
economías dentro del mercado interior, así como al bienestar de las personas
físicas”. El mismo Consejo de la Unión Europea afirmó a
este respecto que el acuerdo al que habían llegado todos los estados para la
creación del Reglamento había sido “un acuerdo fundamental con consecuencias
importantes. Esta reforma no solo refuerza los derechos de los ciudadanos, sino
también adapta a la era digital la normativa para las empresas, al tiempo que
reduce la carga administrativa. Se trata de textos ambiciosos y con visión de
futuro. Podemos tener plena confianza en el resultado”.
A la vista de la evolución tecnológica y la globalización, donde son cada
vez más las empresas privadas y autoridades públicas que utilizan “datos
personales en una escala sin precedentes”, aumentando la recogida e
intercambio de dichos datos de forma significativa a nivel mundial, los órganos
legislativos de la Unión Europea se han dado cuenta de la importancia de una
regulación profunda y la creación de un marco sólido entre todos los países de
la UE que garantice el control de los datos personales por parte de los
ciudadanos. “El tratamiento de datos personales debe estar concebido para
servir a la humanidad”, manteniendo un equilibrio con los demás derechos
fundamentales y aplicándose dicho tratamiento en base al principio de
proporcionalidad. De entre los derechos que más importancia concede destacan:
- de la vida privada y familiar
- del domicilio
- de las comunicaciones
- la protección de los datos de carácter personal
- la libertad de pensamiento, de conciencia y de religión
- la libertad de expresión y de información
- la libertad de empresa
- la tutela judicial efectiva y a un juicio justo
- la diversidad cultural, religiosa y lingüística
Por tanto, el objetivo del nuevo reglamento es reforzar la seguridad
jurídica y práctica en el control de los datos personales, unificando criterios
que deben ser contemplados en las leyes de los distintos países de la UE. De
esta forma se crea un “escudo” jurídico dentro de la zona euro que proteja los
derechos fundamentales en materia de privacidad y conciban un ambiente de
confianza “que permita a la economía digital desarrollarse en todo el
mercado interior”. Sin esta regulación única para todos los países de la
UE, seguirá existiendo diferencias en el nivel de protección de los datos
personales y, por tanto, supondrán un obstáculo en la actividad económica
dentro de la UE y la libre circulación de datos dentro de los países que la
integran.
Novedades importantes
Comité
europeo de protección de datos
El nuevo
reglamento crea un nuevo organismo con personalidad jurídica propia
denominado Comité europeo de protección de datos. Este Comité
sustituye al que fuera Comité del artículo 29 y representa las 28 autoridades
de control actuales. A grandes rasgos, este Comité tiene como función
garantizar “la aplicación coherente del presente Reglamento”, esto es,
supervisión, asesoramiento, establecimiento de directrices, recomendaciones y
buenas prácticas, elaboración de códigos de conducta, acreditación de los
organismos de certificación o realización de dictámenes. Además, promoverá
programas de formación comunes a toda la UE, fomentará la cooperación e
intercambios de información y personal entre las autoridades de control de la
zona euro y con terceros países. El Comité está regulado en la Sección
3ª del Capítulo VII del Reglamento europeo.
Consentimiento del menor
Inicialmente, el nuevo Reglamento da importancia al consentimiento para que
los datos personales sean tratados. Concretamente, en su artículo 8,
trata sobre el consentimiento de los menores, estableciendo que para
un tratamiento lícito de los datos es obligatorio que el menor tenga 16 años
para que pueda dar su consentimiento. En caso contrario, tendrán que dar su
consentimiento los padres o tutores del menor. No obstante, deja abierta la
posibilidad de que los estados miembros de la UE rebajen la edad hasta los 13
años para que el menor pueda dar su consentimiento.
Derecho al olvido
El día 13 de mayo de 2014 el Tribunal de Justicia de la Unión Europea
sentaba un primer precedente con respecto al llamado “derecho al olvido
online”. Dicha Sentencia era consecuencia de una cuestión prejudicial que
la Audiencia Nacional planteó en marzo de 2012 sobre una demanda contra Google
en la que se pedía que el buscador borrara información y enlaces que ya no
tenían relevancia alguna. Esta Sentencia llenaba un vacío legal a nivel europeo
y nacional. Gracias a esto, la Comisión Europea añade el artículo 17:
“Derecho de supresión”, permitiendo al interesado obtener “sin
dilación indebida” del responsable del tratamiento el borrado o supresión de
los datos personales. Para ello debe darse las siguientes circunstancias:
1. Que ya no sean necesarios los datos personales para cumplir con los
fines establecidos.
2. Que el interesado retire el consentimiento de permitir el tratamiento de
sus datos.
3. Una vez los datos personales sean tratados, el interesado se oponga a su
tratamiento.
4. Cuando los datos personales sean tratados ilícitamente.
5. Existencia de una obligación legal de supresión de los datos personales.
6. En el caso de que se hayan recogido datos de menores de 16 años sin su
consentimiento o el de sus padres o tutores en relación con la oferta de
servicios de la sociedad de la información.
La novedad radica en que el “derecho al olvido” es una institución
independiente. No se trata de un derecho de cancelación u oposición, sino un
derecho a suprimir los datos personales.
Portabilidad de los datos
Otro importante derecho que el Reglamento incorpora es la posibilidad de
que el interesado solicite la transferencia de sus datos de un responsable de
tratamiento a otro, cuando dicha transferencia pueda ser posible técnicamente.
El ejemplo más claro es el de los servicios de telefonía móvil. Habiendo
contratado los servicios de una empresa operadora el usuario puede solicitar la
baja de dichos servicios y la portabilidad de los datos personales a otra
compañía. La importancia radica fundamentalmente en un dato personal concreto:
el número de teléfono. Sin la posibilidad de solicitar la portabilidad de los
datos, la baja en los servicios de una compañía y el alta en otra nueva
supondría la pérdida de dicho número.
No obstante, ¿qué sucede con los datos personales que la antigua compañía
guarda en sus archivos? El artículo 20.3 del Reglamento europeo
lo dice bien claro: “el ejercicio del derecho mencionado en el apartado 1
del presente artículo se entenderá sin perjuicio del artículo 17“, es
decir, el ejercicio del derecho a la portabilidad de los datos personales se
entenderá sin perjuicio de la posibilidad de solicitar la supresión de los
datos personales (derecho al olvido). Por tanto, el interesado puede solicitar
la portabilidad y que sus datos personales sean suprimidos en la antigua
compañía.
Protección de datos desde el diseño y por defecto
Esta es una de las obligaciones que desde hace mucho tiempo se venía
pidiendo para los responsables del tratamiento de datos. Hasta ahora, darse de
alta en un servicio suponía que nuestros datos personales fueran de dominio
público y el usuario tenía que cambiar la configuración de privacidad para
decidir qué datos podían ser públicos y cuales no. Esta política de privacidad
dejaba vulnerables a los interesados al tener que realizar diversas tareas, a
veces complicadas o confusas, para salvaguardar su privacidad. El nuevo
reglamento viene a exigir que desde el diseño de un servicio o producto, y por
defecto, es obligatorio cumplir con los requisitos de protección de los datos
personales. De esta forma, el usuario podrá estar tranquilo de que sus datos
personales están protegidos y puede decidir cuales pueden ser públicos o
privados.
La importancia del artículo 25 del Reglamento europeo
radica en su carácter preventivo, esto es, impedir cualquier violación de la
privacidad desde el momento en que se desarrolla un producto o servicio.
Obligación de designar un representante en la Unión Europea
Es te es otro aspecto importante en la protección de datos cuando el
responsable del tratamiento no reside en la Unión Europea. Existen empresas que
ofrecen servicios a usuarios de la Unión Europea pero el responsable del
tratamiento no residen dentro de las frontera comunitaria, por lo que no le
afectaría las normas europeas. El Reglamento viene a corregir este fallo
obligando a aquellos encargados o responsables no establecidos en la Unión
Europea (art. 3.2 Reglamento europeo) a designar por escrito un
representante que contraiga obligaciones según las leyes de la UE.
El representante deberá establecerse en uno de los países de la zona euro y
su función será atender las consultas de las autoridades de control y de los
interesados sobre “todos los asuntos relativos al tratamiento, a fin de
garantizar el cumplimiento de lo dispuesto en el presente Reglamento”.
Mayor protagonismo de las autoridades de control
Según el artículo 4.21) del Reglamento europeo, autoridad
de control es “la autoridad pública independiente establecida por un Estado
miembro”. En el caso de España es la Agencia Española de Protección de
Datos, una entidad pública independiente que “vela por el cumplimiento de la
normativa sobre protección de datos y garantiza y tutela el derecho fundamental
a la protección de datos personales”.
El nuevo reglamento pretende dar más importancia a las autoridades de
control de la UE y asegurar una mejor protección a los ciudadanos. En el caso
de que existan varias autoridades de control en un estado, se prevé un sistema
de ventanilla única, mecanismo que permite la supervisión de la actividad de
los responsables, encargados y representantes a una autoridad de control
principal. Ello permitiría que a) los interesados puedan acudir a la autoridad
de control donde tengan su residencia habitual, lugar de trabajo o lugar donde
se ha cometido la infracción e interponer un recurso y b) puedan las empresas
con varias filiales en distintos Estados de la UE cooperar o realizar gestiones
con la autoridad de control del país de la UE donde se encuentra el
establecimiento principal.
El artículo 57 del Reglamento europeo establece las
funciones de la autoridad de control para todos los países miembros:
1. Controlar la aplicación del presente Reglamento y hacerlo aplicar.
2. Promover la sensibilización del público y su comprensión de los riesgos,
normas, garantías y derechos en relación con el tratamiento. Las actividades
dirigidas específicamente a los niños deberán ser objeto de especial atención.
3. Asesorar, con arreglo al Derecho de los Estados miembros, al Parlamento
nacional, al Gobierno y a otras instituciones y organismos sobre las medidas
legislativas y administrativas relativas a la protección de los derechos y
libertades de las personas físicas con respecto al tratamiento.
4. Promover la sensibilización de los responsables y encargados del
tratamiento acerca de las obligaciones que les incumben en virtud del presente
Reglamento.
5. Previa solicitud, facilitar información a cualquier interesado en
relación con el ejercicio de sus derechos en virtud del presente Reglamento y,
en su caso, cooperar a tal fin con las autoridades de control de otros Estados
miembros.
6. Tratar las reclamaciones presentadas por un interesado o por un
organismo, organización o asociación de conformidad con el artículo 80, e
investigar, en la medida oportuna, el motivo de la reclamación e informar al
reclamante sobre el curso y el resultado de la investigación en un plazo
razonable, en particular si fueran necesarias nuevas investigaciones o una
coordinación más estrecha con otra autoridad de control.
7. Cooperar, en particular compartiendo información, con otras autoridades
de control y prestar asistencia mutua con el fin de garantizar la coherencia en
la aplicación y ejecución del presente Reglamento.
8. Llevar a cabo investigaciones sobre la aplicación del presente
Reglamento, en particular basándose en información recibida de otra autoridad
de control u otra autoridad pública.
9. Hacer un seguimiento de cambios que sean de interés, en la medida en que
tengan incidencia en la protección de datos personales, en particular el
desarrollo de las tecnologías de la información y la comunicación y las
prácticas comerciales.
10. Adoptar las cláusulas contractuales tipo a que se refieren el artículo
28, apartado 8, y el artículo 46, apartado 2, letra d).
11. Elaborar y mantener una lista relativa al requisito de la evaluación de
impacto relativa a la protección de datos, en virtud del artículo 35, apartado
4.
12. Ofrecer asesoramiento sobre las operaciones de tratamiento contempladas
en el artículo 36, apartado 2.
13. Alentar la elaboración de códigos de conducta con arreglo al artículo
40, apartado 1, y dictaminar y aprobar los códigos de conducta que den
suficientes garantías con arreglo al artículo 40, apartado 5.
14. Fomentar la creación de mecanismos de certificación de la protección de
datos y de sellos y marcas de protección de datos con arreglo al artículo 42,
apartado 1, y aprobar los criterios de certificación de conformidad con el
artículo 42, apartado 5.
15. Llevar a cabo, si procede, una revisión periódica de las
certificaciones expedidas en virtud del artículo 42, apartado 7.
16. Elaborar y publicar los criterios para la acreditación de organismos de
supervisión de los códigos de conducta con arreglo al artículo 41 y de
organismos de certificación con arreglo al artículo 43.
17. Efectuar la acreditación de organismos de supervisión de los códigos de
conducta con arreglo al artículo 41 y de organismos de certificación con
arreglo al artículo 43.
18. Autorizar las cláusulas contractuales y disposiciones a que se refiere
el artículo 46, apartado 3.
19. Aprobar normas corporativas vinculantes de conformidad con lo dispuesto
en el artículo 47.
20. Contribuir a las actividades del Comité.
21. Llevar registros internos de las infracciones del presente Reglamento y
de las medidas adoptadas de conformidad con el artículo 58, apartado 2.
22. Desempeñar cualquier otra función relacionada con la protección de los
datos personales.
Mayor seguridad en el tratamiento de datos
La evolución tecnológica exige un seguimiento progresivo del tratamiento de
datos personales y asegurar un nivel adecuado de protección.
Por un lado, se crea la figura del “Delegado de protección de datos” (data
protection officer, DPO), designado por el responsable y el
encargado del tratamiento, cuya función es cooperar con la autoridad de
control, informar y asesorar tanto al responsable como al encargado y empleados
del tratamiento, y supervisar que se cumpla lo establecido en la legislación
europea y nacional en materia de protección de datos. En principio no es
obligatorio crear un delegado de protección de datos salvo que se trate de:
1. Administraciones públicas
2. Entidades con más de 250 trabajadores
3. Entidades que trate datos personales a gran escala o monitorice dichos
datos
4. Entidades que traten datos personales especialmente protegidos
Para poder ejercer como Delegado de Protección de Datos es necesario
acreditar una formación y conocimientos especializados en protección de datos y
su contratación podrá realizarse de forma externa o a través de promoción
interna.
Por otro lado, el artículo 35.1 del Reglamento europeo
establece otro mecanismo para el correcto tratamiento a través de la “evaluación
de impacto de la privacidad” (Privacy Impact Assessments, PIA):
“Cuando sea probable que un tipo de tratamiento, en particular si utiliza
nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un
alto riesgo para los derechos y libertades de las personas físicas, el
responsable del tratamiento realizará, antes del tratamiento, una evaluación
del impacto de las operaciones de tratamiento en la protección de datos
personales. Una única evaluación podrá abordar una serie de operaciones de
tratamiento similares que entrañen altos riesgos similares”.
Hay que tener en cuenta que los datos no solo circulan entre ordenadores
(PC o portátiles), también nos encontramos con los Big Data (almacenamiento
masivo de datos en servidores), los dispositivos biométricos o de
geolocalización, los weareables (por ejemplo los relojes o gafas inteligentes),
que crean nuevos riesgos de seguridad en materia de privacidad. Para preservar
el correcto tratamiento de los datos, es obligatorio llevar a cabo una previa
evaluación del impacto que puede tener en dichos dispositivos y analizar los
elevados riesgos futuros. El Reglamento europeo pretende fomentar la cultura de
la prevención desde el inicio.
En cuanto a la circulación de datos personales a un país tercero
u organización internacional que no pertenezca a la Unión Europea, el
reglamento también establece mayor control permitiendo que solo se realicen
transferencias de datos si estos son tratados en el tercer país (art. 44
Reglamento europeo). Además, para la posible transferencia de datos,
debe existir un nivel adecuado de protección, cumpliendo para ello las
condiciones establecidas en el Reglamento. La novedad recae en la obligación de
acreditar que se han establecido las medidas de seguridad necesarias y se
llevarán a cabo políticas de prevención (art. 46 Reglamento europeo).
Finalmente el Reglamento obliga al responsable del tratamiento a notificar
a la autoridad de control, en un máximo de 72 horas, toda
violación de la seguridad de los datos personales. Igualmente, el
encargado del tratamiento debe notificarlo al encargado del tratamiento se
tuviera conocimiento de ello, siguiendo así un orden jerárquico. Además, los
responsables del tratamiento deben comunicar dicha violación al interesado “sin
dilación indebida” y en un lenguaje claro y sencillo.
Códigos de conducta
Otra novedad
del Reglamento europeo es la obligación de los estados miembros a promover “la
elaboración de códigos de conducta destinados a contribuir a la correcta
aplicación del presente Reglamento, teniendo en cuenta las características
específicas de los distintos sectores de tratamiento y las necesidades
específicas de las microempresas y las pequeñas y medianas empresas”. No
solo se pretende armonizar la legislación a nivel europeo, también se quiere
una mayor participación de todos los actores: las administraciones públicas,
los organismos internacionales, asociaciones y empresas. El mundo tecnológico
abarca muchos ámbitos, sectores, cuya dinámica es distinta. Las empresas de
cada sector cuentan con unas determinadas necesidades, unos modelos de
tratamiento de datos diferentes que los lleva a buscar patrones a medida. Los
códigos de conducta vendrían a ser un referente para cada sector económico,
ayudando a adaptar la política de privacidad a sus necesidades y estructura de
acuerdo con la legislación europea y local.