1.
Aprobación del nuevo Reglamento General.
El Parlamento Europeo ha aprobado el nuevo y relevante Reglamento General de
Protección de Datos (RGPD), que deroga la Directiva europea de Protección de
Datos de 1995, tras veinte años de vigencia. Esta aprobación parlamentaria pone
fin a más de cuatro años de trabajo para reformar profundamente la normativa
europea sobre privacidad. El objetivo del nuevo Reglamento general es ofrecer
más control a los ciudadanos sobre su información personal en un mundo
digitalizado de teléfonos inteligentes, geolocalización, redes sociales,
Smart Cities, banca por internet, Big Data y transferencias globales.
Como han destacado las autoridades europeas, «es un acuerdo fundamental con
consecuencias importantes. Esta reforma no solo refuerza los derechos de los
ciudadanos, sino también adapta a la era digital la normativa para las empresas,
al tiempo que reduce la carga administrativa». No podemos olvidar que la
protección de las personas en relación con el tratamiento de sus datos
personales es un derecho fundamental consagrado en la Carta de los Derechos
Fundamentales de la UE (artículo 8) y en el Tratado de Funcionamiento de la
Unión Europea (artículo 16).
Una novedad significativa es que el Reglamento será de aplicación con efecto
directo en todos los Estados miembros de la Unión Europea, para cumplir así su
objetivo de superar la fragmentación normativa existente y modernizar los
principios de privacidad en Europea.
Asimismo, la nueva legislación facilitará la actividad empresarial y corporativa
transfronteriza, la libre circulación de datos personales y la mayor garantía de
los derechos y libertades fundamentales de los ciudadanos europeos. En interés
de los ciudadanos europeos, regula particularmente los derechos
de acceso, rectificación, cancelación y oposición, junto al reconocimiento de
dos nuevos derechos: el derecho al olvido digital y la portabilidad de datos.
El RGPD busca mejorar el nivel de protección de los datos de las personas
físicas cuyos datos personales se someten a operaciones y procesamiento
automatizado, así como aumentar las oportunidades de negocio y libertad de
movimiento en el mercado único digital, en particular mediante la reducción de
la burocracia administrativa.
Los principios y normas sobre el tratamiento de los datos personales de las
personas físicas se fundamentan en el respeto de los derechos y libertades
fundamentales, en particular del derecho a la protección de los datos de
carácter personal.
En consecuencia, el Reglamento general se rige por las siguientes directrices:
-
Incluye normas más específicas que permiten a los responsables y encargados
del tratamiento procesar datos de carácter personal. En particular exige el
consentimiento de las personas físicas afectadas u otros títulos jurídicos
habilitantes, como la existencia de disposición legal o de relación
contractual.
-
La mejora de la información sobre el uso y destino específico de los datos
personales cuando se comparten, en particular la información a las personas
físicas mediante las políticas de privacidad en un lenguaje claro y sencillo
o a través de iconos normalizados.
-
El tratamiento de los datos personales relativos a niños menores de 16 años
o, en caso de que el Derecho de un Estado miembro disponga una edad menor,
pero en ningún caso inferior a los 13 años, sólo será lícito si dicho
consentimiento ha sido dado o autorizado por el titular de la autoridad
parental sobre el niño.
-
Se regula la información que deberá facilitarse cuando los datos no hayan
sido directamente obtenidos del interesado.
-
Derecho de acceso más fácil a los datos personales de los interesados.
-
El derecho a oponerse por motivos relacionados con la situación particular
del interesado al tratamiento de datos personales relacionado con el interés
público o con los intereses legítimos del responsable del tratamiento. Este
derecho incluye el uso de datos de carácter personal a efectos de la
«elaboración de perfiles».
-
El derecho «al olvido» (supresión, también en el sentido de «desindexación»)
de los datos personales y, que permite, por ejemplo, que los interesados
exijan la supresión, sin demora, de datos personales recogidos o publicados
en una red social o en un motor de búsqueda.
-
El derecho a la portabilidad debe facilitar la transmisión de datos
personales de un proveedor de servicios, como una red social, a otro en un
formato estructurado y de uso habitual y de lectura mecánica. Este derecho
aumentará los derechos en materia de protección de datos y también mejorará
la competencia efectiva entre proveedores de servicios.
-
Obligación de notificación relativa a la rectificación, supresión o
limitación a cada uno de los destinatarios a los que se hayan comunicado los
datos, salvo que ello sea imposible o exija un esfuerzo desproporcionado. El
responsable del tratamiento informará al interesado acerca de estos
destinatarios, si el interesado así lo solicitara.
-
Salvaguardias comunes que afectan al tratamiento de datos personales con
fines de archivo por razones de interés público o para fines de
investigación científica e histórica o estadísticos.
-
Derecho a presentar una reclamación ante una autoridad de control y derecho
a un recurso judicial efectivo contra una autoridad de control por
tribunales nacionales, con independencia del Estado miembro en que esté
establecido el responsable del tratamiento.
El Reglamento general establece una normativa única, válida en toda la UE y
aplicable al tratamiento de datos personales en el contexto de las actividades
de un establecimiento del responsable o del encargado del tratamiento en la
Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
El Reglamento establece una serie de medidas para aumentar la responsabilidad y
la rendición de cuentas de los responsables del tratamiento a fin de garantizar
el pleno cumplimiento de las nuevas normas de protección de datos. Los
responsables del tratamiento deben poner en práctica una serie de medidas de
seguridad, incluida la obligación de notificar las violaciones de datos
personales en determinados casos.
Para que la efectividad de las normas contenidas en el Reglamento resistan el
paso del tiempo y la permanente innovación tecnológica, se introducen los
principios de protección de datos «desde el diseño y por defecto», de tal manera
que el responsable del tratamiento cumpla los requisitos del Reglamento y se
protejan realmente los derechos de los interesados desde la planificación de los
proyectos («desde el diseño») y en todo caso («por defecto»).
Entre las medidas particulares que contempla el Reglamento general, destaca que
el responsable y el encargado del tratamiento estarán obligados a designar un
«delegado de protección de datos» para garantizar el cumplimiento de la
normativa en ciertos supuestos.
Los interesados y, en determinadas condiciones, las organizaciones de protección
de datos podrán presentar reclamaciones ante una autoridad de control o
interponer un recurso en caso de que no se cumplan las normas de protección de
datos.
En caso de infracción de la normativa establecida, los responsables del
tratamiento pueden enfrentarse a multas de hasta 20.000.000 de euros o el 4 % de
su volumen de negocios anual mundial, por incumplimiento de las resoluciones de
la autoridad de control.
El Reglamento general formula y actualiza los principios relativos al
tratamiento de datos personales, pues los datos personales deberán ser: tratados
de manera lícita, leal y transparente en relación con el interesado («licitud,
lealtad y transparencia»); recogidos con fines determinados, explícitos y
legítimos («limitación de la finalidad»); adecuados, pertinentes y
limitados a lo necesario en relación con los fines para los que son tratados («minimización
de datos»); exactos y, si fuera necesario, actualizados («exactitud»);
mantenidos de forma que se permita la identificación de los interesados durante
no más tiempo del necesario para los fines por los que se tratan los datos
personales («limitación del plazo de conservación»); tratados de tal
manera que se asegure una seguridad adecuada de los datos personales, incluida
la protección contra el tratamiento no autorizado o ilícito y contra su pérdida,
destrucción o daño accidentales («integridad y confidencialidad») y
además el responsable del tratamiento será responsable y capaz de demostrar el
cumplimiento normativo («rendición de cuentas»).
El Reglamento general se inspira en la protección real y efectiva de los datos
personales y comprende un conjunto armonizado de derechos, no sólo al reconocer
los ya existentes en normas internacionales y nacionales como los de acceso,
rectificación, cancelación y oposición, sino también al configurar dos nuevos
derechos: el «olvido
digital», también denominado supresión (art. 17 RGPD) y la «portabilidad de
datos» (art. 18 RGPD).
2.5.1.
Derecho al olvido.
La nueva configuración del Derecho al Olvido viene recogida en el artículo 17
del Reglamento general y se configura por vez primera como un derecho autónomo a
los denominados «derechos ARCO» (acceso, rectificación, cancelación y
oposición). Su objeto trasciende el contenido del derecho de cancelación
en el entorno digital, según se ha venido aplicando en cumplimiento de la
Directiva europea de privacidad y de las normas nacionales. Por ejemplo, el
olvido digital supera la necesidad de solicitar al titular de una página web la
previa o simultánea eliminación de una determinada información no adecuada y
excesiva, para solicitar su posterior desindexación (Sentencia del Tribunal de
Justicia de la Unión Europea (Gran Sala), de 13 de mayo de 2014 (C-131/12 -
Google Spain y Google)).
Resulta relevante destacar que este derecho incide en la esfera del Responsable
del tratamiento, esto es, la entidad, corporación, sitio web o red social que
trata los datos. El Responsable del tratamiento deberá optar entre limitar el
tratamiento o bien suprimir sin demora la información, ponderando caso por caso
el alcance de este derecho con el derecho a la libertad de expresión, la salud
pública, el deber de conservación de los datos para dar cumplimiento a una
obligación legal y el interés público.
2.5.2.
Derecho a la portabilidad de datos.
La
portabilidad de los datos es el otro nuevo derecho reconocido en el artículo 18
del RGPD. Atribuye al interesado la facultad de «recibir los datos personales
que le incumban, que haya facilitado a un responsable del tratamiento, en un
formato estructurado y de uso habitual y de lectura mecánica y a transmitirlos a
un responsable del tratamiento, en un formato estructurado y de uso habitual y
de lectura mecánica y a transmitirlos a otro responsable del tratamiento sin que
lo impida el responsable del tratamiento al que se hubieran facilitado los
datos».
2.5.3.
Menores.
El ámbito de los Menores es uno de los más delicados y agudos de los que se
encuentran en la Protección de Datos, y sorprende la atención que se le ha
prestado ya desde la Propuesta de Reglamento, no sólo en sede de principios,
como por ejemplo en los de calidad de datos y habilitación para el tratamiento,
sino también en la regulación contenida en el artículo 8 del RGPD sobre
«condiciones aplicables al consentimiento del menor en relación con los
servicios de la sociedad de la información».
Estas normas pueden aplicarse también de forma análoga a otros ámbitos
directamente relacionados con los niños, tales como el tratamiento de datos para
disposiciones testamentarias, de salud o de ideología, religión y creencia de
los menores. Así, en relación con la oferta directa de servicios de la sociedad
de la información a menores, únicamente será lícito el tratamiento de los datos
personales de menores de 16 años o, en caso de que el Derecho de un Estado
miembro disponga una edad menor, pero en ningún caso inferior a los 13 años, si
dicho consentimiento resulta dado o autorizado por el titular de la autoridad
parental sobre el niño.
El Reglamento general establece el nombramiento de un «responsable de la
protección de datos» (Data Protection Officer, DPO) para ayudar a las
autoridades competentes a garantizar el cumplimiento de la normativa sobre
protección de datos.
Otro instrumento para garantizar el cumplimiento es la «evaluación de impacto en
la privacidad» (Privacy Impact Assessments, PIA), aplicable en el caso de
que sea probable que un tratamiento suponga un riesgo elevado para los derechos
y las libertades de personas físicas. En tales supuestos, las autoridades
competentes deberán efectuar previa o simultáneamente una evaluación del posible
impacto de un tratamiento determinado, en particular cuando se utilice una
tecnología nueva.
Otro aspecto relevante a tener en cuenta es el de las sanciones. El nuevo
Reglamento pretende unificar los criterios comunitarios para la imposición de
sanciones, así como aumentar su cuantía para garantizar la mayor protección de
un derecho fundamental como la privacidad.
Se amplía así el alcance de las sanciones contra los responsables y encargados
del tratamiento que no cumplan con la normativa, y se faculta a las Autoridades
Nacionales de Protección de Datos a imponer sanciones administrativas de hasta
20 millones de euros o el 4% de su volumen de negocios total anual.
Además, se reconoce el derecho de los interesados a presentar una reclamación a
la Autoridad de Control nacional, así como su derecho a la tutela judicial
efectiva ante los órganos jurisdiccionales de cualquier Estado Miembro.
El Reglamento general refuerza la posición de las Autoridades como
instancias independientes y especializadas de tutela del derecho a la protección
de datos. Se amplían y armonizan sus poderes, sobre todo mediante el
reconocimiento de una potestad sancionadora generalizada.
Además se establecen mecanismos de cooperación y coordinación entre las
Autoridades de control, cuyo máximo exponente será la figura del nuevo Consejo
Europeo de Protección de Datos, heredero, con nuevas funciones y capacidades,
del actual Grupo de Trabajo del artículo 29.
-
Se reconocen nuevos derechos de los ciudadanos: derecho al olvido y derecho
a la portabilidad de los datos.
-
Creación de la figura del Delegado de Protección de Datos (DPO, Data
Protection Officer).
-
Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para
determinar el cumplimiento normativo.
-
Obligación de registrar documentalmente las operaciones de tratamiento, por
parte de los Responsables de Fichero y de los Encargados de Tratamiento.
-
Nuevas notificaciones a la Autoridad de Control: brechas de seguridad y
autorización previa para determinados tipos de tratamiento.
-
Nuevas obligaciones de información al interesado, mediante un sistema de
iconos armonizado para todos los países de la UE.
-
Incremento de la cuantía de las sanciones.
-
Aplicación del concepto "Ventanilla Única" (One-stop-shop), para que
los ciudadanos interesados puedan efectuar trámites, aunque afecten a
autoridades de otros estados miembros.
-
Establecimiento de obligaciones para nuevas categorías especiales de datos.
-
Nuevos principios en las obligaciones de información: transparencia y
minimización de datos.
|