El nuevo Reglamento General de Protección de los Datos de la Unión Europea y sus consecuencias jurídicas para las instituciones

LAWYERPRESS

Por Efrén Díaz Díaz, Especialista en Derecho Administrativo, Tecnológico y Geoespacial, Bufete Mas y Calvet

1.      Aprobación del nuevo Reglamento General.

El Parlamento Europeo ha aprobado el nuevo y relevante Reglamento General de Protección de Datos (RGPD), que deroga la Directiva europea de Protección de Datos de 1995, tras veinte años de vigencia. Esta aprobación parlamentaria pone fin a más de cuatro años de trabajo para reformar profundamente la normativa europea sobre privacidad. El objetivo del nuevo Reglamento general es ofrecer más control a los ciudadanos sobre su información personal en un mundo digitalizado de teléfonos inteligentes, geolocalización, redes sociales, Smart Cities, banca por internet, Big Data y transferencias globales.

Como han destacado las autoridades europeas, «es un acuerdo fundamental con consecuencias importantes. Esta reforma no solo refuerza los derechos de los ciudadanos, sino también adapta a la era digital la normativa para las empresas, al tiempo que reduce la carga administrativa». No podemos olvidar que la protección de las personas en relación con el tratamiento de sus datos personales es un derecho fundamental consagrado en la Carta de los Derechos Fundamentales de la UE (artículo 8) y en el Tratado de Funcionamiento de la Unión Europea (artículo 16).

Una novedad significativa es que el Reglamento será de aplicación con efecto directo en todos los Estados miembros de la Unión Europea, para cumplir así su objetivo de superar la fragmentación normativa existente y modernizar los principios de privacidad en Europea.

Asimismo, la nueva legislación facilitará la actividad empresarial y corporativa transfronteriza, la libre circulación de datos personales y la mayor garantía de los derechos y libertades fundamentales de los ciudadanos europeos. En interés de los ciudadanos europeos, regula particularmente los derechos de acceso, rectificación, cancelación y oposición, junto al reconocimiento de dos nuevos derechos: el derecho al olvido digital y la portabilidad de datos.

2.      Principales reformas.

El RGPD busca mejorar el nivel de protección de los datos de las personas físicas cuyos datos personales se someten a operaciones y procesamiento automatizado, así como aumentar las oportunidades de negocio y libertad de movimiento en el mercado único digital, en particular mediante la reducción de la burocracia administrativa.

2.1.   Nivel de protección de los datos.

Los principios y normas sobre el tratamiento de los datos personales de las personas físicas se fundamentan en el respeto de los derechos y libertades fundamentales, en particular del derecho a la protección de los datos de carácter personal.

En consecuencia, el Reglamento general se rige por las siguientes directrices:

• Incluye normas más específicas que permiten a los responsables y encargados del tratamiento procesar datos de carácter personal. En particular exige el consentimiento de las personas físicas afectadas u otros títulos jurídicos habilitantes, como la existencia de disposición legal o de relación contractual.
• La mejora de la información sobre el uso y destino específico de los datos personales cuando se comparten, en particular la información a las personas físicas mediante las políticas de privacidad en un lenguaje claro y sencillo o a través de iconos normalizados.
• El tratamiento de los datos personales relativos a niños menores de 16 años o, en caso de que el Derecho de un Estado miembro disponga una edad menor, pero en ningún caso inferior a los 13 años, sólo será lícito si dicho consentimiento ha sido dado o autorizado por el titular de la autoridad parental sobre el niño.
• Se regula la información que deberá facilitarse cuando los datos no hayan sido directamente obtenidos del interesado.
• Derecho de acceso más fácil a los datos personales de los interesados.
• El derecho a oponerse por motivos relacionados con la situación particular del interesado al tratamiento de datos personales relacionado con el interés público o con los intereses legítimos del responsable del tratamiento. Este derecho incluye el uso de datos de carácter personal a efectos de la «elaboración de perfiles».
• El derecho «al olvido» (supresión, también en el sentido de «desindexación») de los datos personales y, que permite, por ejemplo, que los interesados exijan la supresión, sin demora, de datos personales recogidos o publicados en una red social o en un motor de búsqueda.
• El derecho a la portabilidad debe facilitar la transmisión de datos personales de un proveedor de servicios, como una red social, a otro en un formato estructurado y de uso habitual y de lectura mecánica. Este derecho aumentará los derechos en materia de protección de datos y también mejorará la competencia efectiva entre proveedores de servicios.
• Obligación de notificación relativa a la rectificación, supresión o limitación a cada uno de los destinatarios a los que se hayan comunicado los datos, salvo que ello sea imposible o exija un esfuerzo desproporcionado. El responsable del tratamiento informará al interesado acerca de estos destinatarios, si el interesado así lo solicitara.
• Salvaguardias comunes que afectan al tratamiento de datos personales con fines de archivo por razones de interés público o para fines de investigación científica e histórica o estadísticos.
• Derecho a presentar una reclamación ante una autoridad de control y derecho a un recurso judicial efectivo contra una autoridad de control por tribunales nacionales, con independencia del Estado miembro en que esté establecido el responsable del tratamiento. 

2.2.   «Mercado único digital».

El Reglamento general establece una normativa única, válida en toda la UE y aplicable al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

2.3.   Mejora de instrumentos para garantizar la protección de datos.

El Reglamento establece una serie de medidas para aumentar la responsabilidad y la rendición de cuentas de los responsables del tratamiento a fin de garantizar el pleno cumplimiento de las nuevas normas de protección de datos. Los responsables del tratamiento deben poner en práctica una serie de medidas de seguridad, incluida la obligación de notificar las violaciones de datos personales en determinados casos.

Para que la efectividad de las normas contenidas en el Reglamento resistan el paso del tiempo y la permanente innovación tecnológica, se introducen los principios de protección de datos «desde el diseño y por defecto», de tal manera que el responsable del tratamiento cumpla los requisitos del Reglamento y se protejan realmente los derechos de los interesados desde la planificación de los proyectos («desde el diseño») y en todo caso («por defecto»).

Entre las medidas particulares que contempla el Reglamento general, destaca que el responsable y el encargado del tratamiento estarán obligados a designar un «delegado de protección de datos» para garantizar el cumplimiento de la normativa en ciertos supuestos[1].

Los interesados y, en determinadas condiciones, las organizaciones de protección de datos podrán presentar reclamaciones ante una autoridad de control o interponer un recurso en caso de que no se cumplan las normas de protección de datos.

En caso de infracción de la normativa establecida, los responsables del tratamiento pueden enfrentarse a multas de hasta 20.000.000 de euros o el 4 % de su volumen de negocios anual mundial, por incumplimiento de las resoluciones de la autoridad de control.

2.4.   Principios.

El Reglamento general formula y actualiza los principios relativos al tratamiento de datos personales, pues los datos personales deberán ser: tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); recogidos con fines determinados, explícitos y legítimos («limitación de la finalidad»); adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»); exactos y, si fuera necesario, actualizados («exactitud»); mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan los datos personales («limitación del plazo de conservación»); tratados de tal manera que se asegure una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales («integridad y confidencialidad») y además el responsable del tratamiento será responsable y capaz de demostrar el cumplimiento normativo («rendición de cuentas»).

2.5.   Derechos de los interesados.

El Reglamento general se inspira en la protección real y efectiva de los datos personales y comprende un conjunto armonizado de derechos, no sólo al reconocer los ya existentes en normas internacionales y nacionales como los de acceso, rectificación, cancelación y oposición, sino también al configurar dos nuevos derechos: el «olvido digital», también denominado supresión (art. 17 RGPD) y la «portabilidad de datos» (art. 18 RGPD).

2.5.1.     Derecho al olvido.

La nueva configuración del Derecho al Olvido viene recogida en el artículo 17 del Reglamento general y se configura por vez primera como un derecho autónomo a los denominados «derechos ARCO» (acceso, rectificación, cancelación y oposición). Su objeto trasciende el contenido del derecho de cancelación en el entorno digital, según se ha venido aplicando en cumplimiento de la Directiva europea de privacidad y de las normas nacionales. Por ejemplo, el olvido digital supera la necesidad de solicitar al titular de una página web la previa o simultánea eliminación de una determinada información no adecuada y excesiva, para solicitar su posterior desindexación (Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala), de 13 de mayo de 2014 (C-131/12 - Google Spain y Google)).

Resulta relevante destacar que este derecho incide en la esfera del Responsable del tratamiento, esto es, la entidad, corporación, sitio web o red social que trata los datos. El Responsable del tratamiento deberá optar entre limitar el tratamiento o bien suprimir sin demora la información, ponderando caso por caso el alcance de este derecho con el derecho a la libertad de expresión, la salud pública, el deber de conservación de los datos para dar cumplimiento a una obligación legal y el interés público.

2.5.2.     Derecho a la portabilidad de datos.

La portabilidad de los datos es el otro nuevo derecho reconocido en el artículo 18 del RGPD. Atribuye al interesado la facultad de «recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado y de uso habitual y de lectura mecánica y a transmitirlos a un responsable del tratamiento, en un formato estructurado y de uso habitual y de lectura mecánica y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del tratamiento al que se hubieran facilitado los datos».

2.5.3.     Menores.

El ámbito de los Menores es uno de los más delicados y agudos de los que se encuentran en la Protección de Datos, y sorprende la atención que se le ha prestado ya desde la Propuesta de Reglamento, no sólo en sede de principios, como por ejemplo en los de calidad de datos y habilitación para el tratamiento, sino también en la regulación contenida en el artículo 8 del RGPD sobre «condiciones aplicables al consentimiento del menor en relación con los servicios de la sociedad de la información».

Estas normas pueden aplicarse también de forma análoga a otros ámbitos directamente relacionados con los niños, tales como el tratamiento de datos para disposiciones testamentarias, de salud o de ideología, religión y creencia de los menores. Así, en relación con la oferta directa de servicios de la sociedad de la información a menores, únicamente será lícito el tratamiento de los datos personales de menores de 16 años o, en caso de que el Derecho de un Estado miembro disponga una edad menor, pero en ningún caso inferior a los 13 años, si dicho consentimiento resulta dado o autorizado por el titular de la autoridad parental sobre el niño.

2.6.   Cumplimiento normativo.

El Reglamento general establece el nombramiento de un «responsable de la protección de datos» (Data Protection Officer, DPO) para ayudar a las autoridades competentes a garantizar el cumplimiento de la normativa sobre protección de datos. 

Otro instrumento para garantizar el cumplimiento es la «evaluación de impacto en la privacidad» (Privacy Impact Assessments, PIA), aplicable en el caso de que sea probable que un tratamiento suponga un riesgo elevado para los derechos y las libertades de personas físicas. En tales supuestos, las autoridades competentes deberán efectuar previa o simultáneamente una evaluación del posible impacto de un tratamiento determinado, en particular cuando se utilice una tecnología nueva.

2.7.   Sanciones.

Otro aspecto relevante a tener en cuenta es el de las sanciones. El nuevo Reglamento pretende unificar los criterios comunitarios para la imposición de sanciones, así como aumentar su cuantía para garantizar la mayor protección de un derecho fundamental como la privacidad.

Se amplía así el alcance de las sanciones contra los responsables y encargados del tratamiento que no cumplan con la normativa, y se faculta a las Autoridades Nacionales de Protección de Datos a imponer sanciones administrativas de hasta 20 millones de euros o el 4% de su volumen de negocios total anual.

Además, se reconoce el derecho de los interesados a presentar una reclamación a la Autoridad de Control nacional, así como su derecho a la tutela judicial efectiva ante los órganos jurisdiccionales de cualquier Estado Miembro.

2.8.   Supervisión e indemnización

El Reglamento general refuerza la posición de las Autoridades como instancias independientes y especializadas de tutela del derecho a la protección de datos. Se amplían y armonizan sus poderes, sobre todo mediante el reconocimiento de una potestad sancionadora generalizada.

Además se establecen mecanismos de cooperación y coordinación entre las Autoridades de control, cuyo máximo exponente será la figura del nuevo Consejo Europeo de Protección de Datos, heredero, con nuevas funciones y capacidades, del actual Grupo de Trabajo del artículo 29.

3.      Aplicaciones prácticas.

1. Se reconocen nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos.
2. Creación de la figura del Delegado de Protección de Datos (DPO, Data Protection Officer).
3. Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para determinar el cumplimiento normativo.
4. Obligación de registrar documentalmente las operaciones de tratamiento, por parte de los Responsables de Fichero y de los Encargados de Tratamiento.
5. Nuevas notificaciones a la Autoridad de Control: brechas de seguridad y autorización previa para determinados tipos de tratamiento.
6. Nuevas obligaciones de información al interesado, mediante un sistema de iconos armonizado para todos los países de la UE.
7. Incremento de la cuantía de las sanciones.
8. Aplicación del concepto "Ventanilla Única" (One-stop-shop), para que los ciudadanos interesados puedan efectuar trámites, aunque afecten a autoridades de otros estados miembros.
9. Establecimiento de obligaciones para nuevas categorías especiales de datos.
10. Nuevos principios en las obligaciones de información: transparencia y minimización de datos.