1. Un nuevo Reglamento, una nueva figura para la protección de datos.
La Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos[1], tras veinte años de vigencia, precisaba de un marco jurídico nuevo, coherente y homogéneo, para garantizar el derecho fundamental a la protección de datos en la Unión Europea.
Por ello acaba de quedar derogada mediante la aprobación de un nuevo y relevante Reglamento General de Protección de Datos (RGPD). Su ámbito de aplicación va a ser europeo y tendrá efecto directo en cada Estado miembro. Su objetivo será superar la fragmentación normativa existente y modernizar los principios de privacidad en la Unión Europea. Se espera que el texto oficial quede publicado en 2016 y que pueda entrar en vigor dos años más tarde, en 2018.
El RGPD constituye un conjunto unitario y actualizado de reglas aplicables al procesamiento de datos de ciudadanos europeos en todo el territorio de la Unión Europea. Evitará así la fragmentación del mercado dentro de la Unión, derivada de la transposición de la Directiva de 1995 a las legislaciones nacionales sobre protección de datos.
Entre los principales objetivos del RGPD se encuentra facilitar la actividad empresarial y corporativa transfronteriza, la libre circulación de datos personales y la mayor garantía de los derechos y libertades fundamentales de los ciudadanos europeos. En interés de los ciudadanos europeos, regula los derechos de acceso, rectificación, cancelación y oposición, junto al reconocimiento de dos nuevos derechos: el derecho al olvido digital y la portabilidad de datos.
Asimismo, el Reglamento General aborda cuestiones tan novedosas como la creación de perfiles o la seudonimización, relevantes en entornos y procesos de Cloud Computing y Big Data, e incorpora los principios del análisis de riesgos y la «privacidad por defecto y por diseño». Destaca también como novedad que el ámbito de aplicación del RGPD se extenderá más allá de las fronteras de la UE y afectará a organizaciones, entidades y empresas que, aunque no estén establecidas en territorio europeo, ofrezcan bienes y servicios a residentes de la UE o monitoricen sus conductas de comportamiento.
Ante esta situación, en la Unión Europea se ha hecho necesario establecer una regulación más transparente y una unidad de aplicación del Derecho europeo que imponga a los responsables y encargados de tratamiento el mismo nivel de obligaciones, una supervisión coherente y unas sanciones equivalentes en todo el territorio de la Unión.
El Reglamento establece así una serie de medidas para aumentar la responsabilidad y la rendición de cuentas (“accountability”) de los responsables del tratamiento para garantizar el pleno cumplimiento de las nuevas normas de protección de datos. En consecuencia, los responsables del tratamiento deben poner en práctica una serie de medidas de seguridad, incluida la obligación de notificar las violaciones de datos personales en determinados casos.
El espíritu práctico que parece inspirar el Reglamento General y el objetivo de que sus normas resistan el paso del tiempo y la permanente innovación tecnológica, motiva la efectiva incorporación de los principios de protección de datos «desde el diseño y por defecto». Principalmente se pretende que el responsable del tratamiento (empresas, organizaciones, instituciones, corporaciones, etc.) cumpla efectivamente las normas del Reglamento y se protejan realmente los derechos de los interesados desde la planificación de los proyectos («desde el diseño») y en todo caso («por defecto»).
Entre las medidas más novedosas que contempla el Reglamento General destaca que el responsable y el encargado del tratamiento estarán obligados a designar un «delegado de protección de datos» (DPO, “Data Protection Officer”) para garantizar el cumplimiento de la normativa en ciertos supuestos[2], como seguidamente se analizará.
En este marco, los interesados y, en determinadas condiciones, las organizaciones de protección de datos podrán presentar reclamaciones ante una autoridad de control o interponer recurso en caso de que no se cumplan las normas de protección de datos. En el supuesto de infracción de la normativa establecida o por incumplimiento de las resoluciones de la autoridad de control, los responsables del tratamiento pueden enfrentarse a multas de hasta 20.000.000 de euros o el 4 % de su volumen de negocios anual mundial.
2. El «Delegado de Protección de Datos».
2.1. Nuevos entornos digitales.
El reto tecnológico y jurídico que representa actualmente el desarrollo, expansión y popularización de la Red de redes y de sus numerosas aplicaciones tecnológicas precisa necesariamente una aproximación global por su naturaleza transversal o multipropósito y su alcance internacional.
No hay duda de que asistimos a la regulación en privacidad de mayor calado para los años venideros, con nuevas reglas legales, el reconocimiento de derechos fundamentales y de principios de calidad de los datos y habilitación legítima para el tratamiento, motivada por la urgencia de una regulación estable que conforme las sociedades futuras en entornos digitalizados y de procesamiento masivo y transfronterizo de información personal.
La actual revisión de instrumentos internacionales en privacidad alcanza a todos los niveles de gobierno y organización, no sólo en Europa, sino también en entornos internacionales y sectoriales, además de corporativos.
En este sentido, el marco global de la privacidad también queda delimitado por los principios de toda sociedad democrática y respetuosa con los derechos fundamentales, pues sin la privacidad, como afirma Piñar Mañas, «no puede hablarse ni de respeto a la dignidad ni de libertad» (Piñar Mañas, 2008)[3]. Además, la privacidad se encuentra hoy en día sujeta a diversas tensiones, incluso retos, en relación con la libertad de expresión, con la transparencia y acceso a la información, con los intereses y evolución del mercado y con la lucha por la seguridad ciudadana (Piñar Mañas & Canales Gil, 2008)[4].
Es precisamente en este amplio horizonte digital y tecnológico en el que la figura del Delegado de Protección de Datos (“Data Protection Officer”, DPO), novedosamente diseñada por el Reglamento General, cobra pleno sentido y aplicación práctica relevante para cada responsable y encargado del tratamiento, más en el supuesto de procesamientos masivos de datos o que afecten a categorías de datos especialmente protegidos (por ejemplo, salud, religión, creencias, datos de menores o de afiliación política o sindical).
2.2. Características del «Delegado de Protección de Datos» (DPO).
2.2.1. Obligatorio en ciertos casos.
La figura del DPO (“Data Protection Officer”) ha sido objeto de intensos debates sobre su carácter obligatorio y universal para todas las entidades e instituciones. Finalmente el Delegado de Protección de Datos regulado en el Reglamento será un instrumento voluntario para el responsable y el encargado del tratamiento, aunque con excepciones, con el fin de velar por el cumplimiento legal y técnico en las entidades.
Conviene aclarar que el Data Protection Officer es una figura necesaria para las entidades, empresas, instituciones o cualquier agente que procese datos personales. Si bien en la práctica sería la persona ocupada de las cuestiones sobre protección de datos y privacidad, su designación no exime a la propia institución u organización de responsabilidad de cuanto se haga con los datos de las personas ni del cumplimiento de las normas del Reglamento.
Existe así la obligación de contratar un Delegado de Protección de Datos (DPO) en organizaciones e instituciones públicas y en entidades con más de 250 trabajadores. En el caso de entidades con menos de 250 empleados, será obligatorio el DPO cuando necesiten un seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten los citados datos catalogados de especialmente protegidos.
2.2.2. Funciones.
Las entidades podrán determinar y ampliar las funciones de los Delegados de Protección de Datos, que deberá tener al menos los siguientes cometidos:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el Reglamento, en otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización;
e) cooperar con la autoridad de control;
f) actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento de datos personales incluida la consulta previa, y consultar en su caso, sobre cualquier otro asunto.
2.2.3. Responsabilidades.
La principal responsabilidad del DPO consiste en garantizar el cumplimiento de la normativa de privacidad y protección de datos de su organización, institución, empresa o corporación.
El responsable y el encargado del tratamiento estarán obligados a designar un delegado de protección de datos para garantizar dicho cumplimiento normativo en los siguientes supuestos:
1) todas las organizaciones públicas, a excepción de los tribunales en ejercicio de la potestad jurisdiccional;
2) entidades que desarrollen "profilling" (registro y análisis de las características psicológicas y de comportamiento de una persona, a fin de evaluar o predecir sus capacidades en un determinado ámbito o para ayudar en la identificación de las categorías de personas),
3) entidades que requieran monitorización periódica y sistemática de los titulares de los datos a gran escala (desde solvencia patrimonial, investigación de mercados o en controles asociados a la productividad y hasta el análisis de riesgos),
4) entidades cuya actividad principal consista en tratamiento de categorías especiales de datos (datos que revelen el origen racial o étnico, ideología, religión o creencias filosóficas, afiliación sindical, datos genéticos, y el tratamiento de datos biométricos para identificar unívocamente a una persona, así como los relativos a la salud y vida y orientación sexual, y datos relativos a condenas y antecedentes penales) y cuando lo disponga el Derecho de la Unión o el del Estado miembro.
2.2.4. Competencia profesional.
La figura del DPO queda definida así para las entidades e instituciones:
1) Tendrán que ser profesionales que puedan acreditar formación y conocimientos especializados en materia de protección de datos.
2) Sus funciones básicamente serán asegurar el cumplimiento normativo de la protección de datos, haciendo compatible el funcionamiento de la organización, la consecución de los objetivos lícitos y legítimos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información.
3) El DPO será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.
4) El DPO puede establecerse a través de contratación externa o mediante designación dentro de la plantilla de la organización.
2.3. Diferencia con el «responsable de seguridad».
Con la incorporación del DPO se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la normativa de protección de datos.
La diferencia más significativa entre el Responsable de Seguridad y el Delegado de Protección de Datos es la exclusividad de éste último en sus funciones.
El DPO ya no será, como hasta ahora, la persona que se designaba como Responsable de Seguridad, ocurriendo que, sin apenas justificación, se elegía a profesionales sin la adecuada capacitación. El DPO deberá ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar los cometidos contemplados en el Reglamento.
2.4. Independencia del DPO.
El DPO podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.
El RGPD aclara que el responsable o el encargado velarán por que el DPO sea plenamente independiente y no reciba ninguna instrucción en lo que respecta al ejercicio de estos cometidos. No será destituido ni sancionado por el responsable o el encargado del tratamiento por desempeñar sus cometidos. El delegado de protección de datos informará directamente al más alto nivel de dirección del responsable o del encargado del tratamiento.
2.5. Evaluación de impacto en la privacidad.
El Reglamento General contempla otro instrumento para garantizar el cumplimiento es la «evaluación de impacto en la privacidad» (Privacy Impact Assessments, PIA), aplicable en el caso de que sea probable que un tratamiento suponga un riesgo elevado para los derechos y las libertades de personas físicas.
El auge de nuevos modelos de negocio, comunicaciones y medios tecnológicos, tales como las tecnologías wearables, la expansión del Internet of Things (IoT), la progresiva implantación de soluciones de cruzamiento masivo de datos o Big Data, el procesamiento de datos sensibles de carácter religioso o ideológico, el tratamiento de datos biométricos, la geolocalización, las nuevas fronteras en el ámbito de la ciberseguridad, hasta el fingerprinting o la tecnología de reconocimiento facial en redes sociales, dan lugar a nuevos riesgos que pueden tener consecuencias con carácter simultáneo en distintas localizaciones, lo que da valor no solamente al desarrollo de este marco unificado a nivel europeo, sino también a la necesaria existencia de los Data Protection Officer en el seno de las organizaciones.
Así, el Reglamento General exige en su artículo 33 la evaluación de impacto relativa a la protección de datos cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas.
En estos casos, el responsable del tratamiento está obligado, antes del tratamiento, a realizar una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales. Una única evaluación servirá para abordar una serie de operaciones de tratamiento similares que planteen riesgos elevados similares.
En particular, el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si ha sido nombrado, al llevar a cabo la evaluación de impacto relativa a la protección de datos.
En tales supuestos, el responsable o el encargado del tratamiento deberán efectuar previa o simultáneamente una evaluación del posible impacto de un tratamiento determinado, en particular cuando se utilice una tecnología nueva. La realización de la «evaluación de impacto en la privacidad» podrá ser recomendada, propuesta, dirigida y coordinada por el DPO en aquellos casos en que sea necesaria.
3. Conclusiones prácticas.
El nuevo Reglamento General afecta a todas las entidades e instituciones que recaben y procesen datos de carácter personal. En la actualidad, en plena expansión de la «sociedad de la información» es prácticamente universal que todas las organizaciones y empresas dispongan de bases de datos de contactos, clientes, empleados, miembros, proveedores, etc.
Además, las entidades que traten datos sensibles (salud, origen racial, religión, vida sexual, creencias, ideología política, afiliación sindical, etc.) están especialmente afectadas por las normas del Reglamento: deberán cumplir, por ejemplo, especiales requisitos que conciernen a la información y al consentimiento de los interesados, que deberá ser claramente expreso y por tanto explícito, y obligatoriamente deberán designar un delegado de protección de datos (DPO).
Entre las novedades más relevantes para las entidades que procesan datos personales, sean o no sensibles, destacan las siguientes:
1) La aplicación del Reglamento es directa en todos los Estados miembros de UE, sin necesidad de transposición normativa a los ordenamientos internos de cada Estado miembro. Se trata de una única norma de protección de datos para todos los Estados de la UE.
2) Las medidas a adoptar e implementar tienen como base el riesgo que conlleve el tratamiento de los datos personales para el afectado.
3) Será necesario designar un "Delegado de Protección de Datos" (DPO) en los supuestos previstos en el Reglamento General y en los casos en que los responsables de tratamiento procesen categoría de datos especialmente protegidos.
4) Habrá que realizar una "Evaluación de impacto de la protección de datos" (PIA), o incluso una consulta previa al tratamiento de los datos personales con la autoridad nacional de protección de datos, si existe un alto riesgo para la persona a la que se refieren los datos en ausencia de la adopción de medidas por el responsable, para mitigarlo.
5) Se aplican nuevos principios de la protección de datos: transparencia, responsabilidad, rendición de cuentas, protección de datos desde el diseño y por defecto.
El “Data Protection Officer” (DPO) tendrá que ser un profesional que acredite formación y conocimientos especializados en materia de protección de datos, si bien podrá establecerse mediante contratación externa o designación dentro de la plantilla de la organización.
Sus funciones serán garantizar el cumplimiento normativo de la privacidad, para compatibilizar el correcto funcionamiento de la entidad con la consecución de los objetivos de su actividad y la garantía del derecho a la protección de datos y la seguridad de la información. Además será el interlocutor necesario con la Autoridad de Control de la Protección de Datos.
[1] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. (1995). Directiva 95/46/CE. http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:31995L0046. DOUE n° L 281 de 23/11/1995 p. 0031 - 0050.
[2] Cfr. art. 35 y ss. RGPD.
[3] Piñar Mañas, J. L. (2008). ¿Existe la privacidad? Madrid: Universidad CEU San Pablo, Lección magistral impartida en la Apertura Solemne del Curso Académico, p. 19.
[4] Piñar Mañas, J. L., & Canales Gil, A. (2008). Legislación de protección de datos. Madrid: Iustel., págs. 91 y ss.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación