En los próximos días se va a publicar en el Diario Oficial de la Unión Europea el tan esperado Reglamento General de Protección de Datos (RGPD), que supone un hito legislativo de enorme relevancia, no sólo por el alcance y rango legislativo (aplicación directa en todos los estados miembros de la Unión) sino, sobre todo, porque afecta a una materia ya en sí misma esencial, el derecho fundamental a la privacidad y a la protección de los datos personales. Es innegable que, en estos años que vivimos, esta materia se está convirtiendo en el talón de Aquiles de gran parte de los desarrollos tecnológicos y nuevos negocios que irrumpen en la economía digital.
El Reglamento entrará en vigor a los 20 días de su publicación pero únicamente será de obligado cumplimiento a los dos años desde la publicación. La elección de esta fórmula plantea algunas dudas pues aunque no sea de obligado cumplimiento, ¿puede un sujeto decidir someterse al Reglamento y dejar de cumplir, total o parcialmente, la Ley Orgánica de Protección de Datos (LOPD)? ¿Puede, además, dejar de cumplir la norma reglamentaria que desarrolla la LOPD (Real Decreto 1720/2007)? Lo cierto es que, mientras la LOPD siga estando en vigor y no sea modificada, la norma nacional seguirá siendo de obligado cumplimiento y no podrá ser desterrada voluntariamente por ningún sujeto obligado. No obstante, ya advertimos que será necesario adoptar medidas de carácter legislativo en España a lo largo de los próximos dos años para evitar, a la finalización del referido plazo, los problemas de convivencia que se generarían entre la redacción actual de la LOPD y su norma de desarrollo, por un lado, y el RGPD, por otro lado.
Vamos a referirnos en las próximas líneas sólo a algunas de las cuestiones destacables en el RGPD en relación con el reforzamiento de los derechos de los interesados, en particular, el nivel de información que debe darse a los mismos, la relación entre el responsable y el encargado del tratamiento de los datos personales, el famoso Derecho al Olvido y la introducción de la figura del Delegado de Protección de Datos. Dejamos para otra ocasión otros elementos para el análisis, tales como los interesantes cambios en el ámbito de aplicación territorial, que amplía enormemente el existente hasta la fecha (estarán obligadas todas las empresas residentes en la Unión Europea, pero también las que, no estando radicadas en la Unión, traten datos de residentes de la Unión Europea en relación con servicios ofrecidos a los mismos en el territorio de la Unión o con el análisis de sus comportamientos); o el endurecimiento del régimen sancionador, que algunos ya han calificado de desproporcionado (las sanciones pueden llegar hasta los 20 millones de euros, o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, lo que sea más alto).
1.- Fortalecimiento de las obligaciones de información a los interesados.
Una de las modificaciones introducidas por el Reglamento Europeo deriva de la aplicación del principio de transparencia, ya que se refuerza la información que se debe facilitar a los titulares de los datos, tanto en el supuesto de que los datos se recaben directamente del interesado como si los datos se obtienen de otra fuente.
En ambos supuestos deberá facilitarse al titular del dato, además de la información obligatoria ya establecida en la normativa española actual, información, entre otros aspectos, sobre: la base jurídica del tratamiento, la intención de realizar transferencias internacionales, el plazo de conservación de los datos o el derecho a la portabilidad de los datos.
Por otra parte, en lo que respecta al interesado cuyos datos se han obtenido de otra fuente, la información anteriormente indicada deberá facilitarse en el plazo máximo de un mes (en lugar de los tres meses indicados en la actual LOPD) a contar desde la primera comunicación o momento el que se comuniquen los datos de los interesados a un destinatario, salvo que la información ya fuese anteriormente conocida por el titular del dato o cuando facilitar la información al interesado resulte imposible o exija un esfuerzo desproporcionado.
Es decir, la obligación de información se refuerza drásticamente, lo cual, sin duda, exigirá un esfuerzo considerable para los responsables del fichero de cara a adecuar sus cláusulas de información a los interesados, especialmente en materia de conservación de datos y transferencias internacionales, debiendo ser muy cautelosos en la forma de facilitar la información al objeto de poder acreditar con posterioridad que la misma ha sido facilitada.
2.- Relación entre el responsable y el encargado del tratamiento.
El Reglamento Europeo matiza las cuestiones que deberá regular el contrato que se formalice entre el responsable y el encargado del tratamiento. Entre otros aspectos, establece la obligación del encargado de colaborar con el responsable para que éste cumpla de la mejor manera posible las obligaciones que le corresponden frente a los interesados, regula la obligación del encargado de cooperar y facilitar las obligaciones de seguridad que corresponden al responsable, o la obligación de facilitar información sobre la gestión de seguridad que ha realizado para a la vez el responsable pueda probar de la mejor manera posible el cumplimiento de las medidas de seguridad que le corresponde.
Se podría hablar de una tendencia general del Reglamento a precisar el ámbito de colaboración entre el encargado y el responsable. En el mismo sentido jurídico se podría hablar de un desarrollo legal de las obligaciones de colaboración. La regulación anterior de la Directiva 95/46/CE no detallaba expresamente estas obligaciones, como tampoco lo hace la LOPD. Sin embargo, en el RGPD las obligaciones de colaboración se explicitan claramente, a modo de un armazón jurídico de referencia que favorece la seguridad jurídica y la protección efectiva de los derechos fundamentales.
Además, el Reglamento Europeo establece la posibilidad de que la Comisión o la autoridad de control adopten unas cláusulas contractuales tipo en las que se regulen las obligaciones, a efectos de protección de datos, entre el responsable y el encargado de tratamiento, en las cuales podrán basarse los contratos formalizados entre responsable y encargado del tratamiento. No obstante, habrá que esperar al desarrollo de las mismas por la Comisión o autoridad de control de cara a determinar si es más conveniente la elaboración de las cláusulas “ad hoc” o adherirse a las cláusulas tipo.
3.- El derecho al Olvido.
Otra de las principales novedades del RGPD es la introducción del “Derecho de Supresión”, más conocido como “Derecho al Olvido”. Se trata del derecho de los sujetos titulares de los datos a obtener, sin dilación indebida, la supresión de los datos personales que le conciernan del responsable del tratamiento en determinados supuestos, entre otros, cuando los datos no sean necesarios para las finalidades para las que fueron recogidos, cuando los datos personales hayan sido tratados ilícitamente o cuando los datos personales deban suprimirse para cumplir con una obligación legal establecida en la legislación aplicable al responsable del tratamiento.
El responsable que esté obligado a suprimir datos deberá adoptar medidas razonables (teniendo en cuenta la tecnología disponible y el coste de su aplicación) e informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos. No obstante lo anterior, se establecen una serie de excepciones al ejercicio del derecho de supresión:
i. Para ejercer el derecho a la libertad de expresión e información.
ii. Para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por la legislación aplicable al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable.
iii. Por razones de interés público en el ámbito de la salud pública.
iv. Con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, en la medida en que el ejercicio del derecho de supresión pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento.
v. Para la formulación, el ejercicio o la defensa de reclamaciones.
4.- La figura del Delegado de Protección de Datos.
El Reglamento Europeo ha introducido la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), imponiendo la obligatoriedad del nombramiento de un DPO a todos los organismos públicos -con la excepción de tribunales en aplicación de la función judicial- y a las entidades privadas, sean éstas consideradas responsables o encargados del tratamiento, cuyas actividades principales conlleven la “observación habitual y sistemática de interesados a gran escala” o el “tratamiento a gran escala de categorías especiales de datos”.
El DPO deberá conocer profundamente las normas de protección de datos europeas, así como su práctica. Podrá ser un empleado de la compañía o actuar mediante un contrato de prestación de servicios. La compañía está obligada a apoyar al DPO en la realización de sus funciones, sin que esté sometido a las instrucciones de ningún estamento de la propia compañía, respondiendo únicamente ante “el más alto nivel jerárquico” de la misma. Atención, se prevé la prohibición expresa de destitución o sanción del DPO con causa en el desempeño de sus obligaciones.
En cuanto a las funciones que tendrá el DPO, destacan el asesoramiento general dentro de la compañía en todo lo relativo a protección de datos personales, la supervisión del cumplimiento de la legislación y políticas de privacidad con especial atención a los riesgos asociados a las actividades que llevara a cabo la empresa, la elaboración de informes de evaluación de impacto de ciertos tratamientos de datos personales y la cooperación con las autoridades de control nacionales.
En definitiva, el RGPD refuerza los derechos de los interesados y se atisba trabajo por delante durante los próximos dos años para empresas y responsables en materia de protección de datos de carácter personal.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación