El pasado 15 de diciembre de 2015 y tras casi tres años de tramitación, finalizaba la fase de trílogos entre la Comisión Europea, el Parlamento Europeo y el Consejo de la Unión Europea, al alcanzarse un acuerdo sobre un texto de compromiso que se espera que sea aprobado en marzo o en abril de este año. Partiendo de la versión a la que ha tenido acceso la organización sin ánimo de lucro Statewatch, y tomando las debidas cautelas, puesto que está pendiente de aprobación final y se toma como fuente un texto en inglés pendiente de revisión jurídica y cuya traducción oficial al castellano está por llegar, pasamos a analizar algunas de las principales novedades:
Inscripción de Ficheros. Desparece esta obligación puesto que se entiende que no aporta valor en la protección y defensa del derecho fundamental a la protección de datos.
Ámbito territorial. No es necesario que el controlador o procesador de datos se encuentren establecidos en la Unión Europea para que les aplique el Reglamento. Les será de aplicación cuando se ofrezcan bienes o servicios (incluso gratuitos) a personas residentes en la UE, o que la actividad de monitorización de la conducta tenga lugar en el territorio de la Unión Europea.
Principios reguladores. Los tratamientos en relación con el afectado deben ser justos, legales y transparentes. Los datos deberán ser obtenidos para finalidades específicas, explícitas y legítimas, y no usados para finalidades incompatibles. Igualmente deberán ser adecuados, relevantes y limitados a las finalidades previstas, debiendo ser actualizados o eliminados cuando sean inexactos.
Accountability. En virtud de este principio, el controlador de los datos deberá cumplir con estos principios reguladores y lo que es más importante, demostrarlo. También queda recogido en el artículo 22 al regular la responsabilidad del controlador de datos, que deberá, atendiendo a la naturaleza, finalidades, ámbito y contexto del tratamiento, además de la gravedad para los derechos y libertades de los individuos y los riesgos de probabilidad de cambio, implementar medidas técnicas y organizativas para cumplir con las estipulaciones del presente Reglamento y ser capaz de demostrarlo. Este principio de proactividad en el cumplimiento y justificación del mismo será una de las piedras angulares de la nueva normativa junto con el enfoque basado en el riesgo (risk based approach) y privacidad por diseño (privacy by design).
Legalidad del tratamiento. Poco cambian los supuestos con respecto al régimen de la Directiva 95/46/CE, ya que la piedra angular continúa siendo el consentimiento del afectado o que se ampare en otras causas de excepción, como el desarrollo de un contrato en el que el afectado es parte, el cumplimiento por parte del controlador del tratamiento de una obligación legal, en interés vital del afectado o de cualquier otra persona, en cumplimiento de un interés público o en el ejercicio de competencias públicas, y cuando exista un interés legítimo del controlador o de una tercera parte, salvo que ese interés sea anulado por los derechos y libertades del afectado, particularmente cuando este sea un menor.
Consentimiento. El controlador de los datos debe ser capaz de demostrar que el consentimiento fue otorgado. Si consta por escrito en un documento junto con otros asuntos deberá constar debidamente separado de los otros asuntos utilizando un lenguaje claro y sencillo. El consentimiento podrá ser revocado en cualquier momento. Si se trata de uso de servicios de la sociedad de la información por parte de menores de 16 años, o de 13 para los Estados Miembros que así lo acuerden, se deberá contar con el consentimiento de los progenitores o tutores legales. El controlador deberá realizar esfuerzos razonables atendiendo al estado de la tecnología para cerciorarse de que el consentimiento fue otorgado.
Categorías especiales de datos. Quedan establecidas en origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, pertenencia a sindicatos, datos genéticos y biométricos en orden a identificar singularmente a una persona o cualquier otro dato relativo a la salud, vida u orientación sexual de una persona. Estos tratamientos quedan prohibidos salvo que se cuente con el consentimiento explícito del afectado o que se ampare en alguna de las excepciones previstas, entre otras: cumplimiento de obligaciones en materia de empleo y seguridad social derivadas del derecho de la Unión, Estados Miembros o Convenios Colectivos, en interés vital de afectado o de otra persona que se encuentre física o mentalmente incapaz de prestar el consentimiento. También se otorga especial protección a los tratamientos de delitos y condenas penales, que solo podrán estar bajo el control de la autoridad competente o si estuviera previsto el tratamiento por el derecho de la Unión o del Estado Miembro, deberá realizarse con las debidas garantías.
Derechos de los afectados. Cabe destacar que el periodo para responder a la petición del afectado se amplía a un mes desde la recepción para todos los supuestos, pudiendo extenderse otros dos meses más atendiendo a la complejidad del requerimiento o al número de estos. De producirse la extensión, el afectado deberá ser informado en un mes desde la recepción de las causas del retraso. La información sobre los derechos de los afectados se debe facilitar de manera transparente, concisa, inteligible y accesible, utilizando un lenguaje claro sobre todo si se dirige a menores. Los derechos quedan delimitados de la siguiente manera:
- Información. Se mantienen en el deber de información previa las categorías actuales como identificación del responsable o finalidad del tratamiento, y se añaden otros nuevos como informar sobre la portabilidad de datos o la posibilidad de denuncia o reclamación ante la autoridad de control. Si la información no se ha obtenido directamente del afectado el artículo 14a dispone de deberes especiales de información para este supuesto.
- Derecho de acceso.
- Rectificación y borrado. Este último incluye el denominado derecho al olvido que podrá solicitarse entre otras causas cuando no exista o desaparezca la finalidad que propició el tratamiento. No procederá, por ejemplo, cuando este derecho colisione con la libertad de expresión e información.
- Restricción del tratamiento: nuevo derecho que se aplica, por ejemplo, mientras el controlador de datos comprueba una reclamación del afectado sobre datos inexactos.
- Derecho a la portabilidad. Otro de los nuevos derechos recogidos en el Reglamento pensado sobre todo para servicios de cloud computing. En esencia se trata de que los afectados puedan obtener su información personal de manera estructurada y legible en un formato compatible con otros sistemas.
- Derecho de objeción. Pensado especialmente para tratamientos basados en monitorización de la conducta (profiling) y marketing directo.
- Decisiones automatizadas incluyendo profiling. El afectado tiene derecho a que no le afecte una decisión basada solamente en un proceso automatizado con efectos legales o similares que le afecten significativamente, salvo que sea adoptada en desarrollo de un contrato entre afectado y controlador, que exista previsión legal o que el afectado preste consentimiento explícito.
Privacidad por diseño y por defecto (privacy by design & by default). Se trata sin duda de otra de las principales novedades que aporta esta nueva normativa. En virtud de este principio el controlador teniendo en cuenta el estado del arte y los costes de implementación, y atendiendo a la naturaleza, finalidades, ámbito y contexto del tratamiento, además de la gravedad para los derechos y libertades de los individuos y los riesgos de probabilidad de cambio, deberá implementar medidas técnicas y organizativas tanto en el momento de determinación de las medidas a adoptar como antes de la obtención del dato y durante el tratamiento en sí mismo, es decir, que la privacidad debe abarcar todo el ciclo de vida del dato introduciendo las debidas garantías que permitan cumplir con lo dispuesto en el Reglamento. Se menciona en concreto la seudonimización y la minimización en los tratamientos utilizando únicamente las categorías de datos imprescindibles para la finalidad concreta del tratamiento. El cumplimiento de este principio puede ser sometido al proceso de certificación que veremos más adelante.
Seguridad de los tratamientos. El controlador, teniendo en cuenta el estado del arte y los costes de implementación, y atendiendo a la naturaleza, finalidades, ámbito y contexto del tratamiento, además de la gravedad para los derechos y libertades de los individuos y los riesgos de probabilidad de cambio, deberá implementar medidas técnicas y organizativas para asegurar un nivel de seguridad apropiado al riesgo, incluyendo cuando sea aconsejable, entre otros, la seudonimización y encriptación de los datos, la capacidad de asegurar la integridad, la confidencialidad, la disponibilidad y la resistencia de los sistemas y servicios de tratamiento de datos y la capacidad de restablecer el acceso y la disponibilidad en plazo debido, cuando exista un incidente físico o tecnológico. Los códigos de conducta y las certificaciones también pueden ser utilizados para demostrar el cumplimento de esta obligación.
Notificación de brechas de seguridad (data breach notification). Se trata de otra de las grandes novedades introducidas por el RGPD. En virtud de esta disposición, se tienen que comunicar las brechas de seguridad que afecten a datos personales a la autoridad de control, sin retrasos injustificados, tan pronto como sea posible y no más tarde de las 72 horas desde que se tenga conocimiento del incidente. De producirse pasadas las 72 horas se deberá adjuntar a la notificación la justificación de ese retraso. Solo se podrá obviar este trámite si la brecha de seguridad improbablemente pone en riesgo los derechos y libertades de los individuos. Si la brecha la sufre el procesador de datos, deberá comunicarlo al controlador sin demora injustificada.
Si existe una probabilidad alta de riesgo para los derechos y libertades de los individuos, se deberá igualmente notificar a los afectados tan pronto como sea posible y sin dilaciones injustificadas. Se puede evitar tener que comunicar el incidente a los afectados, si se han establecido previamente medidas técnicas y organizativas y se han aplicado a los datos afectados por la brecha, haciéndolos ininteligibles para accesos no autorizados, como puede ser el uso de la encriptación, o si el controlador ha tomado medidas posteriores que eliminan la probabilidad que se materialice ese alto riesgo o que le exija esfuerzos desproporcionados, en cuyo caso puede ser sustituida por una comunicación pública o similar en la que los afectados puedan ser debidamente informados.
Evaluación de impacto en privacidad (privacy impact assessment). Quizás se trate de la medida estrella del RGPD. Con carácter previo al inicio del tratamiento se deberá realizar cuando atendiendo a la naturaleza, ámbito, finalidades y contexto del tratamiento, exista un alto riesgo para los derechos y libertades de los individuos. En concreto se debe realizar cuando se realicen sistemáticamente evaluaciones de aspectos personales basados en procesos automatizadas, incluyendo el análisis de perfiles, o se traten un gran volumen de datos de las denominadas categorías especiales o se realice una monitorización sistemática de un área de acceso público a gran escala.
Cada autoridad de control está habilitada a publicar una lista con las operaciones de tratamiento que preceptivamente deben realizarla y también quedan habilitadas a publicar una lista con las operaciones que quedarían exentas de realizarla. Ambas deberán ser comunicadas al Consejo Europeo de Protección de Datos (figura que analizaremos a continuación).
Consulta previa. Si del resultado de la Evaluación de impacto en privacidad se desprende un alto riesgo en ausencia de medidas que mitiguen el mismo, se deberá realizar una consulta previa a la autoridad de control. También deberán realizar este trámite los Estados Miembros en la elaboración de los proyectos legislativos o reglamentarios de desarrollo de legislación que afecten a la protección de datos.
Delegado en Protección de Datos (Data Protection Officer). Se deberá contar con este profesional, ya sea por contrato laboral o por contrato de prestación de servicios, cuando se trate de Administraciones Públicas con excepción de los juzgados y tribunales en el ejercicio de su actividad jurisdiccional, o cuando el objeto de negocio del controlador o procesador de datos se base en actividades de tratamiento que en virtud de su naturaleza ámbito y / o finalidad requieran operaciones regulares y sistemáticas de monitorización a gran escala de los titulares de los datos, o cuando las actividades principales del controlador o procesador consistan en el tratamiento a gran escala de datos de sanciones penales o de las categorías consideradas como especiales. Su posición o role queda establecido en el artículo 36 y sus funciones quedan detalladas en el artículo 37.
Códigos de Conducta. Hemos comprobado a lo largo de la exposición que determinadas obligaciones pueden cumplirse mediante la adhesión a Códigos de Conducta o al someterse a una Certificación. En relación a los primeros, serán promovidos por los Estados Miembros, las autoridades de control, el Consejo Europeo de Protección de Datos y la Comisión, atendiendo a las peculiaridades de cada sector y de las pequeñas y medianas empresas. Las asociaciones quedan legitimadas para elaborarlos o adherirse a alguno ya existente, enmendarlo o modificarlo.
Si el tratamiento objeto del código no afecta a varios Estados Miembros sino que afecta a uno solo, será la autoridad de control de ese estado la encargada de supervisarlo, imponer las salvaguardas adecuadas, registrarlo y publicarlo. Pero si afecta a varios Estados, el encargado de supervisarlo y enmendarlo será el Consejo Europeo de Protección de Datos, que posteriormente dará traslado del mismo a la Comisión Europea para que declare en su caso, su validez en toda la Unión y lo publique.
La supervisión del cumplimiento del código, sin perjuicio de las competencias de la autoridad de control, puede ser llevada a cabo por una entidad independiente con un nivel de expertise adecuado al contenido del código y que haya sido acreditado para ello por la autoridad de control. Además de independencia y expertise deberá establecer procedimientos para asesorar a controladores y procesadores en el cumplimiento del código, monitorizar su cumplimiento, revisar periódicamente esas operaciones y establecer procedimientos y estructuras para atender las reclamaciones por el incumplimiento de las estipulaciones del mismo. Sin perjuicio de las competencias de la autoridad de control, deberá establecer medidas para el incumplimiento de las obligaciones reguladas en el Código, como pueden ser la exclusión o la suspensión.
Certificación. Los Estados Miembros, las autoridades de control, el Consejo Europeo de Protección de Datos y la Comisión promoverán modelos de certificación, sellos o marcas que sirvan para demostrar cumplimiento con el RGPD. Las específicas necesidades de las microempresas y las PYMES deberán ser tenidas en cuenta. Será de carácter voluntario y no reducirá la responsabilidad del cumplimiento con el RGPD por parte de controladores y procesadores de datos.
Serán otorgadas por entidades de certificación o por las autoridades de control. De otorgarla el Consejo Europeo de Protección de Datos, se denominará como certificación tipo “Sello Europeo de Protección de Datos”. Se otorgará por periodos máximos de 3 años pudiendo ser renovada si se cumplen los requisitos para ello. El Consejo Europeo de Protección de Datos llevará un registro público con todas las certificaciones, sellos y marcas otorgados.
En relación con la entidad de certificación que emite y renueva los certificados, sellos o marcas, después de informar a la autoridad de control, deberá contar con un nivel adecuado de expertise en protección de datos. Cada estado decidirá quién otorga la acreditación a estas entidades de certificación, pudiendo ser:
- La autoridad de control competente.
- La Entidad Nacional de Acreditación denominado en acuerdo con el Reglamento (CE) No 765/2008 del Parlamento Europeo y del Consejo, de 9 de julio de 2008 por el que se establecen los requisitos de acreditación y vigilancia del mercado relativos a la comercialización de los productos, sin perjuicio de las competencias de la autoridad de control.
Quedan igualmente detallados los requisitos mediante los cuales se obtiene la condición de entidad de certificación y su renovación como máximo por periodos de 5 años. En el caso de incumplimiento por parte de la entidad de certificación, la acreditación podrá ser revocada.
Transferencias internacionales de datos. Se mantiene y mejora el sistema instaurado en la Directiva 95/49/CE, existiendo unos supuestos exentos y mecanismos habilitantes (declaración de país con nivel adecuado de protección y transferencias con garantías, tales como, cláusulas contractuales tipo o reglas corporativas vinculantes (binding corporate rules).
Consejo Europeo de Protección de Datos y autoridades de control. Sustituye al actual Grupo de Trabajo del Artículo 29. Se refuerzan y amplían sus competencias. Para los supuestos en los que un procesador o controlador se encuentre establecido en varios Estados Miembros, se establece que la autoridad de control del estado en el que radique el establecimiento principal pueda actuar como autoridad líder de control, regulándose el procedimiento de coordinación con el resto de autoridades. Se refuerzan los mecanismos de cooperación, asistencia mutua y actuación conjunta entre las diferentes autoridades nacionales de control. Para lograr la uniformidad en la aplicación del RGPD, se establece el principio de coherencia que obliga a las autoridades de control a cooperar entre ellas y cuando sea relevante, también con la Comisión Europea. Para lograrla, se establecen como mecanismos los Dictámenes del Consejo Europeo de Protección de Datos y mecanismos de resolución de disputas entre autoridades de control por este mismo Consejo.
Sanciones. Dependiendo del artículo del RGPD vulnerado y sin perjuicio del derecho de indemnización que el afectado pudiera reclamar judicialmente, las sanciones pueden llegar hasta los 10 millones de euros o el 2% de la facturación bruta anual a nivel mundial o hasta 20 millones de euros o el 4 % de la facturación bruta anual a nivel mundial. Corresponde a cada Estado Miembro decidir si extiende el régimen de sanciones a las administraciones y organismos públicos de su territorio.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación