Davara & Davara Asesores Juridicos
- Debido al avance tecnológico y, en particular, a la utilización de Internet, la web 2.0. y la 3.0., la geolocalización, el cloud computing, la web 3D, la red de objetos y la RFid., la Unión Europea se ha preguntado si la legislación actual en materia de protección de datos es capaz de hacer frente plena y eficazmente a estos retos y, consecuentemente, se ha planteado algunas cuestiones básicas que han llevado a la modificación de la Directiva 95/46/CE sobre protección de datos. Pensemos que la normativa europea actual sobre protección de datos está basada en una Directiva (la 95/46/CE) del año 1995.
- Es así que, tras cuatro años de enconados debates, el pasado catorce de abril fue aprobado en el Parlamento Europeo el tan esperado Reglamento Europeo sobre Protección de Datos que viene a sustituir a la Directiva del 95 y a crear un marco uniforme en la Unión Europea sobre esta materia.
1. Introducción
Dos cuestiones queremos destacar, en un principio, sobre el Reglamento recientemente aprobado; en primer lugar el acierto de que se trate de la figura del Reglamento Europeo ya que es ésta una forma de legislar en la Unión Europea que garantiza una uniformidad en el desarrollo posterior, interpretación y cumplimiento de la normativa comunitaria ya que, como sabemos, un Reglamento, de acuerdo con lo contemplado en el artículo 288 del Tratado de Funcionamiento de la Unión Europea, es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro sin necesidad de transposición ni adaptación alguna.
En segundo lugar, bienvenida sea la aprobación de una norma que tiene como objetivo prioritario reforzar el derecho fundamental a la protección de datos y hacerlo uniforme en todos los Estados miembros.
2. El contenido: Especial referencia al consentimiento, la información y la transparencia
Entrando ya en su contenido, y desde una óptica eminentemente práctica, es de destacar que el Reglamento no contempla la inscripción de ficheros o tratamientos ante las autoridades de control. Esta práctica, la de inscripción de los ficheros, no solamente era algo que no se entendía demasiado bien, y parecía anacrónica, sino que desdibujaba por completo el sentido de la protección; es decir, parecía que todo se arreglaba con “notificar” a la autoridad de control que se iban a producir determinados tratamientos de datos y, de esta forma, muchos creían que ya cumplían con la normativa sobre la materia.
La función documental que obliga a los responsables de ficheros y/o tratamientos a llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad con una exhaustiva información, sustituye de una manera práctica y más acorde con la realidad a la antigua y poco deseada función de inscripción de los ficheros ante la autoridad de control.
De otra parte, se establecen mayores garantías en el tratamiento de los datos de carácter personal de forma que se refuerce el control de las personas sobre sus propios datos. Destaca, en este sentido, el importante refuerzo que significa que el consentimiento para el tratamiento de los datos tenga que ser una manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de los datos personales que le conciernen teniendo en cuenta que, cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
Se añade como mayor garantía en el consentimiento que, en relación con la oferta directa a niños de servicios de la sociedad de la información, el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad y solo en la medida en que se dio o autorizó. El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad, teniendo en cuenta la tecnología disponible.
También se refuerza un principio básico de transparencia, indicando que el responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda la información de los datos personales que se obtengan de él y que esta información incluya en su caso, información sobre los datos de contacto del delegado en protección de datos. Además, se deberá informar al interesado sobre el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar ese plazo.
3. La Privacidad por defecto (PxD) y la Privacidad desde el diseño (PdD).
Dos cuestiones de gran calado marcan también una nueva línea de gran interés bajo la óptica del clásico “más vale prevenir que curar”. Se trata de la introducción de dos nuevos conceptos conocidos como la Privacidad por defecto (PxD) y la Privacidad desde el diseño (PdD)
En este sentido, señala el artículo 25 del Reglamento que, teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de proteger los derechos de los interesados.
Además, el responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas físicas.
4. Violación de la seguridad y evaluaciones de impacto.
Con relación a las violaciones de seguridad de los datos personales, entendiendo por tales toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, se establece la obligación de notificarlas a la autoridad de control en el plazo de 72 horas, resaltando, además, que en determinados casos, también habrá que comunicar estas violaciones de seguridad al propio interesado.
Por tanto, tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, debe, sin dilación indebida y, a ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente. Si dicha notificación no es posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida.
En otro orden de cosas, se señala que, en aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, debe incumbir al responsable del tratamiento la realización de una evaluación de impacto relativa a la protección de datos, que evalúe, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo.
Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento.
La evaluación de impacto relativa a la protección de los datos se requerirá en particular en caso de evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente.
5. La figura del Delegado de Protección de Datos.
Destaca de manera especial en el Reglamento la figura del denominado “delegado en protección de datos” que se presenta como obligatoria cuando el tratamiento sea llevado a cabo por una autoridad u organismo público, con excepción de los tribunales que actúen en ejercicio de su función judicial, o cuando las actividades del responsable del tratamiento o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o cuando las actividades del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos de los que se han dado en llamar “especialmente protegidos” a los que se añaden los datos biométricos dirigidos a identificar de manera unívoca a una persona física.
Cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.
Destaca el Reglamento que el delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones que se le asignan en el propio Reglamento.
El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios pero, en todos los casos, se garantizará que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de sus funciones.
Los interesados o afectados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos.
6. A modo de conclusión.
Muchas más cuestiones se deberán tratar en los dos años que tenemos de plazo para adecuar los tratamientos de datos de carácter personal a las exigencias del Reglamento europeo. Lo que hemos pretendido, solamente, ha sido trasladar aquéllas que nos han parecido de mayor interés.
Pero que el Reglamento conceda un plazo de dos años para la adecuación de los tratamientos no debe llevarnos a una postura de relajación porque, aunque es cierto que se presentan muchas dudas en un principio y no debemos trabajar alocadamente, lo cierto también es que, las exigencias de seguridad y garantía de control de sus datos por los interesados y las elevadas sanciones, llegando hasta veinte millones de euros o, tratándose de una empresa, de una cuantía equivalente al 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, recomiendan que se vayan tomando posiciones preventivas y de acercamiento al cumplimiento responsable de la normativa sobre protección de datos.
No olvidemos una premisa básica que se debe tener siempre presente cuando hablamos de protección de datos y que es que “los datos que tratamos no son nuestros, son de su titular”, del interesado, y nosotros lo que tenemos es, en determinados casos, derecho a procesarlos pero siempre con base en la cultura de protección que no debería ser exigida con amenazas de multa sino que debería formar parte de nuestro adn de respeto a los derechos básicos de los demás.