27
Mar

Reglamento General de Protección de Datos (RGPD) : El Consentimiento

El consentimiento se regula en el art. 6 como uno de los supuestos que legitiman el tratamiento de datos, adicionalmente en el art. 7 se identifican las condiciones en las que debe prestarse el consentimiento y, finalmente en el art. 9 se regula el consentimiento con datos sensibles. También se regula el mismo en los considerandos 32, 40, 42, 43 y 171.

Artículo 6: Licitud del tratamiento

  1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
    1. el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

Artículo 7: Condiciones para el consentimiento

  1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
  2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
  3. El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
  4. Al evaluar si el consentimiento se dio libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

La principal novedad que se introduce en el RGPD con respecto a nuestra normativa, es que el consentimiento debe de consistir en una declaración afirmativa o una clara acción afirmativa para la prestación del mismo, no admitiéndose por tanto el consentimiento tácito.

De esta manera, el consentimiento debe de ser claro de tal forma que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Expresamente se indica en el considerando 32 la posibilidad de utilizar casillas para la obtención del mismo, estableciendo que la casilla pre marcada o la inacción no constituye una forma de prestar el consentimiento. Igualmente, también se establece en dicho considerando que cuando existan varios fines para el tratamiento se deberá recabar el consentimiento para todos ellos.

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Por tanto, el consentimiento para el tratamiento de datos deberá ser libre, específico, informado e inequívoco, debiendo probar el responsable del tratamiento que el titular de los datos o interesado consintió el tratamiento de los mismos a través de un proceso claro inteligible y de fácil acceso, en el que se utilizó un lenguaje claro y sencillo.

PREGUNTAS FRECUENTES:

Respecto del consentimiento en datos seudonimizados, ¿es necesario recabar consentimiento por parte del responsable si los tratamientos efectuados fuesen sobre datos seudonimizados?

Debemos prestar atención al hecho de que la normativa refleja de modo claro que un dato seudonimizado es un dato personal, circunstancia que no ocurre con los datos anonimizados. En base a ello, efectivamente es necesario recabar ese nuevo consentimiento.

Entre los ejemplos de consentimiento manifestado mediante un acto afirmativo claro, el considerando 32 menciona «escoger parámetros técnicos para la utilización de servicios de la sociedad de la información». ¿Qué puede entenderse, a efectos prácticos, por esos parámetros técnicos para utilización de servicios de sociedad de la información?

La traducción del RGPD no es estrictamente la más adecuada. En su versión inglesa –choosing technical settings for information society services–  se refiere, por ejemplo, a aquellas situaciones en las que seleccionamos los parámetros de la aplicación o del dispositivo para permitir el acceso a datos personales. De esta manera, si es el interesado es el que los habilita se entiende que se está prestando el consentimiento a que se traten sus datos, ya que en caso contrario no sería considerado un consentimiento válido.

Por tanto, atendiendo a la obligación del Responsable/Encargado de asegurar la privacidad desde el diseño y por defecto, los dispositivos o aplicaciones deberán venir protegiendo la privacidad por defecto y desde el diseño, de tal forma que si se quiere obtener los datos del interesado, el usuario deberá habilitarlo en la configuración del dispositivo o de la aplicación.

En relación con el consentimiento, también debemos tener en cuenta, que no será necesario recabar de nuevo el mismo por el responsable de Tratamiento si la forma en la que se recogió el dato cumple con el RGPD. Efectivamente el considerando 171 establece:

“La Directiva 95/46/CE debe ser derogada por el presente Reglamento. Todo tratamiento ya iniciado en la fecha de aplicación del presente Reglamento debe ajustarse al presente Reglamento en el plazo de dos años a partir de la fecha de su entrada en vigor. Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.”

PREGUNTAS FRECUENTES:

Si actualmente el Responsable ha recabado el consentimiento de forma tácita ¿es preciso recabar un nuevo consentimiento de dichos interesados ajustándome a las nuevas especificaciones del RGPD antes de mayo de 2018?

Sí, efectivamente se deberá recabar un nuevo consentimiento ajustándose a las especificaciones marcadas por el RGPD, ya que a partir de mayo en el que será de aplicación directa los consentimientos recabados sin cumplir con las exigencias del RGPD serán ilícitos.

Por otro lado, el consentimiento también será revocable, existiendo el derecho del titular del datos o interesado a retirar dicho consentimiento, el cual deberá ser igual de fácil a la hora de retirarlo que a la hora de darlo o prestarlo. A este respecto, el considerando 42 señala que el consentimiento no será libremente prestado si el interesado no puede retirar el mismo o no goza de una verdadera y libre elección.

“El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”

Así mismo se presume también por el considerando 43 que, el consentimiento no es válido cuando la prestación del servicio sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.

“Para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, inclusive la prestación de un servicio, sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.”

EJEMPLOS PRÁCTICOS

SUPUESTO: Se presume por el considerando 43 que el consentimiento no es válido cuando la prestación del servicio sea dependiente del consentimiento, pese a que este no es necesario para dicho cumplimiento.

EJEMPLOS: Apertura de una cuenta corriente donde al aceptar el tratamiento de datos, se acepta facilitar datos sobre preferencias personales, religión, creencias.

Descargas de aplicaciones móviles en donde se obliga a facilitar datos y acceso a funcionalidades del dispositivo, (contactos, galería de fotos y videos, la cámara, etc.) para la descarga de la aplicación, ya que en caso contrario no sería posible la descarga o el funcionamiento de la misma.

El considerando 43 efectivamente establece que si hay un tratamiento de datos completamente distinto del necesario para la prestación de servicio, éste deberá de ser gestionado de forma independiente y debiendo solicitarse el consentimiento de forma separada sin vincular el mismo a la prestación del servicio.

 

PREGUNTAS FRECUENTES:

Si actualmente tengo consentimiento expreso, pero no separados por finalidades ¿he de recabar un nuevo consentimiento de dichos interesados ajustándome a las nuevas especificaciones de cada finalidad tenga su consentimiento separado?

El considerando 43 establece que no es posible vincular un consentimiento para un tratamiento de datos que no tenga que ver con el servicio. Por tanto no solo será necesario recabar consentimientos separados para cada tratamiento no relacionado con la prestación del servicio o el cumplimiento del contrato, sino que también será necesario informar sobre los extremos de dicho tratamiento, pues el interesado tiene derecho a no autorizar dicho tratamiento ya que no es necesario para la prestación del servicio.

Por último, en relación con el consentimiento se establece que el mismo deberá ser explícito en el tratamiento de datos sensibles que revelen origen racial, opiniones políticas, convicción religiosa, afiliación sindical, datos genéticos, biométricos y en general los relativos a la salud, vida sexual y orientación sexual.

Artículo 9: Tratamiento de categorías especiales de datos personales

  1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.
  2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias siguientes:
    1. el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado;

PREGUNTAS FRECUENTES:

Si para obtener el consentimiento normal es necesario que el interesado realice una declaración o una clara acción afirmativa ¿qué se precisa para obtener el consentimiento explícito necesario en el tratamiento de datos sensibles?

No necesariamente tiene que ser por escrito, ya que el consentimiento explícito podría ser incluso oral, pero el problema sería más bien de prueba, es decir cómo podemos demostrar que se ha prestado el mismo. También podrá ser electrónico, lo importante es que sea específicamente dado para dicha finalidad y por tanto expresamente se consienta la misma, no puede venir implícito en el acto o en la acción del interesado, debe ser por tanto específico, expreso y explícito.

En la opinión del GT 29 15/2011 se establece que se entiendo por consentimiento explícito o expreso.

Jurídicamente, el término «consentimiento explícito» significa lo mismo que el consentimiento expreso. Abarca todas las situaciones en las que se propone a la persona que consienta o no un uso particular o la difusión de su información personal y la persona responde de forma activa a la pregunta, verbalmente o por escrito. Por lo general, el consentimiento explícito o expreso se da por escrito y se firma a mano. Por ejemplo, se da el consentimiento explícito cuando los interesados firman un formulario de consentimiento que especifica claramente los motivos por los que el responsable del tratamiento desea recopilar y seguir tratando datos personales.

Tradicionalmente, el consentimiento explícito ha sido escrito, en papel o en soporte electrónico, como ya se ha mencionado en el capítulo III.A.2, pero no tiene que ser necesariamente así, ya que también puede ser verbal. Así lo confirma el hecho de que el requisito del consentimiento escrito, que se propuso en el artículo 8, fuera suprimido en la última versión de la Directiva. Ahora bien, como se explica en el mismo capítulo, el consentimiento verbal puede ser difícil de demostrar, por lo que en la práctica se pide a los responsables que utilicen el consentimiento escrito a efectos probatorios.

 

CONCLUSIONES

  • El consentimiento debe de ser una manifestación de voluntad libre.
  • Se debe facilitar tantos consentimientos como finalidades existan en el tratamiento.
  • El consentimiento tácito o casillas pre marcadas no es válido.
  • Tampoco es válido si la prestación del servicio depende del consentimiento.
  • Es necesario consentimiento explícito para datos sensibles.
20
Mar

Principios Relativos al Tratamiento de Datos Personales en el RGPD

Los principios relativos al tratamiento de datos personales se regulan en el art 5 y en el  considerando 39 del RGPD.

Artículo 5: Principios relativos al tratamiento

  1. Los datos personales serán:
    1. tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia«);
    2. recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1 (Investigación Científica, estadística), el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad«);
    3. adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos«);
    4. exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud«);
    5. mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89 (Investigación Científica, estadística), apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación«);
    6. tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad«).
  2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva«).

A los tradicionales principios de calidad: proporcionalidad, finalidad, exactitud y actualidad, cancelación de oficio y licitud, el RGPD incorpora través del art. 5, seis principios básicos.

  1. Licitud, lealtad y transparencia:tratados de manera lícita, leal y transparente en relación con el interesado”. Queda vinculado nuestro principio de licitud al principio de transparencia, el cual queda igualmente vinculado con la información, ya que la misma debe facilitarse de forma comprensible y accesible. Por tanto, el tratamiento no será leal y lícito si la información no está accesible o no es comprensible. Así lo establece el considerando 39, que exige:

“toda información y comunicación relativa al tratamiento de dichos datos sea fácilmente accesible y fácil de entender, y que se utilice un lenguaje sencillo y claro. Dicho principio se refiere en particular a la información de los interesados sobre la identidad del responsable del tratamiento y los fines del mismo y a la información añadida para garantizar un tratamiento leal y transparente con respecto a las personas físicas afectadas y a su derecho a obtener confirmación y comunicación de los datos personales que les conciernan que sean objeto de tratamiento. Las personas físicas deben tener conocimiento de los riesgos, las normas, las salvaguardias y los derechos relativos al tratamiento de datos personales, así como del modo de hacer valer sus derechos en relación con el tratamiento”.

  1. Minimización de datos: “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Es el correspondiente a nuestro principio de proporcionalidad, el cual establecía que los datos deben de ser adecuados pertinentes y no excesivos en relación con la finalidad y el ámbito para la que fueron recabados. Sin embargo, en el caso del RGPD no se limita por el exceso si no por la necesidad. Es decir, los datos personales serán adecuados pertinentes y limitados a la necesidad para la que fueron recabados. Cobra especial valor el sentido de la “Necesidad” (ya establecido por la Jurisprudencia del Tribunal Constitucional), de tal manera que, si el objetivo podría alcanzarse sin realizar un tratamiento de datos, los mismos no deberían ser tratados. Por otro lado, dicha limitación a lo necesario debe ser evaluada desde un punto de vista cuantitativo (volumen de datos) como cualitativo (categoría de datos). Así se establece en el considerando 39:

“Los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.”

  1. Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. A este respecto al RGPD aclara la posibilidad de realizar tratamientos de datos con finalidades distintas de las recogidas siempre y cuando se de una serie de presupuestos. Así en el 6.4 se establece que el responsable de tratamiento con objeto de determinar si dicho fin es compatible tendrá en cuenta una serie de cuestiones:
    1. cualquier relación entre los fines para los cuales se hayan recogido los datos personales y los fines del tratamiento ulterior previsto;
    2. el contexto en que se hayan recogido los datos personales, en particular por lo que respecta a la relación entre los interesados y el responsable del tratamiento;
    3. la naturaleza de los datos personales, en concreto cuando se traten categorías especiales de datos personales, de conformidad con el artículo 9, (Categorías especiales de datos personales) o datos personales relativos a condenas e infracciones penales, de conformidad con el artículo 10 (Datos relativos a condenas e infracciones);
    4. las posibles consecuencias para los interesados del tratamiento ulterior previsto;
    5. la existencia de garantías adecuadas, que podrán incluir el cifrado o la seudonimización.
  1. Exactitud: exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan. A este respecto señala también el considerando 39 que:

“Deben tomarse todas las medidas razonables para garantizar que se rectifiquen o supriman los datos personales que sean inexactos.”

  1. Limitación en el plazo de conservación: “mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”. Si bien en nuestra normativa ya se establece que deberán ser cancelados cuando los datos dejen de ser útiles para la finalidad en la que fueron recabados, el RGPD además de limitar el plazo de conservación establece la obligación al responsable de incluir plazos para la supresión o revisión periódica. Considerando 39:

“Para garantizar que los datos personales no se conservan más tiempo del necesario, el responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.”

PREGUNTAS FRECUENTES:

¿En el plazo de conservación es necesario informar del plazo de conservación o del plazo de prescripción de las acciones ante reclamaciones por el tratamiento de datos realizado?.

El plazo que se debe de incluir por el Responsable o el criterio utilizado para determinar dicho plazo, es aquél necesario para la finalidad del tratamiento. Por tanto se debe distinguir dos supuestos:

  1. Por un lado el plazo de conservación que es necesario para el tratamiento de datos del interesado, o el criterio a utilizar para que pueda el interesado saber cuánto tiempo va a durar el tratamiento de sus datos, se trata por tanto de un derecho del interesado al que tiene derecho y que debe de ser informado previamente al interesado.
  2. Por otro lado el plazo de conservación para la defensa de reclamaciones por parte del Responsable.

La falta de mención al bloqueo de datos por parte del RGPD será un buen motivo para que nuestro legislador regule esta materia, ya que podría generar indefensión en encargados o responsables que puedan verse obligados a destruir o borrar datos porque los mismos dejaron de ser útiles o necesarios para la finalidad del tratamiento. Ante la falta de regulación sobre la identificación o no de los plazos de conservación para la defensa ante reclamaciones, es recomendable incluir ambos plazos tanto para el tratamiento de datos del interesado y como para el plazo de prescripción de las acciones del Responsable.

  1. Integridad y Confidencialidad: tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. La seguridad en el tratamiento de los datos aparece ya no sólo como una obligación si no como un principio del tratamiento de datos, y deberá ser adecuada a la categoría de datos que se esté tratando. Así el considerando 39 establece al respecto:

“Los datos personales deben tratarse de un modo que garantice una seguridad y confidencialidad adecuadas de los datos personales, inclusive para impedir el acceso o uso no autorizados de dichos datos y del equipo utilizado en el tratamiento.”

 

CONCLUSIONES

  • El tratamiento de datos no será lícito si la información no es accesible y comprensible.
  • Los datos deben ser limitados a los necesarios para la finalidad.
  • Las obligaciones de integridad y confidencialidad se configuran como un principio.
20
Mar

La Quinta Directiva de prevención del blanqueo de capitales sometida a examen en la sesión plenaria del 13 marzo de 2017 del Parlamento Europeo

Las comisiones de Asuntos Económicos y Monetarios (ECON) y de Libertades Civiles (LIBE) votaron el pasado día 28 de febrero a favor de iniciar negociaciones interinstitucionales sobre la propuesta de revisión de la Cuarta Directiva contra el blanqueo de capitales y la financiación del terrorismo.

Siguiendo con el proceso, se sometió a examen en la apertura de la sesión plenaria del Parlamento Europeo del pasado lunes día 13 de marzo sin que se recibiera solicitud alguna de votación al respecto. Dándose así, luz verde al inicio de las conversaciones interinstitucionales entre el Parlamento, la Comisión y el Consejo de la UE.

Esta propuesta, surgida de la necesidad de reforzar el marco de prevención establecido por la Cuarta Directiva a la vista de las carencias del sistema puestas de manifiesto tras los atentados terroristas de París y las revelaciones de los papeles de Panamá, incluye una serie de medidas dirigidas a incrementar la eficacia en la lucha contra la financiación del terrorismo y al aumento de la transparencia sobre la titularidad real de sociedades y fondos fiduciarios entre las que son destacamos las siguientes.

Monedas Virtuales. Los exchangers o plataformas de cambio de monedas virtuales pasarán a estar sujetos a la obligación de aplicar medidas de diligencia debida y de notificación de actividades sospechosas respecto de los servicios profesionales de cambio de moneda virtual por moneda real, para evitar así el carácter anónimo o pseudónimo de este tipo de transacciones. De igual modo, quedarán dentro del ámbito de aplicación de la Directiva los proveedores de monederos electrónicos o wallets (servicios de custodia de credenciales de acceso).

Tarjetas de prepago anónimas. Se propone rebajar los umbrales relativos a la identificación de clientes presenciales que operan con dinero electrónico en forma de instrumentos de pago no recargables o con un límite mensual o máximo previamente almacenado de 250 € a 150 €. Asimismo, se propone suprimir la exención de identificación del cliente para pagos realizados en línea, reembolsos o retiradas en efectivo de superiores a 50 €.

Unidades de Inteligencia Financiera. Se reforzarán las competencias de las Unidades de Inteligencia Financiera de los Estados miembros al poder solicitar por propia iniciativa información de las entidades financieras sobre actividades que presenten indicios de estar relacionadas con el blanqueo de capitales o la financiación del terrorismo. Actualmente, en algunos Estados miembros es requisito indispensable previo el reporte de una operación sospechosa.

Además, se permitirá que las UIF puedan identificar a los titulares de cuentas bancarias y de pago al exigirse a los Estados miembros el establecimiento de registros centrales u otros mecanismos centralizados y automatizados para una detección ágil.

Titularidad real. Se aumenta la transparencia mejorando el acceso a los registros de información sobre la titularidad real de las personas jurídicas no siendo necesario acreditar tener un “interés legítimo”. Por el contrario, si se precisará para los fideicomisos y estructuras similares sin fines de lucro como la gestión de patrimonios familiares, fines caritativos o de beneficencia colectiva.

13
Mar

Datos Personales en el Reglamento General de Protección de Datos (RGPD)

4. DATOS PERSONALES.

La definición de dato personal se encuentra en el art.4.1 del RGPD, y en los considerandos 26, 28 a 30, 34 y 35.

A través del mencionado artículo 4 apartado 1 se incluye la definición de Dato Personal como “Toda información sobre una persona física identificada o identificable”. Es importante apuntar que el afectado o titular del dato será calificado por el RGPD como «el interesado«.

A continuación, la definición pasa a determinar cuándo se entiende que una persona es identificable incluyendo elementos adicionales para la posible identificación respecto de nuestra normativa de protección de datos.

En el reglamento, por tanto, la identificación de una persona a los efectos de protección de datos se realiza cuando puede determinarse la identidad directa o indirectamente a través de:

  • elementos propios de la identidad física, fisiológica, psíquica, económica y cultural o social, a los cuales añade el elemento genético; o
  • por identificadores como por ejemplo el nombre, un número de identificación, datos de localización o un identificador en línea.

Se aclara por tanto en nuestra normativa que un dato personal puede ser un identificador, un dato de localización o un nombre, siempre y cuando sean capaces de identificar a la persona (como por ejemplo una dirección MAC).

Así mismo y de forma similar a como se recoge en nuestra normativa en el considerando 26 se establece la forma en la que se puede determinar si una persona es identificable:

Para determinar si una persona física es identificable, deben tenerse en cuenta todos los medios, como la singularización, que razonablemente pueda utilizar el responsable del tratamiento o cualquier otra persona para identificar directa o indirectamente a la persona física. Para determinar si existe una probabilidad razonable de que se utilicen medios para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta tanto la tecnología disponible en el momento del tratamiento como los avances tecnológicos.

Siguiendo con el considerando 26 el RGPD nos introduce la anonimización del dato personal, excluyéndola del ámbito de aplicación del RGPD.

Por lo tanto, los principios de protección de datos no deben aplicarse a la información anónima, es decir información que no guarda relación con una persona física identificada o identificable, ni a los datos convertidos en anónimos de forma que el interesado no sea identificable, o deje de serlo. En consecuencia, el presente Reglamento no afecta al tratamiento de dicha información anónima, inclusive con fines estadísticos o de investigación.

4.1 SEUDONIMIZACIÓN Vs ANONIMIZACIÓN.

A través de la definición de dato personal se introduce en la normativa de protección de datos una tercera categoría de dato personal ubicada entre el dato personal y la anonimización. Esta categoría nueva es denomina por el RGPD como la “Seudonimización”, definida en el apartado 5 del art. 4 relativo a las definiciones:

5) «seudonimización»: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable;

La seudonimización no implica, una completa anonimización de los datos o disociación completa sin retorno o imposibilidad de reversión de los mismos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional. Esta información adicional, se encontrará separada por tanto de los datos seudonimizados, y almacenada y custodiada con las debidas medidas de seguridad para garantizar que los datos personales no se atribuyan a una determinada persona. De esta manera se consigue un tratamiento más seguro por parte del responsable que sólo autorizará a aquellas personas (trabajadores o terceros) el acceso a la identificación del interesado cuando sea necesario para el ejercicio de las funciones u obligaciones encomendadas (considerando 29).

La seudonimización a diferencia de la anonimización, sí es considerada como un dato personal por el RGPD, quién a través del considerando 26 establece:

Los datos personales seudonimizados, que cabría atribuir a una persona física mediante la utilización de información adicional, deben considerarse información sobre una persona física identificable.

A través de esta técnica se pretende garantizar un mayor respeto a la privacidad de los interesados o afectados, ya que pesar de considerarse datos personales (considerando 26) el responsable limita el acceso a determinadas personas autorizadas, y por tanto reduce el riesgo en el tratamiento (considerando 28). Además, el RGPD crea incentivos para que los responsables apliquen la técnica de seudonimización, estableciendo obligaciones menos estrictas para los responsables quienes por ejemplo podrán procesar datos con seudónimo con finalidades distintas a las establecidas en la recogida o con fines científicos, históricos o estadísticos.

En este sentido comprobamos que la seudonimización puede jugar un gran papel en el contexto de la Privacidad por Diseño, considerándose como una buena práctica el uso de esta técnica para garantizar un tratamiento de datos más seguro.

PREGUNTAS FRECUENTES:

Si un interesado ejerce su derecho a cancelación ¿es posible anonimizar sus datos y usarlos también para fines estadísticos toda la vida? ¿O pasado el plazo legal de conservación tengo que borrarlos de mis bases de datos?

La Anonimización trae consigo la irreversibilidad del dato, es decir el dato se encuentra disociado y el responsable o cualquier tercero que acceda al dato no podrán identificar a la persona física. La AEPD ha publicado una guía muy interesante sobre estas cuestiones en este enlace (pdf).

Desde el momento en que se anonimiza el dato, el mismo deja estar dentro del ámbito de aplicación de la normativa de protección de datos, ya que es materialmente imposible identificar a la persona física, por tanto el responsable o un tercero podrá tratar, ceder o comunicar sin necesidad de consentimiento alguno, obligación de información o cumplimiento de obligaciones en materia de protección de datos. Desde el momento en que se anonimiza el dato el mismo no incide sobre la privacidad del individuo.

La anonimización puede ser realizada por la empresa siempre, ya que el resultado no es un dato personal sino información empresarial que no afecta a la privacidad de las personas físicas, pues las mismas no son identificables, de esta manera la información puede ser utilizada por la empresa para cualquier actividad, bien sean estadísticas, estudios, investigaciones, o toma de decisiones, Big Data etc…

¿La información seudonimizada puede utilizarse con finalidades distintas a las que se establecieron en su recogida sin necesidad de solicitar consentimiento alguno? ¿Existen más facilidades en su tratamiento?

La seudonimización no implica, una completa anonimización de los datos o disociación completa sin retorno o posibilidad de reversión de los mismos, ya que existe siempre la posibilidad de identificar al interesado a través de información adicional. Esta información adicional, se encontrará separada por tanto de los datos seudonimizados, y almacenada y custodiada con las debidas medidas de seguridad para garantizar que los datos personales seudonimizados no se atribuyan a una determinada persona física. De esta manera, se consigue un tratamiento más seguro por parte del Responsable que sólo autorizará a aquellas personas (trabajadores o terceros) el acceso a la identificación del interesado cuando sea necesario para el ejercicio de las funciones u obligaciones encomendadas.

Por otro lado, el RGPD establece que se puedan tratar los datos personales con otras finalidades a las utilizadas en la recogida, si se dan los requisitos que el apartado 4 del art. 6. En concreto de entre dichos requisitos destaca la letra e) que establece la seudonimización como una garantía de seguridad que posibilitaría el uso del dato con finalidad distinta a la recogida.

El dato seudonimizado aporta mayores garantías de seguridad, ya que no identifica a la persona durante su procesamiento del dato, permitiendo realizar tratamientos de datos sin implantar todas las medidas de seguridad que serían necesarias en caso de no estar seudonimizados, de ahí que el RGPD promueva su aplicación por los responsables y encargados de tratamiento.

4.2 DATOS GENÉTICOS Y BIOMÉTRICOS.

El RGPD introduce una serie de nuevas definiciones en las categorías especiales de datos, como son los datos genéticos y biométricos los cuales define en el art. 4 apartado 13 y 14, y complementa en los considerandos 34, 35 y 51.

De esta manera por un lado define como Dato Genético como:

datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona”.

Por otro lado, define Dato Biométrico como:

datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

Estas nuevas categorías de datos se incluyen entre las categorías especiales de datos (lo que en nuestra normativa denominamos datos especialmente protegidos), pero sólo en aquellos supuestos en los que están siendo tratados con el fin de identificar de forma única a una persona. En este sentido conviene hacer mención al considerando 51, que establece que las fotografías no deben de considerarse como un dato sensible pese a tratarse de imágenes faciales,

pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.

Adicionalmente el RGPD también realiza una definición de Dato de Salud como aquellos “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. Además de esta definición el considerando 35 viene a aclarar y a incluir dentro de la categoría de datos de salud a aquellos referidos a una asistencia sanitaria.

PREGUNTAS FRECUENTES:

¿Qué tratamiento recibe con el RGPD la huella dactilar para el control de acceso a los edificios o el control de presencia laboral? ¿es un dato de especialmente sensible?

La huella dactilar se considera un dato biométrico a ojos del RGPD. El uso de la huella, actualmente, es puramente identificativo, una captación por infrarrojos de una imagen de un dedo que mediante un tratamiento informático se relaciona con otra serie de datos registrados para identificar a la persona.

El RGPD cataloga estos datos como especialmente sensibles cuando son tratados para identificar a una persona de forma única. En estos supuestos el responsable o en su caso encargado deberá proteger dicho dato de forma especial para evitar que terceros puedan utilizar el dato y suplantar la personalidad del interesado. Básicamente podría asimilarse la contraseña de acceso a los sistemas de información que debe de permanecer encriptada para dar fiabilidad al sistema y garantizar que sólo el usuario puede conocer la misma, de esta manera garantizamos que sólo el usuario es el que pudo acceder ya que nadie podía acceder a la contraseña. Por tanto, si la huella dactilar digitalizada puede identificar a una persona de manera unívoca deberá ser conservada y administrada con las debidas garantías de seguridad, integridad y confidencialidad, ya no sólo para garantizar la privacidad del interesado sino por la propia fiabilidad del sistema que lo utilice para la identificación y autenticación de las partes o interesados.

4.3 OTRAS DEFINICIONES RELEVANTES.

A parte de los conceptos nuevos introducidos anteriormente señalados el RGPD hace referencia a determinados conceptos o figuras nuevas que merece la pena destacar y tener en consideración dichos conceptos son:

3) «limitación del tratamiento»: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro;

4) «elaboración de perfiles»: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física;

 12) «violación de la seguridad de los datos personales»: toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos;

16) «establecimiento principal»:

a) en lo que se refiere a un responsable del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro establecimiento del responsable en la Unión y este último establecimiento tenga el poder de hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales decisiones se considerará establecimiento principal;

b) en lo que se refiere a un encargado del tratamiento con establecimientos en más de un Estado miembro, el lugar de su administración central en la Unión o, si careciera de esta, el establecimiento del encargado en la Unión en el que se realicen las principales actividades de tratamiento en el contexto de las actividades de un establecimiento del encargado en la medida en que el encargado esté sujeto a obligaciones específicas con arreglo al presente Reglamento;

17) «representante»: persona física o jurídica establecida en la Unión que, habiendo sido designada por escrito por el responsable o el encargado del tratamiento con arreglo al artículo 27 (Representantes de responsables o encargados del tratamiento no establecidos en la Unión), represente al responsable o al encargado en lo que respecta a sus respectivas 0obligaciones en virtud del presente Reglamento;

18) «empresa»: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica; 

19) «grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus empresas controladas;

20) «normas corporativas vinculantes»: las políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresas dedicadas a una actividad económica conjunta;

21) «autoridad de control»: la autoridad pública independiente establecida por un Estado miembro con arreglo a lo dispuesto en el artículo 51 (Autoridad de Control);

22) «autoridad de control interesada»: la autoridad de control a la que afecta el tratamiento de datos personales debido a que:

a) al responsable o el encargado del tratamiento está establecido en el territorio del Estado miembro de esa autoridad de control;

b) los interesados que residen en el Estado miembro de esa autoridad de control se ven sustancialmente afectados o es probable que se vean sustancialmente afectados por el tratamiento, o

c) se ha presentado una reclamación ante esa autoridad de control;

23) «tratamiento transfronterizo»:

a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o

b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro; 

24) «objeción pertinente y motivada»: la objeción sobre la existencia o no de infracción del presente Reglamento, o sobre la conformidad con el presente Reglamento de acciones previstas en relación con el responsable o el encargado del tratamiento, que demuestre claramente la importancia de los riesgos que entraña el proyecto de decisión para los derechos y libertades fundamentales de los interesados y, en su caso, para la libre circulación de datos personales dentro de la Unión;

CONCLUSIONES

  • Dato personal es información sobre una persona física identificada o identificable.
  • Los datos de ubicación, identificadores digitales u otros factores relacionados con una persona física son datos personales.
  • La probabilidad de identificación se mide con factores objetivos como costes y tiempo necesario para la identificación.
  • Aquella información que no guarda relación con una persona física identificada o identificable, se considera información anónima excluida del ámbito de aplicación del RGPD.
  • El dato seudónimo está sujeto al RGPD, pero los requisitos aplicables son menos estrictos.
  • El RGPD recomienda a las organizaciones aplicar la seudonimización, ya que facilita el tratamiento de datos personales con fines científicos, históricos y estadísticos o para otras finalidades distintas de las originales.
  • Los Datos Biométricos y Genéticos se consideran como datos sensibles si son tratados con medios técnicos específicos que permita la identificación o la autenticación de forma unívoca del interesado.
13
Mar

DPO&IT Law participará en la Jornada «Delegado de Protección de Datos (DPO)» de APEP

Fernando Ramos, socio-director de DPO&IT Law, participará como ponente en la la Jornada Delegado de Protección de Datos (DPO) que la Asociación Profesional Española de Privacidad – APEP ha organizado en colaboración con el Ilustre Colegio de Abogados de Madrid el próximo 16 de marzo por la mañana.

DPO&IT Law debatirá los aspectos generales del Reglamento General de Protección de datos (RGPD) que afectan al Delegado de Protección de Datos (DPO) junto a Cecilia Álvarez, presidenta de APEP y European Data Protection Officer Lead en Pfizer, y Carmen Pérez Andújar, Diputada 9 y Secretaria de la Junta de Gobierno del Ilustre Colegio de Abogados de Madrid.

Más información del evento y registro al evento desde este enlace.

13
Mar

Seminario sobre «Bitcoin y la Tecnología Blockchain» en IE University

Fernando Mª Ramos, socio director de DPO & IT Law, impartió el paso jueves 9 de abril el seminario «Bitcoin y la Tecnología Blockchain” para alumnos de distintos grados del Instituto de Empresa University dentro de la asignatura opcional «Tecnologías disruptivas”.

6
Mar

Introducción al Reglamento General de Protección de Datos (RGPD)

El Parlamento Europeo dio el visto bueno definitivo el pasado 14 de abril de 2016, a la normativa de protección de datos europea, tras un largo proceso legislativo de más de cuatro años. Con la aprobación del RGPD se establecen nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión Europea en materia de protección de datos.

La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos, supone que el mismo será de aplicación directa a todos los Estados Miembros de la Unión Europea sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la protección de datos de la Unión Europea, que se constituye como un pilar básico de las garantías y libertades en Europa.

A través del principio de responsabilidad proactiva o “Accountability” que introduce el RGPD, los responsables de tratamiento y los encargados deberán implantar medidas que garanticen y permitan demostrar el cumplimiento del RGPD a través de políticas adaptadas a las necesidades de la organización.

Desde DPO&ilaw, hemos estudiado y analizado las implicaciones que supone dicha normativa de protección de datos, y a través de distintas entregas iremos publicando en el nuestro Blog las distintas claves para una correcta interpretación y aplicación.

Como primera entrega ponemos a vuestra disposición

 

1. INTRODUCCIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Rgto. (UE) 2016/679, ENTRADA EN VIGOR, OBJETO Y ÁMBITO DE APLICACIÓN

INTRODUCCIÓN:

El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española, y reconocido por el Tribunal Constitucional en la STC 292/2000.

El fundamento quinto de dicha sentencia confirma la interpretación conforme a la cual el art. 18.4 de la CE incorpora un nuevo derecho fundamental a la protección de datos.

“Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos, cuya concreta regulación debe establecer la ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran”.

Siguiendo la sentencia 292/2000 en su fundamento jurídico sexto, el objeto de protección del derecho a la protección de datos alcanza:

cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la Protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que, por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así́ lo garantiza su derecho a la Protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan Protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo”.

Estamos por tanto ante un derecho fundamental recogido por nuestra Constitución Española y reconocido por nuestro más alto Tribunal, que es desarrollado por la legislación española en la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la mencionada Ley Orgánica (en adelante RLOPD).

Asimismo, el marco legislativo europeo también reconoce este derecho a la protección de datos y obliga a todos los Estados miembros a garantizarlo a sus ciudadanos. El artículo 8, de la Carta de los Derechos Fundamentales de la Unión Europea en sus apartados 1 y 2 establece:

  1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
  2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.

Por otro lado, el artículo 16 del Tratado de Funcionamiento de la Unión Europea en sus apartados 1 y 2 establece:

  1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
  2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes.

Se trata por tanto de un derecho que tiene toda persona, sin importar la nacionalidad o residencia, a la protección de los datos de carácter personal que la conciernan.

Por su parte la Unión Europea ha desarrollado este derecho a la protección de datos a través de diversas directivas[1] como la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. A través de la misma, se pretendió armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal, y garantizar la libre circulación de estos datos entre los Estados miembros. Sin embargo, la transposición por los Estados miembros de la Directiva 95/46/CE en el territorio de la Unión se hizo de manera fragmentada, con diferencias en el nivel de protección de los derechos y libertades de las personas físicas, y en particular del derecho a la protección de los datos de carácter personal, impidiendo la libre circulación de los datos de carácter personal en la Unión. Estas diferencias, han constituido un obstáculo al ejercicio de las actividades económicas dentro de la Unión, pudiendo falsear la competencia e impedir que las Autoridades competentes cumplan las funciones que les incumben en virtud del Derecho de la Unión.

Estas divergencias, así como la obsolescencia tecnológica de la Directiva 95/46 provocan que en el año 2012 la Comisión Europea presente un proyecto de propuesta de Reglamento de Protección de Datos General, confirmando así la necesidad de una reforma a gran escala de la normativa de protección de datos. A raíz de las numerosas enmiendas al proyecto de la Comisión propuestas por el Parlamento Europeo en el año 2014, se pasó la propuesta al Consejo de la UE y se inició durante el año 2015 entre la Comisión, el Parlamento y el Consejo un proceso de negociación conocido como el diálogo a tres bandas, para finalmente obtener una versión final del Reglamento a finales de 2015. Finalmente, el pasado 14 de abril de 2016 el Parlamento Europeo dio el visto bueno definitivo a la normativa europea de protección de datos tras un largo proceso legislativo de más de cuatro años, que concluye con la aprobación del REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD).

Se reforma por tanto con el RGPD la normativa de protección de datos europea, estableciendo nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión Europea en materia de protección de datos.

La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos supone una aplicación directa del mismo a todos los Estados Miembros de la UE sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la protección de datos de la Unión Europea, que se constituye como un pilar básico de las garantías y libertades en Europa.

A través del RGPD se consigue armonizar en todos los Estados miembros de la UE la dispersión normativa existente hasta entonces en materia de protección de datos. El RGPD por tanto es una norma única de aplicación directa a todos los Estados cuyo objetivo principal es otorgar un mayor control a los ciudadanos europeos sobre su información privada, y permitir una aplicación uniforme en toda la Unión Europea con el objetivo de alcanzar un nivel de protección de datos razonable en todo el territorio de la UE que evite la aplicación las diferentes normativas de cada Estado miembro.

  • El derecho a la protección de datos es un derecho fundamental recogido en la Constitución Española en el art.18.4 y reconocido por el Tribunal Constitucional.
  • Se trata de un derecho a la protección de los datos de carácter personal que le conciernan.
  • El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las normas nacionales de los Estados.

 

1. ENTRADA EN VIGOR

Conforme el art. 99 del RGPD el mismo entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, es decir el 24 de mayo de 2016, sin embargo sólo será directamente aplicable y obligatorio en todos sus elementos en cada Estado Miembros a partir del 25 de mayo de 2018, disponiendo por tanto los Estados Miembros y sus respectivas Autoridades de Control de un periodo de 2 años para su maduración, preparación, aplicación e interpretación de los distintos derechos y obligaciones que establece. Esto supone, que las leyes nacionales de protección de datos dejarán de ser aplicables en la medida en que se opongan al contenido del Reglamento.

Hasta entonces, tanto la Directiva 95/46 como la normativa española (LOPD y el RLOPD) serán plenamente válidas y aplicables.

Por otro lado, en la medida en que el RGPD establezca que sus normas deben ser especificadas o restringidas por el Derecho de los Estados miembros, será necesario la incorporación al Derecho nacional de diversos elementos del RGPD para que las disposiciones nacionales sean comprensibles para todos los ciudadanos de la Unión.

Siguiendo estas directrices marcadas por el RGPD, el Ministerio de Justicia ha encargado a la Sección Tercera de la Comisión General de Codificación, presidida por José Luis Piñar Mañas, el estudio o redacción del borrador de Ley Orgánica de Protección de Datos en España, de tal forma que la misma sea modificada en la medida en que se oponga al contenido del Reglamento e introduzca aquellos elementos necesarios del RGPD que permita una mejor comprensión para los ciudadanos españoles. Así mismo, el RGPD está siendo estudiado por la Agencia Española de Protección de Datos en conjunto con diversas Asociaciones y Operadores sectoriales para la elaboración de guías de trabajo que faciliten la aplicación y comprensión del RGPD en España. En esta misma tarea se encuentra el Grupo de Trabajo 29, de tal manera que determinados conceptos que hayan podido quedar indeterminados o de difícil interpretación podrán ser abordados y estudiados durante estos dos años para su correcta aplicación e implantación en la Unión Europea.

  • El RGPD entra en vigor el 24 de mayo de 2016 pero es de aplicación obligatoria para todos los Estados miembros el 25 de mayo de 2018.
  • Hasta la aplicación obligatoria tanto la Directiva europea 95/46, como la LOPD y el RLOPD de la normativa española son plenamente válidas y aplicables.

 

2. OBJETO Y ÁMBITO DE APLICACIÓN

2.1 OBJETO

El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE, no pudiendo ser restringida ni prohibida.

La protección se otorga a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.

¿Qué ocurre entonces con la excepción establecida por nuestro RLOPD en su artículo 2.2 para los ficheros de contactos profesionales?

Artículo 2.2. (RLOPD)

Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales

Por el momento todo apunta a que dicha excepción no operará con el RGPD, ya que el mismo establece, no será de aplicación a las personas jurídicas y en particular a las empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto (considerando 14 del RGPD). Por tanto, todo apunta a que el mismo también será aplicable a las personas físicas que presten servicios en aquellas, ya que la excepción únicamente opera sobre nombre y la forma y los datos de contacto.

Por tanto, si el RGPD no establece esta distinción en el objeto o ámbito de aplicación debemos entender que hasta tanto en cuanto exista un pronunciamiento del Comité o la Comisión los datos personales de los contactos profesionales quedarán dentro del ámbito de aplicación del RGPD.

 

2.2. ÁMBITO DE APLICACIÓN MATERIAL

El ámbito de aplicación Material se encuentra regulado en el art. 2, y en los considerandos 14 a 21 y 27.

Artículo 2: Ámbito de aplicación material

  1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
  2. El presente Reglamento no se aplica al tratamiento de datos personales:
    1. en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
    2. por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
    3. efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
    4. por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Al igual que en la normativa española el RGPD será aplicable tanto al tratamiento automatizado como al tratamiento manual, siempre y cuando estos últimos estén estructurados con arreglo a unos criterios específicos de organización.

Por otro lado, también se mantienen las mismas actividades de exclusión que en la normativa española como las actividades domésticas o las destinadas a la seguridad nacional. A este respecto merece especial atención el considerando 18 del RGPD que establece como actividades personales o domésticas la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades domésticas.

Asimismo, al igual que nuestra normativa, en el considerando 27 se excluye del ámbito de aplicación a las personas fallecidas.

 

2.3. ÁMBITO DE APLICACIÓN TERRITORIAL

El ámbito de aplicación Territorial se encuentra regulado en el art. 3, y en los considerandos 22 a 25.

Artículo 3: Ámbito territorial

  1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
  2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
    1. la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
    2. el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
  3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con el fin de garantizar que las organizaciones no europeas puedan evitar la aplicación de la normativa de protección de datos simplemente por encontrarse fuera de la UE, el RGPD introduce una nueva disposición para considerar aplicable el mismo a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos. De esta manera se reemplaza el criterio de medios por el de servicios.

Recientemente tribunales y reguladores de la Unión Europea han manifestado su apoyo a una interpretación amplia de la norma relativa a la aplicabilidad de la ley europea que incorpora el RGPD. En efecto, el Tribunal de Justicia de la Unión Europea (TJUE) en su decisión de mayo de 2014 (conocido como el caso “Costeja” de Google España o el derecho al olvido) estableció la aplicación de la Directiva 95/46 pese a que el negocio del buscador no se encontraba ubicado en España, debido a que el tratamiento de datos en cuestión se encontraba relacionado con dicho negocio de búsqueda para venta de espacios publicitarios por Google España. Del mismo modo, la Autoridad de control de privacidad Belga (mayo de 2015) emitió una recomendación en la que aclaró que la legislación belga aplica a las actividades de Facebook en Bélgica sin tener en cuenta los argumentos de Facebook acerca del tratamiento de los datos realizado en suelo Irlandés.  Igualmente, en octubre de 2015 el TJUE dictaminó en el caso “Weltimmo” que el concepto de establecimiento en virtud de la actual Directiva sobre Protección de Datos debe interpretarse en sentido amplio, de tal forma que las actividades mínimas en un Estado miembro pueden producir la aplicación de la ley local de dicho Estado miembro.

De esta manera si una organización no establecida en la UE está procesando los datos personales de ciudadanos de la UE en actividades relacionadas con la oferta de productos o servicios a dichas personas, o realizando un seguimiento, monitorización y estudio del comportamiento (como por ejemplo el seguimiento a través de Cookies) deberá cumplir plenamente con el contenido del RGPD.

Analizando los elementos de aplicación del Derecho de la Unión, nos encontramos que el considerando 23 del RGPD relativo a las ofertas de productos y servicios establece lo siguiente:

“si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”.

Por otro lado, para determinar si existe monitorización o seguimiento del comportamiento de la persona el considerando 23 del RGPD establece lo siguiente:

“debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”. La redacción parece por tanto estar diseñada principalmente para incluir al sector del marketing digital o comportamental (aunque habrá otros servicios a los que podrá ser aplicable) los cuales crean perfiles de acuerdo con el comportamiento que se produce por un dispositivo utilizado por persona física para el envío de publicidad personalizada.”

Será por tanto aplicable el RGPD a toda empresa extranjera que, aunque no tenga “equipos informáticos o medios” situados en la UE (como se requiere en virtud de la Directiva de protección de datos), realiza una actividad real orientada de forma deliberada a personas o ciudadanos ubicados en la UE.

Finalmente, como veremos más adelante, para estos casos será necesario designar un representante en la Unión Europea que atienda las cuestiones relacionadas con la Protección de Datos de los titulares de los datos o interesados europeos, así como cualquier requerimiento de las Autoridades de Control.

 

CONCLUSIONES

  • Es aplicable a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.
  • No aplica a las Personas jurídicas, pero sí a las personas físicas que presten servicios en aquellas.
  • Tampoco se aplica a las actividades personales o domésticas, ni a las personas fallecidas.
  • Las organizaciones no establecidas en la UE que ofrecen bienes o servicios a ciudadanos EU, o que vigilan su comportamiento se encuentran dentro del ámbito de aplicación del RGPD.

 

[1] Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas o directiva sobre la privacidad y las comunicaciones electrónicas y la Directiva 2006/ 24/CE sobre conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies