Tras varios años de trabajo, el pasado 4 de mayo fue publicado en el Diario Oficial de la Unión Europea el Reglamento general de protección de datos, que constituirá, a partir del 25 de mayo de 2018 (fecha de aplicación prevista por el propio Reglamento), la normativa básica de referencia en el ámbito europeo en materia de protección de datos, en sustitución de la Directiva 95/46/EC.

Recogeremos y explicaremos en este primer post algunas de las novedades que trae consigo la citada norma, principalmente las relacionadas con la definición de consentimiento, la ampliación de la obligación de información a los interesados y de los nuevos derechos que les asisten, y dejaremos otras, como las relacionadas con las medidas técnicas u organizativas y con las transferencias internacionales, para un segundo post:

Naturaleza jurídica

La primera novedad reside en la naturaleza jurídica de la nueva norma. Al tratarse de un reglamento, desplegará efectos a partir de la fecha de aplicación prevista sin necesidad de su transposición a las legislaciones nacionales de los Estados Miembros.

En ese sentido, cabe tener presente que, aunque previsiblemente la legislación española será modificada en el lapso de los próximos dos años con el objetivo de ser adaptada al nuevo régimen, la aplicación del Reglamento prevalecerá sobre la legislación nacional que sea incompatible con él.

Ámbito objetivo. Sobre los datos profesionales de empresarios individuales y ficheros de contactos en las empresas

Aunque en este aspecto apenas hay cambios, sí cabe mencionar que en sus artículos 2.2 y 2.3, el Reglamento no excluye de su aplicación el tratamiento de datos profesionales de empresarios individuales ni tampoco los ficheros de contactos de personas que presten sus servicios en empresas (como sí hace el Reglamento de desarrollo de la LOPD en España). Ello a pesar de que en el procedimiento legislativo seguido en el Parlamento Europeo se presentaron enmiendas en ese sentido, y de que a lo largo de las consultas públicas previas celebradas por la Comisión, muchas empresas indicaron que tal exclusión sería deseable. Lo cierto es que la Comisión respondió en sus informes observando que el marco regulatorio ya es lo suficientemente flexible como para tratar esos datos profesionales conforme a su naturaleza, y que de acuerdo con la jurisprudencia del Tribunal Europeo de Derechos Humanos, actividades de naturaleza profesional o comercial se consideran también pertenecientes a la esfera privada de un individuo.

En definitiva, la cuestión de si los datos del empresario individual o de una persona de contacto de una empresa son excluidos del ámbito de protección de la nueva normativa, dependerá de si son considerados o no datos personales con arreglo a los criterios que vienen siendo aplicados. En ese sentido, puede ser de gran utilidad la opinión 4/2007 del Grupo del Artículo 29 sobre el concepto de dato personal.

Teniendo en cuenta lo expuesto, parece difícil compatibilizar el artículo 2.2 del Reglamento de desarrollo de la LOPD con el Reglamento general de protección de datos, al menos en lo que se refiere al “nombre y apellidos” de las personas que prestan sus servicios en empresas.

Ámbito territorial. Se extiende a responsables o encargados no establecidos en la UE

Además de a los responsables o encargados con establecimiento en la UE que traten datos personales, ya sea fuera o dentro de la Unión, en el contexto de las actividades de ese establecimiento, el ámbito territorial se extiende según su artículo 3 a los no establecidos en la UE siempre que realicen tratamientos de datos de interesados que residan en ella, derivados de una oferta de bienes o servicios destinados a esos interesados, o en relación con el control de su comportamiento.

El preámbulo del Reglamento (Considerandos 22 y 23) arroja luz sobre qué debe entenderse por establecimiento u oferta de bienes y servicios dirigida a residentes en la UE.

Definición de consentimiento. No cabe ya consentimiento tácito

El consentimiento se otorga “mediante una declaración o a través de una clara acción afirmativa”, y según el Considerando 32 del Reglamento “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”. Así pues, a partir del 25 de mayo de 2018, ya no será admisible el consentimiento tácito.

Sólo una declaración o una clara acción afirmativa otorgadas ya sea por escrito, verbalmente (aunque el responsable debe de poder probar que obtuvo el consentimiento) o por medios electrónicos, marcando por ejemplo una casilla en un formulario web, servirán en general para poder tratar datos personales (el trato de datos especialmente protegidos sigue requiriendo de “consentimiento explícito”). Los consentimientos recabados hasta esa fecha seguirán siendo válidos siempre y cuando cumplan las condiciones del Reglamento.

Por su lado, para la obtención de servicios online, el consentimiento dado por menores de 16 años (límite que los Estados Miembros pueden reducir a 13) requerirá autorización paterna.

Ampliación considerable de la obligación de información al interesado

Además de lo ya recogido en la normativa aún vigente se debe informar al interesado, según el artículo 13, también de:

  1. Los datos de contacto del delegado de protección de datos, en caso de que exista;
  2. El fundamento legal que legitima el tratamiento;
  3. Los legítimos intereses del responsable o del tercero, en caso de que se fundamente en ellos la legitimidad del tratamiento (encontramos ejemplos en los considerandos 47 a 50 del Reglamento);
  4. La intención de realizar una transferencia internacional, en su caso, y las características;
  5. Plazo de almacenamiento de los datos, o si no es posible, los criterios para determinarlo;
  6. La posibilidad de ejercitar el derecho a la portabilidad, a restringir el tratamiento y a la eliminación de los datos;
  7. El derecho a interponer una reclamación ante un organismo supervisor;
  8. El derecho a retirar el consentimiento en cualquier momento (y ojo porque debe ser “tan fácil retirar el consentimiento como darlo”);
  9. La existencia de decisiones individuales automatizadas, con la información significativa sobre su lógica de funcionamiento y consecuencias previstas para el interesado (ojo aquí, porque se exige que toda la información se facilite de forma inteligible y en un lenguaje claro y sencillo);
  10. La fuente de la que se han obtenido los datos, o si provienen de fuentes de acceso público, en caso de que no se obtengan del interesado.

Se regulan también los criterios para considerar otros fines compatibles con aquel para el que se recogieron los datos (los mismos criterios que ya analizó el Grupo del Artículo 29 en su opinión 03/2013). No se requiere consentimiento para el tratamiento de datos para un fin compatible, pero sí informar de ello al interesado.

El artículo 14 regula la forma y momento en que ha de informarse al interesado cuando los datos no han sido obtenidos directamente de él. Concretamente, debe informársele en un periodo de tiempo razonable, siempre dentro del plazo de un mes (menos de lo que hoy día establece la normativa española), o en la primera comunicación con el interesado si los datos personales han de utilizarse para comunicarse con él. Nótese además que no se recoge como excepción a este deber de información el hecho de que los datos procedan de fuentes públicas y se traten con fines publicitarios o de prospección comercial (excepción sí recogida ahora en la LOPD).

Nuevos derechos de los interesados

Regula los siguientes nuevos derechos del interesado en sus artículos 17, 18 y 20, que se añaden a los que ya existían de acceso, oposición, rectificación y cancelación:

  1. A la eliminación de los datos: el llamado derecho al olvido.
  2. A restringir el tratamiento: en caso de ejercerse el responsable del tratamiento habría de continuar almacenando los datos pero no podría usarlos.
  3. A la portabilidad de los datos: únicamente aplicable en el caso de datos tratados por medios automatizados, no en papel.

Las solicitudes de los interesados en ejercicio de sus derechos deben responderse “sin dilación indebida”, y en todo caso en un mes susceptible de prórroga (en la normativa española este plazo se reducía hasta 10 días).

Conclusiones

Sin duda se ha de valorar muy positivamente la naturaleza jurídica de la norma en lo que aporta al objetivo, muy deseable, de armonización (la Comisión valora el coste de la fragmentación normativa en 2,9 billones de euros al año), como también la clarificación introducida en diversos aspectos, como el ámbito territorial, eliminando la localización de los medios como factor determinante a la hora de aplicar la normativa europea a compañías sin establecimiento en la UE, o la definición de consentimiento, donde se había producido una importante disparidad normativa.

Por otro lado, la ampliación del deber de información, tanto en volumen como en complejidad, puede generar problemas habida cuenta de la condición a cumplir para la obtención del consentimineto consistente en que la información sea ofrecida a los interesados en un lenguaje claro y sencillo. A este respecto, pueden ser de gran ayuda los iconos normalizados, así como los códigos de conducta o certificaciones.

Continúa leyendo “Nuevo Reglamento general de protección de datos (II)”

Please follow and like us: