Velázquez, 109. Madrid (Spain - Europe)

+34.915649345 info@abanlex.com

8 elementos que definen la situación actual del Reglamento General de protección de datos

Artículo elaborado por Pablo Uslé (@UslePR), abogado de Abanlex.

El pasado miércoles, 21 de octubre, se celebró en el salón de actos de la sede de la CEOE en Madrid una interesante jornada en la que D. Rafael García Gozalo, coordinador del Área Internacional de la Agencia Española de Protección de Datos, desmenuzó la situación que atraviesan las negociaciones entre Comisión Europea, Parlamento y Consejo para la definitiva aprobación del esperado Reglamento General de Protección de Datos.

Imagen cedida por Alina Zienowicz
Imagen cedida por Alina Zienowicz

Tras más de seis años de negociaciones, y continuas dilaciones causadas por la complejidad del asunto, la trascendencia de los intereses en juego y las dificultades añadidas que se derivan de haber abordado su elaboración conjuntamente con una directiva que regulará el tratamiento de los datos personales en el marco de la cooperación judicial y policial en materia penal (package aproach), parece que el texto definitivo del Reglamento será publicado a finales de 2015 o principios de 2016. Para ello deberán acercarse notablemente las posturas actuales de los miembros del Trílogo en no pocos aspectos del texto. D. Rafael García Gozalo expuso tales obstáculos a lo largo de su ponencia.

1. Armonización. En primer lugar, mencionó que la elección del reglamento como forma de actualización de la normativa de protección de datos recibió críticas de numerosos Estados Miembros, que consideraban que este instrumento normativo, directamente aplicable, no era suficientemente flexible para adaptarse a los regímenes de protección de datos de cada uno de ellos que, pese a compartir punto de partida: la Directiva 95/46/CE; contaban con sus propias peculiaridades. A pesar de que, efectivamente, el reglamento es una herramienta de homogeneización y no de armonización, en opinión de D. Rafael García Gozalo el texto del Reglamento sí garantiza flexibilidad, puesto que muchos de sus conceptos jurídicos han de delimitarse por las normativas internas. Citó como ejemplo el concepto de “interés público”, una de las bases legales legitimadoras del tratamiento que ya se encontraba en la Directiva, y que seguirá siendo delimitado conforme a las normativas internas.

2. Ámbito de aplicación. En cuanto al ámbito de aplicación territorial, el ponente indicó que el Reglamento se aplicará a los Responsables o Encargados del tratamiento que estén establecidos en la Unión Europea, por lo que mantiene el ámbito de la Directiva. No obstante añade un nuevo inciso, puesto que también se aplicará a los Responsables que no se encuentren en el Espacio Económico Europeo pero presten servicios dirigidos a ciudadanos europeos. En lo que respecta al ámbito subjetivo, el Parlamento quería que el Reglamento se aplicara también a las propias instituciones de la UE, pero la Comisión y el Consejo no lo han secundado. En compensación, se han comprometido a revisar el Reglamento 45/2001, que regula esta clase de tratamientos. Asimismo, han surgido controversias en cuanto al ámbito material del Reglamento, ya que el Consejo ha introducido una referencia a la “seguridad pública” que podría convertirse en un cajón de sastre, además de invadir el ámbito de aplicación de la nueva directiva en trámite. D. Rafael García Gozalo considera que esta es una de las cuestiones en las que más difícil será alcanzar un acuerdo.

3. Principio de finalidad. El principio de finalidad es uno de los principios inspiradores de toda la normativa actual. Garantiza que los datos personales se traten exclusivamente para finalidades expresas y definidas, y no para otras finalidades incompatibles. La Comisión ha querido modificar este principio clásico introduciendo la posibilidad de que los datos sí se utilicen para otras finalidades diferentes a aquéllas para las que fueron obtenidos siempre y cuando se encuentre una nueva base legal. Aunque el Parlamento quiso eliminarlo, el Consejo refrenda la posición de la Comisión.

4. Consentimiento. El consentimiento es la principal base legal legitimadora del tratamiento de datos personales. En la Directiva 95/46/CE se hablaba de consentimiento “inequívoco”, mientras que la Comisión lo modificó en su propuesta por consentimiento “explícito”. El Parlamento siguió la misma línea, mientras que el Consejo ha vuelto al consentimiento “inequívoco”, reservando el “explícito” para tratamientos de datos sensibles, que permitan la elaboración de perfiles o para transferencias internacionales basadas en consentimiento. Sin embargo, la cuestión terminológica pierde relevancia dado que el Reglamento incluye la definición de consentimiento, que se configura como una acción positiva o declaración. Por tanto, parece que el consentimiento tácito, basado en la inacción, perdería su operatividad.

5. Perfilado. La Comisión y el Consejo simplemente establecen unas medidas o decisiones, pero el Parlamento ha incluido una disposición en la que lo regula expresamente. En particular, establece que los interesados pueden oponerse a la realización de su perfil cuando la base legal que hubiera utilizado el responsable no fuera el consentimiento (por ejemplo, el interés legítimo). Es decir, según la versión del Parlamento, no existiría ponderación entre los intereses personales del afectado y el interés legítimo del Responsable: la oposición se tendría que conceder en todo caso.

6. Accountability o responsabilidad activa. La Comisión obligaba a que Responsable y Encargado implementaran todas las medidas descritas en su propuesta, entre las que se encontraban deberes de documentación, la realización de evaluaciones de impacto o el seguimiento del principio de privacy by design, entre otras. De lo contrario, estarían infringiendo el Reglamento El Parlamento, en cambio, concede más libertad ya que permite que Responsables y Encargados implementen las medidas que crean oportunas en función de que el riesgo sea “alto” o “estándar”. El problema reside en que apenas existen referencias en el Reglamento que clasifiquen qué riegos son “altos” y qué riegos son “estándar”. Un Considerando remite a las DPA’s (y por lo tanto, al Consejo Europeo de Protección de Datos, que sustituirá al Grupo de Trabajo del artículo 29) a elaborar guías en este sentido.

En cuanto al deber de documentación, la versión del Parlamento aboga por excluir a las PYMES que no realicen tratamientos de alto riesgo. Respecto de la obligación de notificar brechas de seguridad, el Consejo la ha limitado a aquellos casos en que exista un alto riesgo de que se vean afectados derechos e intereses de los afectados y ha aumentado el catálogo de excepciones añadiendo, junto a las brechas de seguridad que afecten a datos ininteligibles (por ejemplo, cifrados), las quiebras en las que el Responsable haya tomado las medidas necesarias para evitar la materialización del riesgo. La versión del Consejo también ha introducido novedades respecto de la figura del Data Protection Officer (DPO), ya que dispone que será voluntario salvo que la legislación nacional o europea determinen lo contrario. Según D. Rafael García Gozalo, esta mención se ha introducido para salvaguardar las posturas de Alemania y Francia, cuyas normativas internas lo han configurado como obligatorio. También apuntó que la normativa europea se refiere necesariamente a la normativa sectorial.

7. Trasferencias internacionales de datos. La única discrepancia consiste en que la versión del Parlamento dispone que las transferencias a autoridades judiciales de terceros Estados deberán ser autorizadas por la DPA correspondiente. Por otro lado, se utiliza el concepto “exportador” en lugar del “responsable exportador” de la Directiva 95/46/CE, por lo que se despejan las dudas de que un Encargado también pueda ser exportador.

8. Responsabilidad por daños. El régimen de responsabilidad varía, ya que las diferentes versiones configuran una responsabilidad solidaria entre Responsable y Encargado cuando todos ellos tengan parte de culpa.

Para finalizar, D. Rafael García Gozalo apuntó, en respuesta a la pregunta de un asistente, que la publicación del Reglamento no supondrá la derogación formal de las normativas internas de los Estados Miembros, sino que éstas simplemente serán inaplicables en aquellos aspectos en que contradigan a aquél. En consecuencia, la dificultad se traslada a los operadores, que deberán analizar conjuntamente las normas para localizar la aplicable.

Deja un comentario