Por Francisco Ramón González-Calero Manzanares
Tras más de cuatro años de tramitación legislativa, el pasado 14 de abril el Parlamento Europeo aprobaba en segunda lectura el REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos RGPD). Por su parte el Consejo de la Unión Europea había hecho lo propio en primera lectura el 8 de abril.
Su entrada en vigor se producirá a los 20 días de su publicación en el Diario Oficial de la Unión Europea, aunque se pospone su entrada en aplicación hasta los dos años de la entrada en vigor, en parte para dar tiempo a desarrollar determinados actos delegados previstos en el mismo y en parte para que las empresas, organizaciones y administraciones públicas tengan tiempo suficiente para adaptarse a los cambios introducidos.
En definitiva, estas son algunas de las cuestiones que deberán ser tenidas en cuenta a la hora de realizar tratamientos de datos de carácter personal:
1. Que desaparezca la obligación de notificar los tratamientos a la autoridad de control no exime de la obligación de tenerlos identificados, puesto que existe la obligación de llevar internamente un registro de tratamientos realizados.
2. Se mantienen como piedras angulares del sistema el deber de información, el consentimiento y la calidad de los datos, al disponer que los tratamientos se deben realizar de manera leal, lícita y transparente. El consentimiento continúa siendo inequívoco requiriendo una declaración o acción clara afirmativa por parte del interesado y se tiene que ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales. Únicamente en base al mismo o a alguna de las excepciones previstas (interés legítimo del responsable, ejecución de un contrato, etc), podrán realizarse tratamientos de datos. De igual manera debemos plantearnos qué datos son estrictamente necesarios para el tratamiento o durante cuánto tiempo los necesitamos. Finalmente debemos ser transparentes, informando previamente a los interesados con un lenguaje claro y sencillo, de forma inteligible y de fácil acceso sobre estos extremos, de los usos que se harán, de las cesiones previstas, del modo de ejercitar los derechos de acceso, rectificación, supresión y oposición, etc. En el caso de servicios de la sociedad de la información destinados a menores de 16 años se deberá contar con el consentimiento de quien tenga la patria potestad o tutoría legal, salvo que el Estado miembro rebaje esa edad, como máximo, a los 13 años.
3. Portabilidad de los datos. Nuevo derecho de los interesados pensado principalmente para servicios de cloud computing, mediante el cual se tiene derecho a recibir los datos personales en un formato “estructurado, de uso común y lectura mecánica” y poder transmitirlos a otro responsable de tratamiento.
4. La adhesión a códigos de conducta o el sometimiento a certificaciones aprobadas por la autoridad de control pueden ser considerados a la hora de valorar el cumplimento de las obligaciones dimanantes del RGPD, lo que los convierte en dos interesantes opciones a tener en cuenta. Además se encuentran entre los supuestos que consideran que la transferencia internacional de datos se ha realizado con garantías adecuadas. Debe tenerse en cuanta que se pueden producir transferencias internacionales en el momento que se utiliza una plataforma de cloud o servicio de correo electrónico o mensajería instantánea de empresas cuya matriz no se encuentra ubicada en la Unión Europea aunque sí tenga filiales establecidas en algún Estado miembro.
5. Se contempla una nueva categoría de tratamiento que relaja algunas de la obligaciones legales previstas, denominada seudonimización definida como “el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable”.
6. Evaluación de impacto en protección de datos. Se debe realizar con carácter obligatorio cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas y en concreto cuando se analicen sistemática y exhaustivamente aspectos de la personalidad de las personas físicas que se basen en tratamientos automatizados como la elaboración de perfiles (profiling), tratamiento a gran escala de categorías especiales de datos (salud, biométricos, genéticos, religión etc) y condenas e infracciones penales y vigilancia sistemática y a gran escala de zonas de acceso público.
7. Delegado de protección de datos. Profesional con grandes conocimientos teóricos y prácticos sobre privacidad. Es obligatorio para administraciones públicas, operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala y tratamiento a gran escala de categorías especiales de datos personales o condenas e infracciones penales.
8. Notificación de las violaciones de seguridad a la autoridad de control y en determinados supuestos a los interesados. Se debe notificar sin dilaciones indebidas y a ser posible antes de las 72 horas a la autoridad de control salvo que sea improbable que dicha violación suponga un riesgo para los derechos y libertades fundamentales de las personas. Si supone un probable alto riesgo para los derechos y libertades del individuo se deberá notificar al propio interesado, salvo que se hayan tomado medidas técnicas y organizativas apropiadas que conviertan a los datos en ininteligibles (por ejemplo que los datos estén encriptados, anonimizados, etc).
9. Ventanilla única. La autoridad de control del Estado donde radique el establecimiento principal será competente para actuar como autoridad principal de control del tratamiento transfronterizo de datos, lo que supondrá un gran ahorro de costes para entidades establecidas o que operen en varios Estados miembros de la Unión Europea. Eso sí, sin perjuicio de las competencias de las autoridades de control del Estado donde residan las personas afectadas por el tratamiento.
10. El hito principal del RGPD es la introducción de tres principios que obligarán a responsables y encargados de tratamiento a tener que tomar decisiones en materia de privacidad, o por decirlo coloquialmente “a mojarse” dejando a un lado los antiguos y obsoletos checklist, sistemas de copia pega y plantillas al uso, ya que ahora el sistema de protección se dota de una flexibilidad que le permita adaptarse al rápido desarrollo tecnológico, por lo que hacer lo mismo que el vecino ya no será garantía de cumplimiento normativo. El primero es el principio de privacidad desde el diseño y por defecto, que obliga a tener presente durante todo el ciclo de vida del dato a la privacidad con un enfoque proactivo y no reactivo. El segundo principio es del de enfoque basado en el riesgo, repetido a lo largo del RGPD, como puede ser en el desarrollo del principio de privacidad por diseño o en el relativo a las medidas de seguridad. Así se desprende del articulado del RGPD al regular estos supuestos: “teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas ….. aplicará ……. medidas técnicas y organizativas apropiadas …”. El tercer principio es el de responsabilidad o accountability del responsable de tratamiento, en virtud del cual se debe cumplir y poder justificar el cumplimiento de las estipulaciones del RGPD “teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”.
11. Reclamación judicial y sanciones administrativas. Toda persona tiene derecho a recibir una indemnización por daños y perjuicios como consecuencia de los daños materiales o inmateriales derivados de una infracción del RGPD. Por su parte las sanciones administrativas pueden llegar hasta los 10 000 000 € o una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior o bien hasta los 20 000 000 € o una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tomándose en ambos tramos el importe de superior cuantía.