Contenido y novedades del Reglamento general de protección de datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016)

El DOUE ha publicado el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Junto a esta norma se ha publicado también la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circunlación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo DOUEL 04-05-2016 119  C.

Ambas componen lo que se conoce como el nuevo marco europeo de protección de datos:

El Reglamento Europeo de Protección de Datos unifica y moderniza la normativa europea sobre protección de datos, permitiendo a los ciudadanos un mejor control de sus datos personales y a las empresas aprovechar al máximo las oportunidades de un mercado único digital, reduciendo la burocracia y beneficiándose de una mayor confianza de los consumidores.

La Directiva Europea de Protección de Datos, por su parte, está destinada a los ámbitos policiales y de la Justicia. Pretende asegurar que los datos de las víctimas, testigos y sospechosos de la comisión de delitos, se encuentren debidamente protegidos en el ámbito de una investigación criminal o de aplicación de la ley. A la vez, esta normativa armonizada facilitará la cooperación transfronteriza de la policía y los fiscales para combatir más eficazmente el crimen y el terrorismo en toda Europa.

Por su importancia, reseñamos a continuación lo principal del Reglamento general de protección de datos.

Entrada en vigor y aplicabilidad

Según su artículo 99, el Reglamento “entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.”

Sin embargo, solo será aplicable “a partir del 25 de mayo de 2018”.

Como tal Reglamento de la Unión y según establece su frase final, “será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro”.

Finalidad del Reglamento

Según su art. 1, este Reglamento establece:

  1. Las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y
  2. Las normas relativas a la libre circulación de tales datos.

Ámbito de aplicación

Material

Según su art. 2 “El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.”

Y no se aplicará, en particular:

  1. Al ejercicio de actividades no comprendidas en el ámbito de aplicación del Derecho de la Unión
  2. A la actividad de las autoridades con fines de prevención o investigación de delitos o de protección de la seguridad pública,
  3. A las actividades de los Estados miembros comprendidas en el ámbito de aplicación del capítul
  4. Ni al tratamiento de datos efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.

Territorial

Es importante resaltar que, conforme a su artículo 3 “El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.”

Y, muy especialmente, según el número 2 del mismo artículo, el Reglamento se aplica también  al tratamiento de datos personales de residentes en la Unión “por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.”

Es decir, se aplica también al también al tratamiento de datos fuera de la Unión, lo que amplía notablemente su ámbito de aplicación.

Ese alcance tan amplio explica, según el catedrático de Derecho Administrativo y ex director de la AEPD José Luis Piñar Mañas, que el Reglamento sea un texto muy extenso y detallado.

Principios rectores

En el ámbito actual de la economía digital, los datos personales han adquirido una enorme relevancia económica, en particular en el área del Big Data. Ello tiene además directas consecuencias en el derecho a la privacidad de los ciudadanos.

En consecuencia, la nueva norma se basa en los siguientes principios:

  1. Un continente, una norma

La nueva normativa establece un único conjunto de normas aplicable en el conjunto de la Unión Europea.

  1. Ventanilla única

Los empresarios solo tendrán que relacionarse con un único supervisor en Europa, lo que se estima representará un ahorro de 2.300 millones de euros al año.

  1. Europa se rige por la normativa europea

Las empresas radicadas fuera de la Unión deberán aplicar las mismas reglas cuando ofrezcan sus servicios en la Unión Europea.

  1. Consideración de los riesgos específicos

Las nuevas normas evitarán pesadas obligaciones genéricas sobre el tratamiento de datos, adaptándolas apropiadamente a sus respectivos factores de riesgo.

  1. Privacidad desde el diseño

Las nueva regulación garantizará que la salvaguarda de la protección de datos se incorpora a los productos y servicios desde sus primeros estadios de desarrollo (Data protection by design). Se fomentarán las técnicas “Privacy-friendly”, como la seudoanonimización, para salvaguardar los beneficios de la innovación en Big Data a la vez que se protege la privacidad.

Este principio de privacidad desde el diseño (art. 25.1), significa que en el diseño de aplicaciones que traten datos personales, se tiene que garantizar la privacidad de los mismos desde el principio. Esto implica, por ejemplo, que en materia de redes sociales, los perfiles de privacidad de los usuarios estarán por defecto cerrados a otros usuarios, debiendo ser el usuario quien los abra a otros.

  1. La importancia del consentimiento

El consentimiento para el tratamiento de los datos deberá “libre, específico, informada e inequívoco” y el responsable del tratamiento de los datos deberá poder probar que el titular “consintió el tratamiento de sus datos”.

Por tanto, en virtud del principio de responsabilidad, el responsable del tratamiento aplicará las medidas adecuadas para poder demostrar que ese consentimiento se prestó en la forma adecuada.

Nuevos derechos de los ciudadanos

Según el profesor Piñar, con esta nueva norma se acabaron los conocidos en España como derecho ARCO (Acceso, Rectificación, Cancelación y Oposición). El nuevo Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información (arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación del tratamiento (art. 18),  Portabilidad de datos (art. 20) y Oposición (art. 21).

Estructura

Se trata de una norma muy extensa, que consta de 173 considerandos previos y 99 artículos, agrupados en once capítulos, con la siguiente estructura:

Capítulo I. Disposiciones generales (arts. 1. Objeto, a 4. Definiciones)

Capítulo II. Principios (arts. 5. Principios relativos al tratamiento, a 11. Tratamiento que no requiere identificación)

Capítulo III. Derechos del interesado, divido en 5 secciones; 1.ª Transparencia y modalidades (art. 12. Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado); 2.ª Información y acceso a los datos personales (arts. 13. Información que deberá facilitarse cuando los datos personales se obtengan del interesado, a 15. Derecho de acceso del interesado); 3.ª Rectificación y supresión (arts. 16. Derecho de rectificación, a 20. Derecho a la portabilidad de los datos –incluyendo el importante art. 17. Derecho de supresión («el derecho al olvido»)–; 4.ª Derecho de oposición y decisiones individuales automatizadas (arts. 21. Derecho de oposición, y 22. Decisiones individuales automatizadas, incluida la elaboración de perfiles) y 5.ª Limitaciones (art. 23. Limitaciones).

Capítulo IV. Responsable del tratamiento y encargado del tratamiento, dividido en 5 secciones: 1.ª Obligaciones generales (art. 24. Responsabilidad del responsable del tratamiento; 25. Protección de datos desde el diseño y por defecto; 26. Corresponsables del tratamiento; 27. Representantes de responsables o encargados del tratamiento no establecidos en la Unión; 28. Encargado del tratamiento; 29. Tratamiento bajo la autoridad del responsable o del encargado del tratamiento; 30. Registro de las actividades de tratamiento, y 31. Cooperación con la autoridad de control; 2.ª Seguridad de los datos personales (arts. 32. Seguridad del tratamiento, a 34. Comunicación de una violación de la seguridad de los datos personales al interesado; 3.ª Evaluación de impacto relativa a la protección de datos y consulta previa (arts. 35. Evaluación de impacto relativa a la protección de datos, a 36. Consulta previa); 4.ª Delegado de protección de datos (arts. 37. Designación del delegado de protección de datos, a 39. Funciones del delegado de protección de datos) y 5.ª Códigos de conducta y certificación (arts. 40. Códigos de conducta, a 43. Organismo de certificación)

Capítulo V. Transferencias de datos personales a terceros países u organizaciones internacionales (arts. 44. Principio general de las transferencias, a 50. Cooperación internacional en el ámbito de la protección de datos personales).

Capítulo VI. Autoridades de control independientes, dividido en 2 secciones: 1.ª Independencia (arts. 51. Autoridad de control, a 54. Normas relativas al establecimiento de la autoridad de control) y 2.ª Competencia, funciones y poderes (arts. 55. Competencia, a 59. Informe de actividad)

Capítulo VII. Cooperación y coherencia, dividido en 3 secciones, 1.ª Cooperación y coherencia (arts. 60. Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas, a 62. Operaciones conjuntas de las autoridades de control); 2.ª Coherencia (arts. 63. Mecanismo de coherencia, a 67. Intercambio de información) y 3.ª Comité europeo de protección de datos (arts. 68. Comité Europeo de Protección de Datos, a 76. Confidencialidad)

Capítulo VIII. Recursos, responsabilidad y sanciones (arts. 77. Derecho a presentar una reclamación ante una autoridad de control, a 84. Sanciones)

Capítulo IX. Disposiciones relativas a situaciones específicas de tratamiento (arts. 85. Tratamiento y libertad de expresión y de información, a 91. Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas)

Capítulo X. Actos delegados y actos de ejecución (arts. 92. Ejercicio de la delegación, y 93. Procedimiento de comité)

Capítulo XI. Disposiciones finales (arts. 94. Derogación de la Directiva 95/46/CE, a 99. Entrada en vigor y aplicación)

Principales novedades que incorpora el Reglamento

Según José Luis Piñar Mañas, en la Jornada Enatic sobre el nuevo Reglamento Europeo de protección de datos:

1, Principios aplicables al tratamiento de datos (art. 5): Licitud, lealtad y transparencia; recogidos con fines determinados, explícitos y legítimos («limitación de la finalidad»); limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»); exactos y, si fuera necesario, actualizados («exactitud»); mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales («limitación del plazo de conservación»); tratados de tal manera que se garantice una seguridad adecuada de los datos personales («integridad y confidencialidad»); el responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).

  1. Condiciones para entender válidamente prestado el consentimiento (art. 7)
  2. Necesidad de que el responsable del tratamiento pueda probar que se prestó el consentimiento
  3. Regulación específica del conocido como Derecho al olvido o, más propiamente, derecho de supresión (art. 17)
  4. Principio de portabilidad de los datos (art. 20)
  5. Responsabilidad del responsable del tratamiento de los datos por la adopción y actualización de las medidas adecuadas (art. 24)
  6. Registro de las actividades de tratamiento (art. 30)
  7. Notificación a los interesados de las violaciones de seguridad (art. 33)
  8. Evaluación de impacto relativa a la protección de datos (art. 35)
  9. Consulta previa a la autoridad de control en caso de identificarse riesgos en el tratamiento (art. 36)
  10. Introducción de la figura del Delegado de protección de datos (arts. 37 a 39)
  11. Regulación de las transferencias internacionales de datos (arts. 45 y 47)
  12. Criterio “One stop shop” para la reclamación de la violación de las obligaciones de protección de datos por parte de una multinacional (arts. 60 a 67)

Convivencia con la LOPD

La entrada en vigor de este nuevo Reglamento plantea la duda de cómo va a convivir en España con la LOPD.

A este respecto, el tanto Piñar Mañas como Pablo García-Mexia, apuntaron recientemente a que parece que la ley española podrá seguir siendo aplicable en lo que esté fuera del Derecho de la UE, pues, además, el Reglamento hace numerosas remisiones a la legislación nacional de los Estados miembros.

Pero se suscitan dudas en materias como el registro de ficheros ¿Habrá que seguir realizándolo en nuestro país por efecto de la LOPD o cabe entender una derogación tácita de sus disposiciones en este sentido?

Igualmente también cabe preguntarse en qué papel quedará al AEPD y qué valor tendrán sus circulares en el nuevo contexto.

Fuente: Noticias Jurídicas

Los comentarios están cerrados.