Recientemente se publicó por parte de la Comisión Europea, la propuesta de Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos.
Si bien el marco jurídico actual a través de la Directiva 95/46/CE, sigue siendo adecuado por lo que respecta a sus objetivos y principios. La Comisión, considera que existe una fragmentación en la aplicación de la normativa sobre protección de datos, que genera escenarios de inseguridad jurídica y la percepción generalizada de la opinión pública de que existen riesgos significativos, llegando el momento de establecer un marco más solido y coherente que la actual Directiva.
La rápida evolución tecnológica ha supuesto nuevos retos para la protección de datos dentro de la UE. Se ha incrementado enormemente la magnitud del intercambio y la recogida de datos. La tecnología permite la utilización de datos personales en una escala sin precedentes y el tratamiento de datos tiene lugar en un entorno electrónico en el que las fronteras internas entre los Estados miembros han perdido relevancia.
Por estos motivos entre otros, la Comisión ha considerado necesario una política más integradora y coherente en esta materia, mediante la promulgación de un Reglamento General de Protección de Datos (El Supervisor Europeo de Protección de Datos en su Dictamen, 2011/C 181/01, de Junio de 2.011, ya proponía un Reglamento en estos términos)
Se ha optado por la figura del Reglamento, que frente a la Directiva, se caracteriza por ser directamente aplicable a los Estados Miembros, sin necesidad de que la Disposición sea traspuesta al ordenamiento jurídico de los Estados. Se contrapone a la Directiva (Según la reiterada Jurisprudencia del Tribunal de Justicia de la Unión Europea, siempre que las Disposiciones de una Directiva resulten ser desde un punto de vista de su contenido incondicionales y suficientemente precisas, los particulares podrán invocarlas frente al Estado, en particular cuando estos no hayan adoptado, el derecho nacional a la Directiva, dentro del plazo señalado o cuando hayan adoptado la norma de manera incorrecta), también de alcance general, porque mientras ésta fija unos objetivos y un plazo vinculantes, dejando libertad a los Estados para escoger los medios adecuados (mecanismo de transposición), el reglamento es directamente aplicable y obligatorio en todos sus elementos desde su publicación en el Diario Oficial de la Unión Europea.
Por tanto, estamos frente a todo un Acto Legislativo de la Unión, que busca:
- Una armonización real y efectiva dentro de los países miembros, reduciendo la actual fragmentación jurídica y ofrecerá una mayor seguridad jurídica, la mejora de la protección de los derechos fundamentales y la contribución al funcionamiento del mercado interior.
- Un enfoque global y de derecho aplicable.
- Reforzar los derechos de las personas, los organismos de Supervisión y Control y el papel de los responsables del tratamiento.
La propuesta de Reglamento, se compone de 91 artículos (frente a los 34 de la Directiva), estructurados en 11 capítulos (frente a los 7 de la Directiva).
Este nuevo Reglamento no supone una variación sustancial a requerimientos ya consolidados a través de nuestra legislación interna y nuestra jurisprudencia más reciente, con la excepción de las siguientes salvedades que he buscado sintetizar en 18 puntos y que en determinados casos puede suponer un nuevo totum revolutum para las organizaciones:
1. Incorporación de dos nuevos derechos:
- Derecho al olvido (El pasado 27 de Febrero de 2.011, la Audiencia Nacional, Sala de lo Contencioso Administrativo, Sección Primera, emitió un Autoa través del cual plantaba al Tribunal de Justicia de la UE, una serie de cuestiones prejudiciales con relación a esta materia - CasoGoogle). Cancelación de los datos hechos públicos, como la cancelación automática de los datos.
- Derecho a la portabilidad de los datos. Es decir, a transferir datos de un sistema de tratamiento a otro, sin que se lo impida el responsable del tratamiento. El derecho a obtener una copia de los datos objeto de tratamiento en un formato electrónico y comúnmente utilizado que le permita al titular del dato, seguir utilizándolo.
La portabilidad de los datos y el derecho a ser olvidado, son dos nociones interrelacionadas que buscan reforzar los derechos de los interesados. Vienen a complementar los principios ya indicados en la Directiva, que establecen el derecho del interesado a expresar una objeción al tratamiento ulterior de sus datos personales, así como una obligación para el responsable del tratamiento de suprimir la información cuando ya no sea necesaria a los fines del tratamiento.
Estos dos nuevos conceptos tienen, ante todo, un valor añadido en el contexto de la sociedad de la información, en la que cada vez es mayor el número de datos que se almacena de manera automática y se conservan durante períodos indeterminados. En la práctica se demuestra que, incluso cuando es el propio interesado quien aporta los datos, su grado de control efectivo sobre los mismos es muy limitado, lo cual resulta aún más incuestionable a la vista de la enorme memoria que representa hoy en día Internet. Además, desde un punto de vista económico, resulta más costoso para el responsable del tratamiento suprimir los datos que conservarlos almacenados. El ejercicio de los derechos de las personas es contrario, por tanto, a la tendencia económica natural.
Tanto la portabilidad de los datos como el derecho al olvido, buscan contribuir a inclinar la balanza a favor del interesado. La portabilidad de los datos tendría por objeto proporcionar un mayor grado de control a las personas sobre su información, mientras que el derecho al olvido garantizaría que la información desaparece automáticamente al cabo de un determinado período, incluso si el interesado no realiza ninguna acción en este sentido o desconoce que los datos fueron almacenados.
Con la codificación de un nuevo «derecho al olvido» se garantizará la supresión de los datos personales o la prohibición de un uso posterior de los mismos, sin necesidad de acción alguna por parte del interesado, a condición de que estos datos ya hubieran sido almacenados durante un período determinado. Dicho de otro modo, se podría atribuir a los datos una especie de fecha de caducidad. Este principio ya ha sido invocado en litigios ante los tribunales nacionales o aplicados en sectores específicos como, por ejemplo, los expedientes policiales o los antecedentes penales o disciplinarios.
2. Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición de manera telemática. En España, ésta medida solo era exigible por la Ley de Impulso de la Sociedad de la Información, sobre aquellas empresas que prestasen servicios al público en general de especial trascendencia económica, mientras que la nueva Reglamentación lo establece con carácter general.
3. Posibilidad de cargar una tasa frente a solicitudes de derecho de acceso reiteradas o excesivas.
En este caso, el Responsable del Fichero debe acreditar el carácter manifiestamente masivo. En esta materia, se quiere poner freno a situaciones claras y manifiestas de mala fe. Recientemente la Sentencia del Tribunal Supremo de 26 de Octubre de 2.010 calificaba como un derecho de acceso ejercitado de manera desleal y eximia de toda responsabilidad a una entidad: “una solicitud de acceso a datos personales resulta injustificada desde el momento en que el solicitante disponía ya de la posibilidad permanente de acceso a sus datos personales por la informática (…) es claro que la solicitud de acceso a su datos personales era reiterativa, cuando no meramente retorica y por esa misma razón presentar una reclamación ante la Agencia Española de Protección de Datos por incumplimiento del deber de permitir el deber de acceso a los datos personales, supone, sin duda alguna un comportamiento contario a la buena fe. No es leal reprochar a otro no haber hecho algo que en realidad ya ha hecho. Y justificar esta imputación en la inobservancia de plazos y formas previstos en la Ley no deja de ser un abuso de los requisitos formales, algo que ha sido tradicionalmente visto como uno de los supuestos arquetipos de vulneración del principio de la buena fe”
4. Obligación para los Responsables de Fichero y Encargados del Tratamiento de llevar a cabo una evaluación de impacto de la protección de datos, antes de efectuar operaciones de tratamiento arriesgadas, siendo en determinados casos, necesaria una autorización previa.
Es un nuevo concepto, que el Supervisor Europeo de Protección de Datos, denominó intimidad mediante el diseño. Integración de la protección de datos y la protección de la intimidad desde la fase de concepción de nuevos productos y servicios y procedimientos, que impliquen el tratamiento de datos de carácter personal. Esta intimidad mediante el diseño constituye un elemento del principio de responsabilidad.
5. Realización de análisis de riesgos (Por riesgo debemos entender, el potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos. El impacto o la severidad relativos del riesgo es proporcional al valor de la perdida/ daño y la frecuencia estimada de la amenaza para el negocio. Por tanto dentro de las organizaciones se tendrán que analizar los procesos de administración de riesgos, para identificar, evaluar y administrar los riesgos a los que se enfrenta) con el objeto de adoptar las medidas necesarias, a fin de garantizar los datos personales, contra su destrucción accidental o ilícita, o su perdida accidental y de impedir cualquier forma de tratamiento ilícito, en particular la comunicación, la difusión o el acceso no autorizado o la alteración de los datos personales. Una nueva estrategia de seguridad, evolucionando el actual modelo reactivo al preventivo.
La realización de análisis de riesgos es una práctica recomendada en términos de estándares internacionales (Normativa UNE ISO 27002 de Código de Buenas Practicas para la Gestión de la Seguridad de la Información). En derecho administrativo, el Esquema Nacional de Seguridad, establece que el análisis y gestión de riesgos debe ser parte esencial del proceso de seguridad y debe mantenerse permanentemente actualizado.
6. Los responsables de tratamiento deben establecer los plazos de conservación de los datos y deben implantar mecanismos para garantizar que se respetan los plazos fijados para la supresión de los datos y/o para el examen periódico de la necesidad de conservar los datos. Un nuevo cambio de modelo. Los datos deben ser por defecto eliminados transcurridos los plazos estipulados.
7. Se formaliza una figura equivalente en parte al Responsable de Seguridad, denominado Delegado de Protección de Datos, bajo una cualificación profesional, por mandato de dos años, debiendo notificar su nombramiento y cese a la Autoridad de Control y debe permitirse la interactuación con él, por parte de los afectados o interesados.
8. Obligación de notificar la violación de datos, basándose a estos efectos, en lo estipulado en el artículo 4 de la Directiva 2002/58/CE sobre la Privacidad y las Comunicaciones Electrónicas, o como venia recomendando el Supervisor Europeo de Protección de Datos en su Dictamen 2011/C 181/01- Un enfoque global de la protección de datos en la UE.
La notificación de violaciones de la seguridad persigue fines y objetivos diferenciados. El más evidente, resaltado en la Comunicación, es el de servir como herramienta de información para que la ciudadanía cobre conciencia de los riesgos a los que se enfrenta cuando sus datos personales se ven afectados. Además, los requisitos de notificación de violaciones de la seguridad animan a los responsables del tratamiento a aplicar medidas de seguridad más estrictas con objeto de evitarlas. Ir a una política de máximos en vez de mínimos. Por último, sirve como herramienta para la ejecución, por parte de las autoridades encargadas de la protección de datos para iniciar una investigación sobre las prácticas generales de los responsables del tratamiento de datos.
Esta materia me genera múltiples dudas, desde la perspectiva que si por la mera notificación a la autoridad de control de un fallo de seguridad, puede ocasionar la incoación de un procedimiento administrativo sancionador y su correspondiente sanción, puede suponer una vulneración de derechos hacia el responsable de tratamiento, al obligarle a declarar contra si mismo.
Para que se active la potestad administrativa sancionadora, dada su especialidad y las consecuencias que se derivan de su aplicación, han de observarse todas las cautelas necesarias para la legitimación de ejercicio del “ius puniendi” que éste implica, y en aplicación de los principios que le son propios al derecho penal, y que a su vez, son compartidos por el derecho administrativo sancionador. El derecho a un procedimiento sancionador con todas las garantías de defensa, que se constituyen como derecho fundamental a un procedimiento justo y equitativo, es una interpretación sistemática de los artículos 24 y 25 de la Constitución y del artículo 6.1 del Convenio Europeo de Derechos Humanos, que engloba entre otras garantías, el no declarar contra si mismo.
9. Certificación. Se introduce la posibilidad de creación de regímenes europeos de certificación para los productos y servicios que sean conformes a las normas de protección de la intimidad.
Los regímenes voluntarios de certificación permitirían verificar que un responsable del tratamiento de datos ha adoptado medidas para cumplir lo dispuesto en el instrumento jurídico. Asimismo, es probable que los responsables del tratamiento de datos, o incluso los productos o servicios, que dispongan de una marca de certificación, obtengan una ventaja competitiva frente al resto. Dichos regímenes también ayudarían a las autoridades encargadas de la protección de datos en su papel de supervisión y ejecución.
La certificación de procesos, en nuestro ordenamiento jurídico, vino a ser considerado como un “atenuante” por la Audiencia Nacional, en su Sentencia de 15 de Octubre de 2.009 (Fundamento Jurídico Cuarto: “Y también que la excelencia de los procedimientos y métodos de actuación seguidos por dicha empresa actora para el desarrollo de su actividad, ha sido certificada por AENOR, tal y como la misma acredita documentalmente. De todo lo cual es necesario concluir que concurre en el caso una cualificada disminución de la culpabilidad de tal entidad sancionada (…)”), quien aplicó el artículo 45.5 de la LOPD, procediendo a la reducción del tipo de infracción, entre otros elementos, porque contar la empresa con unos procedimientos certificados por Aenor
10. Mención expresa a las normas corporativas vinculantes (Binding Corporate Rules) para los supuestos de movimiento internacional de datos para grupos de empresa.
11. Mayor exigencia de cooperación e independencia de las Autoridades de Control.
Las autoridades nacionales de protección de datos están sujetas a normas sumamente divergentes en los 27 Estados miembros, en especial en lo que se refiere a su estatuto, recursos y competencias. El artículo 28 de la Directiva ha alimentado en parte dichas divergencias debido a su imprecisión y debe especificarse más, con arreglo a lo establecido en la Sentencia del Tribunal de Justicia Europeo en el asunto C-518/07 (El Tribunal de Justicia Europeo había adoptado recientemente una resolución sobre esta cuestión en el asunto C-518/07 (54), en el que hacia hincapié en que la independencia significa inexistencia de toda influencia externa. Para desarrollar sus funciones, las autoridades encargadas de la protección de datos, deben contar con los suficientes recursos humanos y económicos.). Por este motivo, el nuevo Reglamento General de Protección de Datos ha desarrollado toda esta materia en profundidad, bajo los siguientes pilares: Autoridad, independencia, normas, competencias, funciones, poderes, todo ello con el objeto de armonizarlos a todos.
12. Se crea el concepto de ventanilla única en las Autoridades de Control. Cualquier interesado tendrá derecho a presentar una reclamación ante la autoridad de control de cualquier estado miembro, si considera que el tratamiento de los datos no se ajusta a lo dispuesto en el Reglamento.
13. Sustitución del Grupo de Trabajo del artículo 29 por el Consejo Europeo de Protección de Datos.
14. Posibilidad de denunciar o demandar por parte de organismos, organizaciones o asociaciones, en nombre del interesado (Legitimación activa).
15. La no obligatoriedad de declarar ficheros (La UE ha optado por una política de simplificación y racionalización sobre una medida que consideraba ineficaz y que ocasionaba un coste estimado de 130 millones de Euros en la EU) frente a los organismos de supervisión y control, salvo tipos específicos de operaciones de tratamiento que presentan riesgos específicos. Sin embargo será necesario seguir contando con las autorizaciones correspondientes en materia de movimiento internacional de datos y por otro lado, será necesario remitir los informes de evaluación de impacto.
16. Nuevo régimen económico- sancionador. Partiendo de la base que las sanciones deben ponerse en su cuantía mínima, salvo motivación objetiva y concisa del organismo de supervisión y control, a riesgo en su defecto de vulnerar los principios de motivación y proporcionalidad, suponen un incremento sustancial:
17. Nueva tipificación de sanciones
18. Al igual que con la reforma de la Ley Orgánica de Protección de Datos, mediante la Ley de Economía Sostenible, se abre la posibilidad del mero apercibimiento pero solo bajo dos supuestos: (i) Persona física que realiza el tratamiento sin interés comercial, (ii) Empresa u organización de menos de 250 trabajadores que trata datos como actividad auxiliar de su actividad principal.
Como diría Séneca: El quehacer es largo y la vida corta. Un nuevo giro regulatorio y nuevas medidas a adoptar dentro de las organizaciones.
------------------------------
Artículo cortesía de Gonzalo Salas Claver
Senior Manager
Grupo SIA