1. Introducción
El 5 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos o “RGPD”). Sustituye a la antigua Directiva de protección de datos, que tenía un carácter de mínimos, y permitía a los estados decidir de qué manera cumplir con sus objetivos. El RGPD establece el régimen de protección de datos aplicable a todos los estados de la Unión Europea de manera directa. Sin embargo, otorga un periodo de dos años para que quienes traten datos personales de personas físicas y las agencias de protección de datos se adapten al nuevo sistema, por lo que no es de aplicación hasta el 25 de mayo de 2018.
La legislación española actual, y, especialmente, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”), y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (“RLOPD”); es de las más tuitivas de Europa. Por ello, el nuevo RGPD no introduce tantas diferencias con respecto al régimen anterior como en otros países, si bien siguen existiendo una serie de obligaciones adicionales que deberán cumplirse a partir del 25 de mayo de 2018.
2. Aplicación del RGPD
El Reglamento General de Protección de Datos, como reglamento, tendrá un alcance general. Será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro, como si de una ley nacional se tratara. Así, será directamente aplicable por los Tribunales nacionales y por la Agencia Española de Protección de Datos (“AEPD”) a las empresas y demás sujetos afectados.
La normativa existente, y esencialmente la LOPD y el RLOPD, no serán completamente derogados por el RGPD, sino que éste desplazará a la normativa vigente en la materia. Es decir, la norma esencial de aplicación será el Reglamento General de Protección de Datos, mientras que las disposiciones de la LOPD y su reglamento de desarrollo sólo podrán aplicarse cuando regulen cuestiones que no estén cubiertas por el Reglamento, y en la medida en que no sean contradictorias con éste. Sin embargo, cuando el RGPD sea de aplicación a partir del 25 de mayo de 2018, lo más seguro es que el legislador español derogue la LOPD, o la modifique para adecuarse al RGPD.
3. Novedades del RGPD
El RGPD parte de la idea de accountability, por la que la responsabilidad de quien trate datos personales no existe sólo en caso de infracción, sino que se debe ser diligente a la hora de adoptar todas las medidas necesarias para el cumplimiento normativo. Para ello, el Reglamento consagra el principio de privacy by design, o privacidad por diseño, por el que las medidas de protección de datos personales se aplican desde el momento de diseñar el tratamiento, para garantizar el complimiento con la normativa. Además, de acuerdo con el principio de privacidad por defecto, se limitará el uso de datos y su conservación, así como el acceso a los mismos, al mínimo necesario para llevar a cabo el tratamiento. Concretamente, las principales novedades del Reglamento consisten en la extensión del ámbito territorial de aplicación, el refuerzo del consentimiento del interesado, la introducción del derecho al olvido y el derecho a la portabilidad, el refuerzo del deber de información, la obligación de notificar los fallos de seguridad, obligaciones que se tienen que llevar a cabo en el seno de la empresa, fin de obligación de notificar ficheros, y cambios sobre la legitimación de las autoridades de control, medidas de seguridad, y sanciones.
3.1. Extensión del ámbito de aplicación territorial
El artículo 3 del Reglamento establece que “se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.” Además, como novedad, el Reglamento se aplica también “al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago; o el control de su comportamiento, en la medida en que este tenga lugar en la Unión.” Esto supone una extensión del ámbito territorial de la legislación europea en materia de protección de datos, en la medida que, además de a responsables o encargados de tratamiento con establecimiento en la Unión, se aplica a aquellos de terceros países que traten datos de ciudadanos europeos, ya sea con miras a la oferta de bienes o servicios, o para monitorizar su comportamiento (en la medida en que este tenga lugar en la UE), aunque no tengan ninguna presencia física en el territorio de la Unión. Así, este tipo de empresas, que antes no estaban obligadas por la legislación de protección de datos europea, pasan a ser directamente responsables, y deben cumplir con todas las obligaciones que el Reglamento dispone.
3.2. Refuerzo del consentimiento
De acuerdo con la LOPD, el consentimiento del interesado era “toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.” Sin embargo, con el Reglamento, se añade el requisito de que dicho consentimiento se otorgue “mediante una declaración o una clara acción afirmativa”. Así, en aquellos supuestos en los que sea necesario el consentimiento del interesado, ya no cabe el consentimiento tácito que en ocasiones se permitía, especialmente en el ámbito de internet, sino que debe haber una acción positiva por su parte. Por ejemplo, ya no se entenderá otorgado el consentimiento por la simple navegación en una página web.
La LOPD requiere que el consentimiento sea expreso con respecto a datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual, por lo que el régimen se mantendrá con el RGPD. Además, en el caso de datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias, según la LOPD, el consentimiento debe ser expreso y por escrito. En este punto, habrá que ver si se considera permisible desde el punto de vista del RGPD que la LOPD introduzca este requisito adicional para recabar el consentimiento de datos especialmente protegidos.
Además, el RGPD detalla las condiciones para que sea aceptable el consentimiento de menores, estableciendo un régimen especial para los menores de 16 años (y que los estados miembros pueden reducir hasta a los 13 años), en los que es necesario que el consentimiento lo de o autorice el titular de la patria potestad o tutela sobre el niño. El reglamento de desarrollo de la LOPD reduce la edad a los 14 años, por lo que es previsible que se mantenga como hasta ahora.
3.3. Derecho al olvido y derecho a la portabilidad
El Reglamento General de Protección de Datos no sólo reconoce los clásicos derechos de acceso, rectificación, cancelación y oposición, con algunas diferencias terminológicas, sino que regula dos nuevos derechos, el denominado derecho al olvido, y el derecho a la portabilidad de los datos.
El derecho al olvido se regula en el art. 17 del RGPD, y permite al interesado, en una serie de casos, obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan. No es sino una manifestación de los tradicionales derechos de oposición y cancelación, pero reforzado, y garantizado también en el entorno de internet. Consagra así el derecho reconocido por el Tribunal de Justicia de la Unión Europea en el asunto C‑131/12, Mario Costeja v Google, en el que se condenó al buscador a desindexar datos personales que habían perdido su relevancia informativa. Su principal límite, por tanto, es que esos datos sigan siendo relevantes de acuerdo con el derecho a la libertad de expresión e información. Con el Reglamento, el derecho se reconoce más allá del entorno de los buscadores de noticias en internet, y se traslada a cualquier responsable de tratamiento. En España, dado que el derecho al olvido reconocido en el caso Costeja se aplica regularmente, y que los derechos de oposición y cancelación abarcan ampliamente los supuestos fuera del ámbito online, no supone un gran cambio, más allá del denominativo, pero refuerza la seguridad jurídica y garantiza que se van a poder ejercitar los mismos derechos en toda la Unión Europea.
El derecho a la portabilidad de los datos del art. 20 RGPD permite al interesado recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento por medios automatizados, en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento sin que lo pueda impedir el primer responsable. Además, tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible. Este derecho facilita la contratación electrónica y el cambio de proveedor de servicios, simplificando el traslado de los datos personales al nuevo, y garantizando que el proveedor anterior no retiene los datos personales del interesado. También se incluye en el art. 22 el derecho a no ser objeto de elaboración de perfiles de comportamiento, con algunas excepciones.
3.4. Refuerzo del deber de información
La LOPD establece qué información debe facilitarse al interesado en el momento de la recogida de datos, pero el RGPD refuerza esta obligación, introduciendo nuevos extremos que deben ser comunicados en el artículo 13. Antes de la obtención de datos del interesado deberá informársele, como novedad, y entre otros, de los datos de contacto del delegado de protección de datos cuando lo hubiera, la base jurídica del tratamiento, los destinatarios o las categorías de destinatarios de los datos personales, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo, etc.
El Reglamento también extiende y detalla, en su artículo 14, la información que debe facilitarse cuando los datos personales no se hayan obtenido del interesado. Ésta debe prestarse, a más tardar, en el plazo de un mes desde que se han obtenido los datos personales, o en el momento de la primera comunicación con el interesado; y antes de que sean comunicados a otro destinatario. Esto reduce el plazo, que en la LOPD era de tres meses. Además de los extremos que ya aparecen en la LOPD, como la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; la identidad y dirección del responsable del tratamiento o, en su caso, de su representante; el contenido del tratamiento; o la procedencia de los datos; se debe proporcionar mucha más información, como los datos de contacto del delegado de protección de datos, en su caso; la base jurídica del tratamiento; las categorías de datos personales de que se trate; en su caso, la intención del responsable de transferir datos personales a un destinatario en un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión; el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo; o el derecho a presentar una reclamación ante una autoridad de control.
3.5. Obligación de notificar los fallos de seguridad
El RGPD incluye la obligación del responsable del tratamiento de notificar cualquier violación de la seguridad de los datos personales, tanto a la autoridad de control, como a los interesados. De acuerdo con el art. 33, la brecha de seguridad se debe notificar a la autoridad de control competente “sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.” Dicha notificación debe describir la naturaleza de la violación de la seguridad de los datos personales, con las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información; describir las posibles consecuencias de la violación de la seguridad de los datos personales; y describir las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales. Si la violación de seguridad se produce en sede del encargado del tratamiento, éste deberá notificar sin dilación indebida al responsable del tratamiento de las mismas, para que pueda proceder con las correspondientes notificaciones.
El art. 44 RGPD establece que, además, el responsable de tratamiento deberá comunicar a los interesados, sin dilación indebida, las violaciones de seguridad de sus datos personales, cuando éstas entrañen un alto riesgo para los derechos y libertades de las personas físicas. Debe realizarse en un lenguaje claro y sencillo, comunicando los datos de contacto del delegado de protección de datos; describiendo las posibles consecuencias de la violación de la seguridad de los datos personales; y las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales. Esta comunicación no será necesaria si ha adoptado medidas de protección apropiadas y se han aplicado a los datos personales afectados, en particular las que supongan la encriptación de los datos; si ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado; o si supone un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o semejante por la que se informe de manera igualmente efectiva a los interesados.
3.6. Obligaciones en el seno de la empresa: Registro de actividades, PIAs y DPO
El RGPD traslada la responsabilidad de la adecuada protección de los datos personales a las empresas que lleven a cabo los correspondientes tratamientos. Así, en primer lugar, las empresas y organizaciones que empleen a más de 250 personas, las que traten datos de manera frecuente, de manera que pueda entrañar un riesgo para los derechos y libertades, o incluyan datos personales especialmente protegidos o relativos a condenas e infracciones penales, deberán tener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro interno que tienen que efectuar tanto responsables como encargados de tratamiento deberá realizarse por escrito, y contener información detallada acerca de cada tratamiento de datos que realicen.
En segundo lugar, de acuerdo con el art. 35 RGPD, en algunos supuestos en los que sea probable que un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, en especial por el uso de nuevas tecnologías, el responsable del tratamiento deberá realiza, antes del tratamiento, una evaluación del impacto (data protection impact assessment) de las operaciones de tratamiento en la protección de datos personales. Ésta debe contener la descripción de las operaciones de tratamiento previstas, los fines, una evaluación de la necesidad y la proporcionalidad de las operaciones, una evaluación de los riesgos para los derechos y libertades de los interesados, y las medidas previstas para afrontar los riesgos. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares. Cuando la evaluación de impacto resuelva que el tratamiento entrañaría un alto riesgo, el responsable deberá consultar a la autoridad de control antes de proceder al tratamiento, que le asesorará acerca del mismo.
En tercer lugar, las empresas responsables o encargadas de tratamiento cuyas actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o consistan en el tratamiento a gran escala de categorías especiales de datos personales y/o de datos relativos a condenas e infracciones penales, deberán nombrar un Delegado de Protección de Datos (o Data Protection Officer). El resto de empresas pueden designar uno si así lo desean, y un grupo empresarial podrá nombrar un único delegado de protección de datos para todo el grupo. El delegado de protección de datos puede ser un trabajador en plantilla, o ser contratado de manera externa, y deberá ser designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar sus funciones. Debe participar en todas las cuestiones relativas a la protección de datos, y ser la figura con la que contacten los interesados para la gestión de sus derechos. Así, se encarga de informar y asesorar al responsable y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud de la legislación de protección de datos, supervisar el cumplimiento de la misma y de las políticas de protección de datos que existan dentro de la empresa, realizar las evaluaciones de impacto, y cooperar y estar en contacto con la autoridad de control. Su actividad debe ser adecuada con el deber de confidencialidad y secreto, e independiente del responsable y encargado de tratamiento, de los que no puede recibir instrucciones, debiendo rendir cuentas al más alto nivel jerárquico de la empresa. En cualquier caso, si se produce alguna infracción, la responsabilidad seguirá recayendo en el responsable del tratamiento, no en el delegado de protección de datos.
En muchas ocasiones, la introducción del delegado de protección de datos no supondrá un gran cambio en el seno de la empresa, ya que ya habrá un sujeto u órgano específico que se encarga de gestionar las actividades relacionadas con la protección de datos. En estos casos, habrá que designar quién va a ser considerado delegado de protección de datos, independientemente de que pueda trabajar individualmente, o como parte de un equipo. El reglamento de desarrollo de la LOPD establece la obligación de designación de un responsable de seguridad que coordine y controle las medidas de seguridad que se apliquen a los datos personales. Si bien supone un antecedente del delegado de protección de datos, normalmente se trata de personal con conocimientos esencialmente informáticos o técnicos. El delegado de protección de datos debe ser un sujeto que sólo tenga entre sus funciones las relativas a la protección de datos personales en la empresa, pudiendo trabajar con la cooperación del responsable de seguridad, o ser él mismo, si coordina conocimientos técnico-informáticos con conocimientos específicos sobre protección de datos.
Como contrapartida de las obligaciones añadidas de control dentro del seno de las propias empresas, el RGPD elimina la obligación de notificar ficheros a las autoridades de supervisión. Sin embargo, la obligación persiste hasta que el Reglamento entre en vigor, el 25 de mayo de 2018.
3.7. Las Autoridades de Protección de Datos
Como gran diferencia introducida por el RGPD, el régimen de competencia territorial de las autoridades de protección de datos cambia sustancialmente. En la actualidad, la Agencia Española de Protección de Datos está encargada de aplicar la LOPD cuando el tratamiento es efectuado en territorio español, en un establecimiento del responsable del tratamiento, o con medios situados en territorio español. Sin embargo, el RGPD establece una legislación común para todos los estados miembros, y pretende asegurar una aplicación uniforme a cada empresa. Por ello, establece como autoridad de control principal la del territorio del establecimiento principal o del único establecimiento del responsable o del encargado del tratamiento. Así, cada empresa se somete a la competencia de la autoridad de protección de datos de su establecimiento principal, independientemente de en cuántos estados opere, y de si realice tratamientos transfronterizos.
Si un interesado presenta una reclamación ante una autoridad de control que no sea la principal, ésta podrá darle trámite si se refiere únicamente a un establecimiento situado en su Estado miembro o únicamente afecta de manera sustancial a interesados en su Estado miembro, informando al respecto a la autoridad de control principal. La autoridad de control principal puede decidir, en este punto, tratar el caso ella misma, para lo que colaborará con la autoridad de control interesada que le comunicó la reclamación. Para asegurar la tutela del interesado que presentó la reclamación, aunque la decisión sea tomada por la autoridad de control principal, formalmente es adoptada por la autoridad de control interesada ante la que presentó su reclamación, por lo que puede recurrirla en ante los tribunales de su estado. El sistema que establece el reglamento intenta garantizar la cooperación entre las autoridades de control, que pueden solicitarse asistencia mutua e, incluso, realizar operaciones conjuntas, para garantizar una aplicación coherente de la nueva normativa.
3.8. Medidas de seguridad y sanciones
Al contrario de lo que hace la actual LOPD, el RGPD no establece un listado de medidas de seguridad, sólo indica que las que se tomen deben ser “apropiadas” en función del riesgo. A este respecto, el desglose de medidas de la LOPD tiene un carácter meramente finalista, enunciativo de medidas que deberían bastar para cumplir con las obligaciones de protección de datos, por lo que, con la aplicación del RGPD, dicho listado puede servir de manera orientativa a las empresas para medir su cumplimiento, como hasta ahora.
Sí se modifica en mayor medida la cuantía de las sanciones en caso de infracción. El reglamento presenta un sistema mucho más flexible, con gran número de elementos a tener en cuenta para la modulación de la sanción, sin establecer cuantías mínimas, pero con máximos mucho más elevados, y que tienen en cuenta el volumen de negocio total anual global del ejercicio financiero anterior de la empresa. Así, en el caso de infracciones leves, la sanción puede llegar al 2% del mismo, y en el caso de las infracciones más graves, al 4%.
4. Conclusiones
El Reglamento General de Protección de Datos, que entra en vigor el 25 de mayo de 2018, va a cambiar el panorama de la protección de datos para las empresas. Éstas deberán ser más diligentes en el adecuado tratamiento de datos personales, y tendrán que garantizar más derechos de los interesados. Como figura esencial aparece la del delegado de protección de datos, que deberá ser nombrado en la mayoría de las empresas, y será el encargado de asegurar que se cumple con todas las obligaciones impuestas por la nueva normativa y de que los derechos de los interesados son garantizados. En caso de infracción, la responsabilidad sigue recayendo en el responsable de tratamiento, y las sanciones podrán ser mucho más elevadas que las actuales, ligándose al volumen de facturación de la empresa.
Por ello, es conveniente que antes de que llegue la fecha límite, la empresa revise su estructura interna para asegurar que tiene los mecanismos necesarios para que el delegado de protección de datos pueda cumplir con su función adecuadamente, sus empleados conocen los protocolos de protección de datos necesarios para sus puestos, y que todo tratamiento de datos se hace de manera adecuada. Además, resultaría oportuno que la obtención de datos se realizara conforme con los nuevos deberes de información del RGPD cuanto antes, para que, a su entrada en aplicación, aquellos datos obtenidos con anterioridad, y aquellos tratamientos que persistan, ya se ajusten a la normativa de protección de datos personales conforme al Reglamento.
Para saber cómo puede adaptar su empresa al RGPD puede ponerse en contacto con el equipo de LOYRA ABOGADOS a través de Patricia Lalanda : patricia.lalanda@loyra.com.
