El Reglamento de Protección de Datos de la Unión Europea [1]

Luis Arancibia Medina, Abogado

luiarme@gmail.com

 

 

El próximo 25 de mayo entrará en vigencia el Reglamento de Protección de Datos de la Unión Europea, conocido como GDPR, por su sigla en inglés: General Data Protection Regulation.

El GDPR es el nuevo marco para la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos, adoptado como Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo de la Unión Europea el 27 de abril de 2016.[2]  [3]

El Reglamento será directamente aplicable en todos los estados miembros de la Unión a partir de la fecha señalada, con miras a reforzar los mecanismos de protección del derecho fundamental de las personas físicas en relación con el tratamiento de sus datos personales.[4] En base a ello, el Reglamento reconoce que los principios y normas relativos a la protección de las personas físicas, en lo que respecta al tratamiento de sus datos de carácter personal deben respetar sus libertades y derechos fundamentales, cualquiera que sea su nacionalidad o residencia.

El GDPR deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, en términos de armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal y garantizar la libre circulación de estos datos entre los estados miembros. Tal como sostiene uno de los considerandos del Reglamento[5], aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la Unión se aplique de manera fragmentada ni ha evitado la inseguridad jurídica o una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación a sus actividades en línea. Las diferencias en el nivel de protección en los estados miembros respecto del derecho a la protección de los datos de carácter personal, pueden impedir la libre circulación de los datos de carácter personal en la Unión. Estas diferencias pueden convertirse, por lo tanto, en un obstáculo al ejercicio de las actividades económicas a nivel de la Unión, deteriorar la competitividad e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la Unión. Esta diferencia en los niveles de protección se debió a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE.[6]

El nuevo estatuto se establece para garantizar un nivel uniforme y elevado de protección de las personas físicas y eliminar los obstáculos a la circulación de datos personales dentro de la Unión, en consideración a la determinación de un nivel de protección equivalente, coherente y homogéneo en todos los estados miembros, sin perjuicio de que, en lo que respecta al tratamiento de datos personales para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, los estados deben estar facultados para mantener o adoptar disposiciones nacionales a fin de especificar en mayor grado la aplicación de las normas del Reglamento. Junto con la normativa general y horizontal sobre protección de datos por la que se aplica la Directiva 95/46/CE, los estados miembros cuentan con distintas normas sectoriales en ámbitos que precisan disposiciones más particulares. El Reglamento reconoce también un margen de maniobra para que los estados miembros especifiquen sus normas, inclusive para el tratamiento de categorías especiales de datos personales («datos sensibles»). En este sentido, el Reglamento no excluye el Derecho de los estados miembros que determina las circunstancias relativas a situaciones especiales de tratamiento, incluida la indicación pormenorizada de las condiciones en las que el tratamiento de datos personales es lícito.

Al tener un impacto directo en todos los estados miembros, el GDPR hará que muchos de ellos deban modificar sus leyes nacionales para regular aspectos tales como la posición de la Autoridad de Protección de Datos, las reglamentaciones sectoriales, las normas de transición o las implementaciones de requisitos adicionales en los casos en que el GDPR otorga discreción. Ya se han publicado los primeros proyectos de leyes nacionales con los cambios legislativos necesarios, por ejemplo, en Alemania, los Países Bajos y Polonia.

La adopción del GDPR marca un hito en las leyes de protección de datos en la UE. Esta circunstancia y el hecho de su aplicación directa, ha potenciado el Grupo de Trabajo del Artículo 29 (WP29), compuesto por representantes de las autoridades nacionales de protección de datos de la UE, el que ha estado trabajando en diversas disposiciones del GDPR para ayudar a las organizaciones a prepararse para su aplicación.[7] Cuando entre en vigor el Reglamento, el WP29 será reemplazado por el Consejo Europeo de Protección de Datos, establecido en el artículo 68 del GDPR, el cual será el organismo independiente de la Unión, dotado de extensas competencias, especialmente referidas a la emisión de decisiones vinculantes respecto de todas las autoridades europeas de protección de datos, entre otras.


Principales contenidos del GDPR.

El Reglamento pretende cautelar las políticas de la Unión Europea en materia de protección de datos personales. Aunque se mantienen los principios de la Directiva 95/46/CE, se ha propuesto cambios importantes a las políticas imperantes, que están modelando un nuevo estado de cosas en el estatuto del tratamiento de los datos personales, con un alto impacto en muchas industrias europeas y globales.

A continuación se expone un resumen de los principales aspectos del GDPR.

  • Mayor alcance territorial (aplicabilidad extraterritorial). El Reglamento aplica a todo el procesamiento de datos personales de personas físicas que permanezcan en la Unión, independientemente de la ubicación de la empresa. En este aspecto la regulación es clara: el GDPR se aplicará al procesamiento de datos personales que realicen controladores y procesadores en la Unión Europea, independientemente de si el proceso de tratamiento de los datos tiene lugar o no en la Unión Europea. Asimismo, también se aplicará al procesamiento de datos personales de personas en la UE por un controlador o procesador no establecido en la UE, donde las actividades de cualquiera de aquéllos se relacionan con la oferta de bienes o servicios a interesados de la UE (independientemente de si se requiere o no pago) o el control de su comportamiento en la medida que tenga lugar dentro de la UE.
  • Régimen de sanciones. Las organizaciones que infrinjan el GDPR, podrán ser multadas con hasta el 4% de la facturación global anual o € 20 millones (lo que sea mayor), de acuerdo a lo señalado en el artículo 83 nro. 5. Esta es la multa máxima que se puede imponer por las infracciones más graves, como por ejemplo, el no haber obtenido el suficiente consentimiento del interesado para procesar sus datos. Existe un esquema escalonado de multas. A su vez, es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que las ‘nubes’ no estarán exentas de la aplicación de GDPR.
  • El consentimiento. El GDPR fortalece las condiciones del consentimiento, el cual se somete un régimen de mayor rigor. Con los nuevos criterios, se terminará con el consentimiento tácito. En este sentido, se deberá entender por consentimiento del interesado a toda manifestación de voluntad libre, específica, informada e inequívoca por la cual el sujeto acepta, ya sea por una declaración o una clara acción afirmativa, el tratamiento de los datos que le conciernen. El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo. El interesado tendrá derecho a retirar el consentimiento en cualquier momento. En términos del GDPR, deberá ser tan fácil retirar el consentimiento como darlo.
  • Derechos de los interesados.

d.1. Notificación de filtración de datos. Bajo el GDPR, la notificación por filtración de datos será obligatoria en todos los estados miembros cuando sea probable que esta violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas. En estos casos, el responsable del tratamiento comunicará la probable violación dentro de las 72 horas de haberla constatado por primera vez. Los procesadores de datos también deberán notificar a sus clientes, los controladores, “sin demora indebida” después de tomar conocimiento por primera vez de una violación de datos.

d.2. Derecho de acceso. Consiste en el derecho de cualquier interesado par​​a obtener la confirmación del controlador de los datos si los datos personales que los conciernen se están procesando, dónde y con qué propósito. Además, el controlador deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico.

d.3. Derecho de supresión o el derecho al olvido. Conocido como borrado de datos, el derecho a ser olvidado da la posibilidad al interesado a solicitar que el responsable del tratamiento elimine sus datos personales, cese la diseminación de ellos y, potencialmente, haga que terceros detengan el procesamiento de los mismos. Incluso, en determinados casos, el destinatario de la petición deberá proceder sin dilación indebida, por ejemplo cuando los datos personales ya no sean necesarios para los fines para los que fueron recogidos o tratados, o cuando ellos fueron tratados ilícitamente. Sin embargo, este derecho está limitado y no aplica cuando sea necesario conservar los datos por razones de interés público para fines de investigación científica, histórica o estadísticos, entre otros.

d.4. Derecho a la portabilidad de datos. Entendida como la facultad del interesado de recibir los datos personales que le conciernen, que previamente ha proporcionado, en un formato estructurado, de uso común y lectura mecánica, así como el derecho a transmitir esos datos a otro controlador, sin posibilidad de que el anterior detentador de los mismos pueda impedirlo.

  • Privacidad por diseño.

La privacidad por diseño implica la exigencia de la inclusión de la protección de datos desde el inicio del diseño de los sistemas, en lugar de ser una adición. Más concretamente, el responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas de manera efectiva para cumplir los requisitos del Reglamento y proteger los derechos de los interesados. El artículo 25 exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos), y que limiten el acceso a los datos personales a  quienes necesitan representar el procesamiento.

  • Delegados de Protección de Datos.

Bajo las reglas de la Directiva, los controladores están obligados a notificar sus actividades de procesamiento de datos a las Autoridades de Protección de Datos locales, lo que, por ejemplo, para las multinacionales, puede ser una pesada carga burocrática, ya que la mayoría de los estados miembros tienen requisitos de notificación diferentes. Bajo el GDPR no será necesario enviar notificaciones de actividades de procesamiento de datos a cada Autoridad local, ni será un requisito notificar u obtener aprobación para transferencias. En su lugar, habrá requisitos internos de mantenimiento de registros y el nombramiento de un Oficial de Protección de Datos será obligatorio solo para aquellos controladores y procesadores cuyas actividades centrales consisten en operaciones de procesamiento que requieren un monitoreo regular y sistemático de datos a gran escala o de especiales categorías de datos o datos relacionados con condenas y delitos penales. Es importante destacar que el Delegado deberá nombrarse en función de las cualidades profesionales y, en particular, de los conocimientos especializados sobre legislación y prácticas de protección de datos, entre otros requisitos, expresados en el art. 37 de GDPR.

 


 

[1] Con este artículo iniciamos una serie de notas que iremos publicando para dar a conocer los principales aspectos jurídicos de la nueva regulación de protección de datos de la Unión Europea. Agradezco a Patricio Poblete, Luis Cárdenas y Carolina Valenzuela por sus valiosos comentarios y aportes.

[2] El texto oficial en español y en diversos idiomas puede obtenerse en: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679.

[3] Al lado del GDPR, la reforma considera también la aprobación de la DIRECTIVA (UE) 2016/680 DEL PARLAMENTO EUROPEO y DEL CONSEJO de 27 de abril de 2016 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos, por la que se deroga la Decisión Marco  2008/977/JAI del Consejo.

[4] El llamado Derecho derivado o secundario de la Unión Europea está constituido por Reglamentos, Directivas, decisiones, recomendaciones y dictámenes. El Reglamento tiene alcance general, es obligatorio en todas sus partes y directamente aplicable en cada estado miembro. Los destinatarios, esto es, personas, estados miembros e instituciones de la Unión, deberán acatar los Reglamentos en su totalidad como “ley de la Comunidad”. Un Reglamento es directamente aplicable en todos los estados miembros, sin necesidad de un acto nacional de adopción. Desde su entrada en vigor, se impone en todos los ordenamientos jurídicos nacionales. Una Directiva, en cambio, obliga al estado miembro destinatario en cuanto al resultado que debe conseguirse y son ellos los que eligen la forma y los medios para la adopción de sus términos. Pueden ser destinatarios de una Directiva uno, varios o todos los estados miembros de la Unión. Para que los objetivos contemplados en la Directiva tengan efecto para los ciudadanos es preciso que el legislador nacional proceda a un acto de transposición o “medida ejecutiva nacional”, mediante el cual el Derecho nacional se adapta a los objetivos determinados en la misma. Los estados miembros, a causa de la vinculación exclusiva con los objetivos de la Directiva, tienen un margen de actuación en la transposición al Derecho nacional para poder tener en cuenta las particularidades nacionales respectivas. Existe una obligación de transposición en el plazo establecido por la Directiva. En la transposición, los estados miembros elegirán las modalidades internas más adecuadas para garantizar la eficacia del Derecho comunitario. Las disposiciones jurídicas adoptadas en razón de las Directivas no pueden ser objeto de modificaciones posteriores que vayan en sentido contrario al mandato de la Directiva, consecuencia del denominado efecto de bloqueo de la Directiva. En este sentido, BORCHARDT, Klaus-Dieter. El ABC del Derecho de la Unión Europea. Oficina de Publicaciones de la Unión Europea. 2011, pp. 93 y ss.

[5] Véase considerando 1º a 12º del texto del Reglamento.

[6] La versión de la Directiva es accesible en: http://www.wipo.int/wipolex/es/details.jsp?id=13580. Una explicación de sus principales aspectos puede consultarse en CERDA, Alberto. Determinación informativa y leyes de protección de datos. Revista Chilena de Derecho Informático. Nº3, Diciembre, 2003. Disponible en http://web.uchile.cl/vignette/derechoinformatico/CDA/der_informatico_completo/0,1492,SCID%253D14331%2526ISID%253D507,00.html

[7] El Grupo de trabajo del Artículo 29, también conocido como el WP29, está compuesto por representantes de las autoridades de protección de datos de cada estado miembro de la UE, el Supervisor Europeo de Protección de Datos y la Comisión Europea. Su nombre proviene de la Directiva de protección de datos (Directiva 95/46/CE) y fue lanzado en 1996. Sus principales misiones son orientar a los estados en relación a la protección de datos, facilitar a la Comisión un dictamen sobre las leyes comunitarias que afectan al derecho a la protección de datos personales, entre otras funciones. Las primeras directrices sobre protección de datos, ventanilla única y el nuevo derecho a la portabilidad de datos se adoptaron el 5 de abril de 2017. Recientemente ha editado unas Directrices sobre el consentimiento en virtud del Reglamento 2016/679. Mayor información sobre el WP29 ver http://www.agpd.es/portalwebAGPD/internacional/Europa/grupo_29_europeo/index-ides-idphp.php