Allí donde hay espacio, hay derecho

Aplicación a la geoinformación del Reglamento General de Protección de Datos.

A

Aplicación a la geoinformación del Reglamento General de Protección de Datos.

En Monogràfic Territori i Ciutat. Diputació Barcelona, Juliol 2017, #60. Leer más en este enlace.

La Directiva europea de Protección de Datos de 1995, tras veinte años de vigencia, ha sido derogada por la aprobación de un nuevo y relevante Reglamento General de Protección de Datos (RGPD). Su ámbito de aplicación es europeo y tiene efecto directo en cada Estado miembro. Su objetivo es superar la fragmentación normativa existente y modernizar los principios de privacidad en la Unión Europea. El texto definitivo ha quedado publicado el 25 de mayo de 2016 para entrar en aplicación dos años más tarde, el 25 de mayo de 2018.

Las implicaciones prácticas y sociales del RGPD son muy relevantes, pues constituye un conjunto unitario y actualizado de reglas aplicables en toda la UE y para todo el procesamiento de datos de ciudadanos europeos. En interés de los ciudadanos europeos, regula los derechos de acceso, rectificación, cancelación y oposición, y reconoce dos nuevos derechos: el olvido digital y la portabilidad de datos.

En el ámbito particular de la geoinformación, el RGPD incluye relevantes novedades. Además de establecer la obligatoriedad del Data Protection Officer (DPO), significativamente define entre los «datos personales» toda información sobre una persona física identificada o identificable, incluido no sólo cualquier identificador como, por ejemplo, un número de identificación, sino también los datos de localización. 

1.      Antecedentes


1.1.   Directiva sobre protección de datos de 1995

La Directiva 95/46/CE1, tras veinte años de vigencia, precisa de un marco jurídico nuevo, coherente y homogéneo, para garantizar el derecho fundamental a la protección de datos en la Unión Europea.

El concepto actual de privacidad hunde su raíz en los Estados Unidos de América, donde el juez americano Thomas Cooley asentó en 1888 la definición de privacidad como «the right to be let alone» (Cooley & Lewis, 1907 Cooley, T. M., & Lewis, J. (1907). A treatise on the law of torts or the wrongs which arise independently of contract. Chicago: Callaghan & Co.), el derecho a ser dejado solo, a ser dejado en paz.

Por ello, el estudio de la regulación europea precisa conocer el origen de este importante derecho, hoy ya reconocido y consagrado como derecho fundamental y autónomo en la Carta de los Derechos Fundamentales de la Unión Europea.

Las incongruencias en la protección de los datos personales en los distintos Estados de la Unión han puesto de relieve, también para la Comisión Europea, la necesidad de disponer de una regulación unitaria y armonizada de protección de datos en todo el territorio de la Unión, en particular para suprimir o reducir el margen de elección de los legisladores nacionales y de las autoridades de control y los Tribunales. 

Conscientes del problema que supone la fragmentación de la normativa de protección de datos en Europa, por las diferencias legislativas y de aplicación de la regulación entre los Estados miembros, el Tribunal de Justicia ha reiterado la importancia del objetivo perseguido por la Directiva 95/46/CE, centrado en mantener un equilibrio entre la libre circulación de datos personales y la tutela del derecho a la intimidad2.

Sin embargo, la Directiva 95/46/CE no ha garantizado plenamente ninguno de sus dos objetivos principales.

En primer término, el derecho a la protección de datos de carácter personal, consagrado en el art. 8 de la Carta Europea de Derechos Fundamentales3, no ha visto garantizado el mismo nivel de protección en todos los Estados miembros ni en las distintas entidades y corporaciones.

En segundo término, la diversidad de enfoques nacionales sobre la efectividad de la protección de datos personales ha constituido un obstáculo para el desarrollo y expansión del mercado interior. Como ha destacado el Tribunal de Justicia en la Sentencia Lindqvist de 2003, las diferencias entre los regímenes nacionales aplicables al tratamiento de datos personales pueden afectar seriamente al establecimiento y al funcionamiento del mercado interior.

Ante esta situación, en la Unión Europea se ha hecho necesario establecer una regulación más transparente y una unidad de aplicación del Derecho europeo que imponga a los responsables y encargados de tratamiento el mismo nivel de obligaciones, una supervisión coherente y unas sanciones equivalentes en todo el territorio de la Unión.

El desarrollo de la economía digital en la Unión Europea precisa actualmente un marco coherente y jurídicamente armonizado para la protección de datos personales en todos los Estados miembros. Además, la integración económica y social resultante del funcionamiento del mercado interior ha llevado a un aumento sustancial de flujos transfronterizos y del consiguiente intercambio de datos entre operadores económicos y sociales, públicos y privados.

La necesidad de garantizar el derecho fundamental a la protección de datos de carácter personal y su aplicación homogénea en el contexto de todas las políticas de la UE han conducido a la Comisión a proponer «una política más integradora y coherente en materia del derecho fundamental a la protección de los datos de carácter personal»4.

En este sentido, si bien el marco jurídico actual sigue siendo adecuado en sus objetivos y principios, no ha logrado evitar la fragmentación en la aplicación en la Unión del derecho fundamental a la protección de datos de carácter personal, ni tampoco la inseguridad jurídica ni la percepción generalizada de la opinión pública de que existen riesgos significativos, especialmente por lo que se refiere a la actividad en línea5.


1.2.   Propuesta de Reglamento General de Protección de Datos (2012)

La reforma europea de la protección de datos es un conjunto legislativo que la Comisión Europea propuso en 2012 para actualizar y modernizar la normativa sobre protección de datos. Afecta a dos instrumentos legislativos: el Reglamento General de protección de datos, destinado a sustituir la Directiva 95/46/CE, y la Directiva sobre protección de datos en el ámbito judicial y policial, destinada a sustituir la Decisión marco sobre protección de datos de 2008, objeto del «Tercer Pilar». El Tercer Pilar comprende la cooperación policial y judicial en materia penal, regulada por el Título VI del TUE («DOUE» núm. 83, de 30 de marzo de 2010).

En este estudio nos centraremos en el Reglamento General por su mayor incidencia en la protección de la privacidad de las personas físicas y su repercusión jurídica práctica para ciudadanos y entidades.

Tras años de trabajo legislativo, el Parlamento Europeo ha aprobado en abril de 2016 el citado Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD en adelante), que entró en vigor el 25 de mayo de 20166. Sus disposiciones serán de aplicación directa en todos los Estados miembros dos años después. Los países tendrán un plazo de dos años para trasladar los cambios normativos a la legislación nacional.

El Reglamento General pretende establecer una regulación armonizada en todos los Estados de la Unión Europea, con la consiguiente derogación de las normas nacionales específicas7. Se fundamenta en la aplicación del principio de subsidiariedad normativa de los Estados miembros, con el objetivo de superar la aproximación fragmentaria de la Directiva 95/46/CE.

El RGPD incorpora un conjunto unitario de reglas aplicables en toda la UE y tiene como objetivo actualizar el marco regulatorio, dados los profundos cambios que han tenido lugar en cuanto a la forma en que se recopilan, almacenan y procesan los datos personales.

En este sentido, el Reglamento mantiene los derechos de acceso, rectificación, cancelación y oposición y, como novedad, incorporará dos derechos de nueva creación, el «derecho al olvido» (o supresión) y el «derecho a la portabilidad de datos». Asimismo, aborda nuevas cuestiones como la creación de perfiles o la seudonimización, e incorporará los principios del análisis de riesgos y la «privacidad por defecto y por diseño». Además, el ámbito de aplicación del RGPD se extenderá más allá de las fronteras de la UE y afectará a organizaciones, entidades y empresas que, aunque no estén establecidas en territorio europeo, ofrezcan bienes y servicios a residentes de la UE o monitoricen sus conductas de comportamiento.

El Special Eurobarometer 359 publicado en junio de 2011 (Special Eurobarometer 359. Attitudes on Data Protection and Electronic Identity in the European Union, 2010), reveló información significativa sobre el escenario europeo actual, pues sólo el 26% de los usuarios de redes sociales controlan sus datos, el 74% de los europeos considera la divulgación de información personal parte creciente de la vida moderna, el 43% de los usuarios de Internet ha pedido más información personal de la necesaria, sólo el 33% de los europeos conoce la existencia de las autoridades nacionales de protección de datos y, de forma muy llamativa, el 90% de los europeos quieren los mismos derechos de protección de datos en toda la UE.

El reto tecnológico y jurídico que representa actualmente el desarrollo, expansión y popularización de la Red de redes y de sus numerosas aplicaciones tecnológicas precisa necesariamente una aproximación global por su naturaleza transversal o multipropósito y su alcance internacional. No hay duda de que asistimos a la regulación en privacidad de mayor calado para los años venideros, con nuevas reglas legales, el reconocimiento de derechos fundamentales y de principios de calidad de los datos y habilitación legítima para el tratamiento, motivada por la urgencia de una regulación estable que conforme las sociedades futuras en entornos digitalizados y de procesamiento masivo y transfronterizo de información personal.

La actual revisión de instrumentos internacionales en privacidad alcanza a todos los niveles de gobierno y organización, no sólo en Europa, sino también en entornos internacionales y sectoriales, además de corporativos.

En este sentido, el marco global de la privacidad también queda delimitado por los principios de toda sociedad democrática y respetuosa con los derechos fundamentales, pues sin la privacidad, como afirma Piñar Mañas, «no puede hablarse ni de respeto a la dignidad ni de libertad» (Piñar Mañas, 2008)8. Además, hoy en día la privacidad se encuentra sujeta a diversas tensiones, incluso retos, en relación con la libertad de expresión, con la transparencia y acceso a la información, con los intereses y evolución del mercado y con la lucha por la seguridad ciudadana (Piñar Mañas & Canales Gil, 2008)9.

2.      Principales reformas del Reglamento General de protección de datos (2016)


El 25 de mayo de 2016 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)10.

Esta aprobación parlamentaria pone fin a más de cuatro años de trabajo para reformar drásticamente la normativa comunitaria sobre protección de datos. Sin duda, el objetivo del nuevo reglamento general es dar más control a los ciudadanos sobre su información privada en un mundo de teléfonos inteligentes, geolocalización, dispositivos de seguimiento geográfico, redes sociales, banca por internet y transferencias globales.

Como han destacado las autoridades europeas, «es un acuerdo fundamental con consecuencias importantes. Esta reforma no solo refuerza los derechos de los ciudadanos, sino también adapta a la era digital la normativa para las empresas, al tiempo que reduce la carga administrativa. Se trata de textos ambiciosos y con visión de futuro. Podemos tener plena confianza en el resultado»11.

La protección de las personas en relación con el tratamiento de sus datos personales es un derecho fundamental consagrado en la Carta de los Derechos Fundamentales de la UE (artículo 8) y en el Tratado de Funcionamiento de la Unión Europea (artículo 16).

El RGPD tiene por objeto mejorar el nivel de protección de los datos de las personas físicas cuyos datos personales se someten a operaciones y procesamiento automatizado o no y aumentar las oportunidades de negocio y libertad de movimiento en el mercado único digital, en particular mediante la reducción de la burocracia administrativa.

2.1.   Nivel de protección de los datos

Los principios y normas sobre el tratamiento de los datos personales de las personas físicas se fundamentan en el respeto de los derechos y libertades fundamentales, en particular del derecho a la protección de los datos de carácter personal, plenamente aplicable a la información geoespacial cuando esta pueda ser considerada como dato personal.

Este derecho ha sido reforzado con la finalidad de proteger a las personas físicas cuyos datos se someten a procesamiento y asegurar en la práctica un mayor control sobre sus datos personales.

2.2.   «Mercado único digital»

El Reglamento General establece una normativa única, válida en toda la UE y aplicable al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado del tratamiento en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.

En un entorno globalizado como el tecnológico, la aplicación extraterritorial de las normas constituye un verdadero desafío, pues no tendría demasiado sentido limitarlas a un determinado espacio, por el principio de aplicación territorial de la Ley, o a un concreto conjunto de personas, por imperativo del principio de personalidad.

De este modo, el Reglamento General incorpora nuevas reglas sobre extraterritorialidad de las normas y se aplicará fuera de la Unión Europea cuando el tratamiento de datos personales de interesados residentes en la Unión se efectúe por responsables o encargados del tratamiento no establecidos en la Unión y las actividades de tratamiento estén relacionadas con dos ámbitos: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si se requiere un pago por parte del interesado; o b) el control de su conducta, en la medida en que esta tenga lugar en la Unión Europea.

De otra parte, el Reglamento se fundamenta en un enfoque dirigido a los riesgos, con objeto de reducir los costes administrativos: los responsables del tratamiento pueden poner en práctica medidas según el riesgo que impliquen las operaciones de tratamiento de datos practicadas.

Las entidades pueden realizar diversas actividades las cuales pueden comportar riesgos para la intimidad y la privacidad, riesgos que además pueden variar: desde el uso ilícito de datos por carecer del necesario consentimiento expreso hasta la divulgación excesiva de datos personales en Internet, además de posibles cesiones de información personal a entidades o personas con las que el responsable del tratamiento esté vinculado. El RGPD no ofrece una solución única válida para todos los casos: cuantos mayores riesgos supongan las actividades para los datos personales, más estrictas serán las obligaciones.

Por esta razón, las obligaciones jurídicas del responsable del tratamiento vendrán determinadas en función de la naturaleza, el ámbito, el contexto y los fines del procesamiento de datos, así como por los riesgos existentes, de diversa probabilidad y gravedad, para los derechos y libertades de las personas físicas. Por consiguiente, el responsable del tratamiento deberá aplicar aquellas medidas técnicas y organizativas que resulten apropiadas para garantizar y estar en condiciones de demostrar que el tratamiento de datos personales es llevado a cabo de conformidad con el Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.

Igualmente se establece la «evaluación de impacto relativa a la protección de datos» cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas. Por ejemplo, en el ámbito de instituciones que procesen datos sensibles, como los de salud, religión, creencias, datos de menores o de afiliación política o sindical, se deberá evaluar el sistema para asegurar el cumplimiento y correcta implementación de las medidas técnicas y organizativas necesarias para garantizar la protección de los derechos de los titulares de la información, en especial en los supuestos de comunicaciones o cesiones de datos a otras entidades o terceros.
 

2.3.   Mejora de instrumentos para garantizar la protección de datos

El Reglamento establece una serie de medidas para aumentar la responsabilidad y la rendición de cuentas de los responsables del tratamiento a fin de garantizar el pleno cumplimiento de las nuevas normas de protección de datos.

Uno de los temas más polémicos ha sido la adjetivación del consentimiento como “explícito” contenida en la propuesta de la Comisión Europea, aunque finalmente la redacción ha vuelto a la calificación de “inequívoco” ya presente en la Directiva, con el fin de asegurar en todo caso su expresión mediante una manifestación o una clara acción afirmativa. Asimismo, los responsables del tratamiento deben poner en práctica una serie de medidas de seguridad, incluida la obligación de notificar las violaciones de datos personales en determinados casos.

Para que la efectividad de las normas contenidas en el Reglamento resistan el paso del tiempo y la permanente innovación tecnológica, se introducen los principios de protección de datos «desde el diseño y por defecto», de tal manera que el responsable del tratamiento cumpla los requisitos del Reglamento y se protejan realmente los derechos de los interesados desde la planificación de los proyectos («desde el diseño») y en todo caso («por defecto»).

Entre las medidas particulares que contempla el Reglamento General, destaca que el responsable y el encargado del tratamiento estarán obligados a designar un «delegado de protección de datos» para garantizar el cumplimiento de la normativa en ciertos supuestos12.

Los interesados y, en determinadas condiciones, las organizaciones de protección de datos podrán presentar reclamaciones ante una autoridad de control o interponer un recurso en caso de que no se cumplan las normas de protección de datos.

En caso de infracción de la normativa establecida, los responsables del tratamiento pueden enfrentarse a multas de hasta 20.000.000 de euros o el 4 % de su volumen de negocios anual mundial, por incumplimiento de las resoluciones de la autoridad de control.

2.4.   Privacidad de la geoinformación

2.4.1.Nuevo marco global de la privacidad

En la actualidad se llevan a cabo diversas iniciativas legislativas para la regulación de la privacidad en numerosos países del mundo, además de en Estados Unidos y Europa. Estas reformas tienen un enorme calado para la legislación futura e incluyen nuevas reglas legales, principios de neutralidad tecnológica y una regulación estable para entornos digitalizados y de procesamiento masivo y transfronterizo de información personal.

La actual revisión de instrumentos internacionales en privacidad alcanza a todos los niveles de gobierno y organización, tanto internacionales como nacionales. Con carácter general, los principios fundamentales que rigen hasta el momento se circunscriben a la interoperabilidad y a la compatibilidad de los sistemas internacionales de protección.

En este sentido, el marco global de la privacidad en la geoinformación también queda delimitado por los principios de toda sociedad democrática y respetuosa con los derechos fundamentales, pues sin la privacidad no habría respeto a la dignidad ni a la libertad de las personas.
 

2.4.2.Tecnología geoespacial y Derecho

Tecnología y Derecho son realidades que han de armonizarse en el ámbito de la geoinformación para una mayor expansión digital. El Derecho debe asumir la realidad digital para garantizar su crecimiento y aumentar las ventajas personales, sociales y económicas. Sin embargo, el Derecho se enfrenta a importantes desafíos digitales. Los instrumentos y las aplicaciones tecnológicas crean nuevos riesgos para la seguridad personal de las personas y, en un contexto más amplio, para la seguridad nacional en cuyo seno ha de desenvolverse la libertad de las personas. En este contexto, el derecho fundamental a la protección de datos desempeña una función esencial para la protección de las personas y sus datos, así como para la configuración del ejercicio de los derechos en las democracias y estados modernos.

El importante desarrollo tecnológico permite a las personas de forma universal utilizar las tecnologías de la información y las comunicaciones, aunque incrementa la capacidad de vigilancia, interceptación y recopilación de datos por parte de gobiernos, empresas y personas.

Por ello, en el ámbito de los datos y servicios geoespaciales hay que reafirmar el derecho humano a la privacidad, pues nadie debe ser objeto de injerencias arbitrarias o ilegales en su vida privada, su familia, su domicilio o su correspondencia. En el ámbito de su ejercicio es importante el respeto al derecho a la libertad de expresión, de información y de libre opinión.

2.4.3.Privacidad y seguridad

En el equilibrio entre privacidad y seguridad, ámbitos donde la geoinformación desempeña una función crítica o estratégica, los Estados deben garantizar el pleno cumplimiento de sus obligaciones en virtud del derecho internacional de los derechos humanos.

El ámbito de la seguridad nacional cobra una importancia creciente y ha de tener en cuenta las implicaciones que el uso de los datos y servicios espaciales tiene en cada Estado. Es necesaria una mayor tarea de armonización de criterios y legislaciones, pues algunas lagunas legislativas o ausencias de homogeneización generan conflictos entre Estados y regiones que difunden su geoinformación y crean desigualdades en los Estados que no publican o distribuyen geoinformación de manera interoperable.

2.4.4.Privacidad de la geoinformación

Actualmente existen numerosas iniciativas legislativas, tanto internacionales y transnacionales, como nacionales y regionales. Desde Estados Unidos de América hasta Europa, pasando por Asia y Pacífico, existe una preocupación creciente para reconocer normativamente el derecho fundamental y autónomo a la protección de datos de carácter personal.

Junto a esas numerosas propuestas, también existe un interés cada vez mayor en la regulación de la privacidad en el ámbito de la geoinformación, por su importancia, mayor difusión de infraestructuras de datos espaciales y su valor geoestratégico para la seguridad y defensa nacional, y también para la administración electrónica, empresas y ciudadanos.

La geolocalización ha experimentado un desarrollo exponencial en los últimos años. Su expansión ha sido más técnica que jurídica, y muchas de las normas sobre privacidad o protección de datos no han prestado una atención específica al impacto de la ubicación geográfica, aunque muchas mencionan la cartografía o la geografía como aspectos relevantes a tener en cuenta.

En la actualidad no hay duda de que la información geográfica ejerce un papel importante en la sociedad. Casi todas las decisiones humanas, y las realidades sociales y económicas, tienen un componente geográfico. En general, el valor de la información aumenta cuando está conectado a una ubicación. Todos los tipos de información se pueden conectar a una ubicación geográfica, tales como datos financieros, los datos de salud y otros datos de comportamiento de los consumidores. Con el rápido desarrollo tecnológico y la amplia adopción de dispositivos móviles inteligentes, se está desarrollando una nueva categoría de servicios basados en la localización.

En el ámbito de la geolocalización consideramos más adecuado adoptar un concepto amplio de datos personales que un concepto restringido que impida la protección efectiva de los datos que afectan a la persona.

Un concepto amplio de datos personales no significa que esa noción resulte ilimitada. La finalidad de las disposiciones normativas es proteger los derechos y las libertades fundamentales individuales, en especial el derecho a la intimidad y a la privacidad, considerados como derechos autónomos, en lo que se refiere al tratamiento de datos personales.

La generación, almacenamiento y distribución de la geoinformación requiere la intervención de numerosos agentes en los diversos aspectos de una amplia cadena de producción no sólo de los datos espaciales, sino también de sus metadatos y de sus servicios asociados en línea y fuera de línea.

El impacto que la producción cartográfica puede tener en la privacidad no es pequeño y requiere considerar la responsabilidad efectiva de cada faceta. Ciertamente, la complejidad de los procesos de tratamiento junto a la diversidad de administraciones, corporaciones, empresas y profesionales implicados requiere delimitar su respectiva responsabilidad específica.

2.5.   Principios

El Reglamento General formula y actualiza los principios relativos al tratamiento de datos personales en los siguientes términos, pues los datos personales deberán ser:

  • tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
  • recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines; todo nuevo tratamiento de los datos personales en interés público o con fines investigación científica e histórica o estadísticos, se efectuará con arreglo al artículo 83, apartado 1, y será considerado compatible con los fines iniciales («limitación de la finalidad»);
  • adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
  • exactos y, si fuera necesario, actualizados; se habrán de adoptar todas las medidas razonables para que se supriman o rectifiquen sin demora los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
  • mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines por los que se tratan los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que los datos se archiven exclusivamente en interés público o con fines de investigación científica e histórica o estadísticos, de conformidad con el artículo 83, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas adecuadas que impone el Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
  • tratados de tal manera que se asegure una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidentales mediante la aplicación de medidas técnicas u organizativas adecuadas («integridad y confidencialidad»); y
  • el responsable del tratamiento será responsable y capaz de demostrar el cumplimiento normativo («rendición de cuentas»).
     

2.6.   Derechos de los interesados

El Reglamento General se inspira en la protección real y efectiva de los datos personales y comprende un conjunto armonizado de derechos, no sólo al reconocer los ya existentes en normas internacionales y nacionales como los de acceso, rectificación, cancelación y oposición, sino también al configurar dos nuevos derechos: el «olvido digital», también denominado supresión (art. 17 RGPD) y la «portabilidad de datos» (art. 18 RGPD).

2.6.1.Derecho al olvido

La nueva configuración del Derecho al Olvido13 viene recogida en el artículo 17 del Reglamento General y se configura por vez primera como un derecho autónomo a los denominados «derechos ARCO» (acceso, rectificación, cancelación y oposición).

La nueva configuración del derecho al olvido digital trasciende el contenido del derecho de cancelación en el entorno digital, según se ha venido aplicando en cumplimiento de la Directiva europea de privacidad y de las normas nacionales.

De otra parte, resulta relevante destacar que este derecho incide en la esfera del Responsable del tratamiento, esto es, la entidad, corporación, sitio web o red social que trata los datos. El Responsable del tratamiento deberá optar entre limitar el tratamiento, o bien suprimir sin demora la información, ponderando caso por caso el alcance de este derecho con el derecho a la libertad de expresión, la salud pública, el deber de conservación de los datos para dar cumplimiento a una obligación legal y el interés público.

2.6.2.Derecho a la portabilidad de datos

La portabilidad de los datos es el otro nuevo derecho reconocido en el artículo 18 del RGPD. Atribuye al interesado la facultad de «recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado y de uso habitual y de lectura mecánica y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable del tratamiento al que se hubieran facilitado los datos».

No obstante, el Reglamento General ya prevé que el ejercicio de este derecho se entenderá sin perjuicio del olvido digital y la supresión regulada en el artículo 17. En la práctica habrá de ponderarse el ejercicio de este derecho con los casos de tratamiento necesario para el cumplimiento de misiones de interés público (por ejemplo en el caso de la administración tributaria, geográfica o de justicia) o inherente al ejercicio del poder público conferido al responsable del tratamiento (como podría ocurrir en el ejercicio de competencias expropiatorias o sancionadoras).
 

2.7.   Cumplimiento normativo

El Reglamento General establece el nombramiento de un «responsable de la protección de datos» (Data Protection Officer, DPO) para ayudar a las autoridades competentes a garantizar el cumplimiento de la normativa sobre protección de datos. 

Otro instrumento para garantizar el cumplimiento es la «evaluación de impacto en la privacidad» (Privacy Impact Assessments, PIA), aplicable en el caso de que sea probable que un tratamiento suponga un riesgo elevado para los derechos y las libertades de personas físicas. En tales supuestos, las autoridades competentes deberán efectuar previa o simultáneamente una evaluación del posible impacto de un tratamiento determinado, en particular cuando se utilice una tecnología nueva.

2.7.1.Delegado de Protección de Datos

La figura del DPO (“Data Protection Officer”) o Delegado de Protección de Datos ha sido objeto de intensos debates sobre su carácter obligatorio y universal para todas las entidades e instituciones. Finalmente el Delegado de Protección de Datos regulado en el Reglamento será un instrumento voluntario para el responsable y el encargado del tratamiento, aunque con excepciones, con el fin de velar por el cumplimiento legal y técnico en las entidades.

Conviene aclarar que el Data Protection Officer es una figura necesaria para las entidades, empresas, instituciones o cualquier agente que «maneje» datos personales y, si bien en la práctica sería la persona ocupada de las cuestiones sobre protección de datos y privacidad, su designación no exime a la propia institución u organización de responsabilidad de cuanto se haga con los datos de las personas ni del cumplimiento de las normas del Reglamento.

Existe así la obligación de contratar un Delegado de Protección de Datos (DPO) en organizaciones e instituciones públicas y en entidades con más de 250 trabajadores. En el caso de entidades con menos de 250 empleados, será obligatorio el DPO cuando necesiten un seguimiento sistemático y periódico de los datos personales tratados para la monitorización o investigación de mercados, análisis de riesgos o datos crediticios o de solvencia patrimonial, así como cuando traten los citados datos catalogados de especialmente protegidos.

Las entidades podrán determinar y ampliar las funciones y responsabilidades de los Delegados de Protección de Datos, que deberá tener al menos los siguientes cometidos:

  • informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de los datos personales de las obligaciones que les incumben en virtud del Reglamento y otras disposiciones de protección de datos de la Unión o de los Estados miembros;
  • supervisar el cumplimiento de lo dispuesto en el Reglamento, en otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  • ofrecer el asesoramiento que se le pida acerca de la evaluación de impacto relativa a la protección de datos y supervisar su realización;
  • cooperar con la autoridad de control;
  • actuar como punto de contacto de la autoridad de control para las cuestiones relacionadas con el tratamiento de datos personales incluida la consulta previa, y consultar en su caso, sobre cualquier otro asunto.

El responsable y el encargado del tratamiento estarán obligados a designar un delegado de protección de datos para garantizar el cumplimiento de la normativa cuando una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función jurisdiccional, realicen el tratamiento, cuando las actividades principales consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados a gran escala; o cuando tales actividades consistan en el tratamiento a gran escala de las categorías especiales de datos (datos de origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, biométricos, de salud o vida y orientación sexuales y datos relativos a condenas penales y delitos).

Con la incorporación de DPO se pretende dar una mayor fuerza a la figura del Responsable de Seguridad, que es la persona que actualmente se debe asignar en las organizaciones para velar por el correcto cumplimiento de la normativa de protección de datos.

La diferencia más significativa entre el Responsable de Seguridad y el Delegado de Protección de Datos es la exclusividad de éste último en sus funciones. El DPO ya no será, como hasta ahora, la persona que se designaba como Responsable de Seguridad, ocurriendo que, sin apenas justificación, se elegía a profesionales sin la adecuada capacitación. El DPO será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos, y a su capacidad para ejecutar los cometidos contemplados en el Reglamento.

En este sentido, el DPO podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios. El responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control.

El RGPD aclara que el responsable o el encargado velarán por que el DPO no reciba ninguna instrucción en lo que respecta al ejercicio de estos cometidos. No será destituido ni sancionado por el responsable o el encargado del tratamiento por desempeñar sus cometidos. El delegado de protección de datos informará directamente al más alto nivel de dirección del responsable o del encargado del tratamiento.
 

2.7.2.Evaluación de impacto en la privacidad

El auge de nuevos modelos de negocio, comunicaciones y medios tecnológicos, tales como las tecnologías wearables, el auge del Internet of Things (IoT), la progresiva implantación de soluciones de cruzamiento masivo de datos o Big Data, el procesamiento de datos sensibles de carácter religioso o ideológico, el tratamiento de datos biométricos, la geolocalización, las nuevas fronteras en el ámbito de la ciberseguridad, hasta el fingerprinting o la tecnología de reconocimiento facial en redes sociales, dan lugar a nuevos riesgos que pueden tener consecuencias con carácter simultáneo en distintas localizaciones, lo que da valor al desarrollo de este marco unificado a nivel europeo.

El Reglamento General exige la evaluación de impacto relativa a la protección de datos cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, suponga un alto riesgo para los derechos y libertades de las personas.

En estos casos, el responsable del tratamiento está obligado, antes del tratamiento, a realizar una evaluación del impacto de las operaciones de tratamiento previstas en la protección de datos personales. Una única evaluación servirá para abordar una serie de operaciones de tratamiento similares que planteen riesgos elevados similares.

En particular, el responsable del tratamiento recabará el asesoramiento del delegado de protección de datos, si este ha sido nombrado, al llevar a cabo la evaluación de impacto relativa a la protección de datos.
 

2.7.3.Sanciones

Otro aspecto relevante a tener en cuenta es el de las sanciones. El nuevo Reglamento pretende unificar los criterios comunitarios para la imposición de sanciones, así como aumentar su cuantía para garantizar la mayor protección de un derecho fundamental como la privacidad.

Se amplía así el alcance de las sanciones contra los responsables y encargados del tratamiento que no cumplan con la normativa, y se faculta a las Autoridades Nacionales de Protección de Datos a imponer sanciones administrativas de hasta 20 millones de euros o el 4% de su volumen de negocios total anual.

Además, se reconoce el derecho de los interesados a presentar una reclamación a la Autoridad de Control nacional, así como su derecho a la tutela judicial efectiva ante los órganos jurisdiccionales de cualquier Estado Miembro.
 

3.      Conclusiones

La aprobación definitiva del Reglamento General de Protección de Datos en Europa presenta expectativas positivas. La existencia de un marco legal sólido y uniforme de alcance europeo, adecuadamente actualizado a las necesidades del espacio tecnológica, permitirá liberar el potencial del Mercado Digital, el fomento de la innovación, la creación de empleo y la generación de riqueza, y también salvaguardar el derecho fundamental a la protección de datos de los ciudadanos europeos o residentes en Europa.

Las principales novedades del Reglamento General de Protección de Datos son:

  1. Nuevos derechos de los ciudadanos: derecho al olvido y derecho a la portabilidad de los datos de un usuario de un sistema de tratamiento electrónico a otro.
  2. La creación de la figura del Delegado de Protección de Datos (DPO, Data Protection Officer).
  3. Obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para determinar el cumplimiento normativo.
  4. La obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.
  5. Nuevas notificaciones a la Autoridad de Control: brechas de seguridad y autorización previa para determinados tipos de tratamiento.
  6. Nuevas obligaciones de información al interesado, mediante un sistema de iconos armonizado para todos los países de la UE.
  7. Incremento de la cuantía de las sanciones.
  8. Aplicación del concepto «Ventanilla Única» (One-stop-shop), para que los ciudadanos interesados puedan efectuar trámites, aunque afecten a autoridades de otros estados miembros.
  9. Establecimiento de obligaciones para nuevas categorías especiales de datos.
  10. Nuevos principios en las obligaciones de información: transparencia y minimización de datos.

NOTAS:
 

Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. (1995). Directiva 95/46/CE. http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:31995L0046. DOUE n° L 281 de 23/11/1995 p. 0031 – 0050.

2 Sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala), de 6 de noviembre de 2003 (C-101/01 – Bodil Lindqvist) (2003). http://curia.europa.eu/juris/document/document.jsf?text=&docid=48382&pageIndex=0&doclang=ES&mode=lst&dir=&occ=first&part=1&cid=1129584

3 Carta de los Derechos Fundamentales de la Unión Europea (2010). CDFUE. Recuperado a partir de  http://www.boe.es/buscar/doc.php?id=DOUE-Z-2010-70003

4 Cfr. la Comunicación de la Comisión titulada «Un enfoque global de la protección de los datos personales en la Unión Europea» -COM (2010) 609 final- y el Plan de acción de la Comisión por el que se aplica el Programa de Estocolmo -COM (2010) 171 final-.

5 Special Eurobarometer 359. Attitudes on Data Protection and Electronic Identity in the European Union. (2010). Recuperado a partir de http://ec.europa.eu/public_opinion/archives/eb_special_359_340_en.htm

6 European Commission. (2016). Reforma de la protección de datos – Nuevas reglas adaptadas a la era digital. Accesible en http://www.europarl.europa.eu/news/es/news-room/20160407IPR21776/Reforma-de-la-protecci%C3%B3n-de-datos-%E2%80%93-Nuevas-reglas-adaptadas-a-la-era-digital

7 El desarrollo del procedimiento legislativo y su evolución normativa puede seguirse a través del Parlamento Europeo. Disponible en: http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0011(COD)&l=en  y en  http://eur-lex.europa.eu/procedure/ES/2012_11?rid=1&qid=1443173807357

8 Piñar Mañas, J. L. (2008). ¿Existe la privacidad? Madrid: Universidad CEU San Pablo, Lección magistral impartida en la Apertura Solemne del Curso Académico, p. 19.

9 Piñar Mañas, J. L., & Canales Gil, A. (2008). Legislación de protección de datos. Madrid: Iustel., págs. 91 y ss.

10 OJ L 119, 4.5.2016, p. 1–88.

11 Cfr. Consejo de la Unión Europea, Reforma de la protección de datos: http://www.consilium.europa.eu/es/policies/data-protection-reform/

12 Cfr. art. 37 y ss. RGPD.

13 Existen diversos estudios sobre la cuestión. Cabe destacar algunos de los más significativos:

-Martínez Martínez, R. (2014). Aplicar el derecho al olvido. Revista Aranzadi de derecho y nuevas tecnologías. Editorial Aranzadi.

-Moya Izquierdo, S., & Crespo Vitorique, I. (2014). Los motores de búsqueda y el “derecho al olvido» cuando la tecnología avanza más rápido que el DerechoUnión Europea Aranzadi. Editorial Aranzadi.

-Paños Pérez, A. (2012). Conflict between freedoms of expression and information and the right of honour, privacy and self-image of minors. Revista de Derecho. Facultad de Ciencias Jurídicas y Sociales.

-Rallo Lombarte, A., & Díaz Díaz, E. (2014). Caso Google vs. España: sentencia del TJUE 13 de mayo de 2014. Actualidad jurídica Aranzadi, (886), 8.

© Efrén Díaz Díaz
Abogado. Especialista en Derecho Administrativo y Geoespacial. Bufete Mas y Calvet (
www.mascalvet.com)

Fuente inicial: Butlletí: Territori i Ciutat. Número de butlletí: #60 – juliol 2017

Sea el primero en compartirlo

Sobre el autor

Efrén Díaz Díaz

Abogado del Ilustre Colegio de Abogados de Madrid.
Doctor en Derecho por la Universidad de Navarra.
Asociado Senior y Responsable de las Áreas de Tecnología y Derecho Espacial del Bufete Mas y Calvet
Delegado de Protección de Datos en Europa en sectores financiero, legal, sanitario, geoespacial y educativo.

Allí donde hay espacio, hay derecho

Efrén Díaz Díaz

Abogado del Ilustre Colegio de Abogados de Madrid.
Doctor en Derecho por la Universidad de Navarra.
Asociado Senior y Responsable de las Áreas de Tecnología y Derecho Espacial del Bufete Mas y Calvet
Delegado de Protección de Datos en Europa en sectores financiero, legal, sanitario, geoespacial y educativo.

Categorías de las Entradas