Algo (o todo) está cambiando en el ámbito de la privacidad

(i) Introduciendo el cambio, preparados para el futuro.

El año en curso está llamado a marcar un antes y un después en la forma en que los datos personales son protegidos, y es que las reglas de juego para los responsables del tratamiento están cambiando. Una nueva concepción de la responsabilidad de éstos y de la forma en que el cumplimiento debe ser acreditado, son algunos de los principales factores que empresas e instituciones, entre otros, deben tener en cuenta.

Y es que el imparable avance tecnológico ha puesto de manifiesto, en reiteradas ocasiones, que nuestra normativa debía avanzar, reconociendo la realidad actual, garantizando la protección de este derecho fundamental, reconocido en la mayor parte de Constituciones nacionales. A nadie escapa cómo las nuevas tendencias desde el punto de vista tecnológico han revolucionado el tratamiento de los datos personales.

La explotación de los datos o el tratamiento masivo de éstos, la aplicación de técnicas Big Data posibilitan la obtención de resultados que tienen una aplicación directa en campos como la medicina y la investigación científica, en la dotación de servicios por parte de las administraciones, en la prevención de conductas delictivas (proyectos que ya son hoy una realidad en ciudades como Berlin en Alemania o Las Rozas en España), o como esta misma semana conocíamos, en el ámbito judicial (Wisconsin en Estados Unidos).

Es por tanto, primordial para el lector, conocer los cambios que vienen, y como debe planificar una hoja de ruta que le permita llegar en los tiempos establecidos a cumplir con la legalidad vigente.

(ii) Nueva norma europea para la protección de los datos personales.

Tras casi un lustro de debates interminables, informaciones e incertidumbres, el 14 de abril se aprobaba, por fin, el Reglamento Europeo de Protección de Datos. La norma llamada a regular el tratamiento de los datos personales en la Unión Europea durante los próximos años.

Sobre la mesa quedan cuestiones como el reforzamiento del consentimiento, evolución del deber de información al derecho a la información, la introducción del principio de accountability y la obligación de realizar análisis de riesgos, la mayor protección de los menores de edad, la consolidación del derecho al olvido o la regulación de nuevos derechos como el derecho a la portabilidad de los datos, o la simplificación de determinados trámites administrativos, entre otros aspectos.

Así, la nueva norma refuerza a la persona como eje del tratamiento de sus datos personales, cuestión asociada directamente al consentimiento para el tratamiento de los datos personales. Así, éste deberá responder a la voluntad libre, específica, informada, e inequívoca del interesado, debiendo producirse una acción positiva o declaración por parte de las personas cuyos datos van a ser tratados, como indica la propia Agencia Española, a través de su página web, “el consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos”.

El consentimiento para el tratamiento de los datos personales es uno aspectos que deben ser tenidos en cuenta en relación al nuevo Reglamento:

  • El responsable del tratamiento deberá ser capaz de demostrar que el interesado consintió efectivamente el tratamiento de sus datos personales.
  • La solicitud de consentimiento al interesado deberá presentarse diferenciada de los demás asuntos, de forma inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo, como veremos en relación con el derecho de información.
  • La declaración o consentimiento podrá darse por escrito, por medios electrónicos, o una declaración verbal, siempre que pueda ser conservada a efectos probatorios.
  • El interesado tendrá derecho a retirar su consentimiento en cualquier momento, así la nueva norma establece que deberá ser tan fácil retirar el consentimiento como darlo.
  • Sobre la edad para consentir los menores de edad, ésta se fija en los 16 años, no obstante, los Estados miembros podrán establecer una edad inferior a tales fines, nunca inferior a  los 13 años.

Para que este consentimiento sea efectivo, y se pueda prestar libremente con el conocimiento pleno por parte de la persona cuyos datos van a ser tratados, es necesario, además, una redefinición del deber de información. Esta nueva concepción, sobre uno de los pilares fundamentales del tratamiento de los datos personales, adquiere un nuevo enfoque: de la obligación de las empresas, al derecho de las personas.

A mayor abundamiento, cuando los datos se obtengan directamente del interesado, el responsable del tratamiento deberá informar, entre otros aspectos, sobre:

  • La identidad y los datos de contacto del responsable y, en su caso, de su representante.
  • Los datos de contacto del delegado de protección de datos.
  • Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
  • Los intereses legítimos del responsable del tratamiento o de un tercero.
  • Los destinatarios o las categorías de destinatarios de los datos personales.
  • La intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión.
  • El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinarlo.
  • El procedimiento para el ejercicio de los derechos de acceso, rectificación, cancelación, oposición y portabilidad de los datos.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • Igualmente, cuando se vayan a tratar datos para fines posteriores diferentes, se deberá informar sobre éstos al interesado.

En aquellos casos en los que los datos no se obtengan directamente del interesado, se deberá informar sobre la fuente de la que proceden los datos personales y, en su caso, si proceden de fuentes de acceso público, se deberá facilitar la información dentro de un plazo razonable, una vez obtenidos los datos personales, y a más tardar dentro de un mes; si los datos personales han de utilizarse para comunicación con el interesado en el momento de la primera comunicación; si está previsto comunicarlos a otro destinatario, a más tardar en el momento en que los datos personales sean comunicados por primera vez. La norma establece determinadas excepciones, por ejemplo, cuando el interesado ya haya sido informado, cuando concurran circunstancias especiales como un esfuerzo desproporcionado.

Debemos hacer mención a los derechos de nueva generación, como la consolidación del derecho al olvido y el derecho a la portabilidad de los datos, que se unirán a los ya conocidos derechos de acceso, rectificación, cancelación y oposición. A mayor abundamiento, junto el ya introducido derecho al olvido, mediante el derecho a la portabilidad de los datos, el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado, en este sentido, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.

Se incluyen menciones a cuestiones tales como las solicitudes que sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, ante las que el responsable del tratamiento podrá: cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada, o negarse a actuar respecto de la solicitud. Igualmente, el responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.

El Reglamento General amplía la categoría de datos especialmente protegidos, entendidos éstos como aquellos datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física. En este sentido la inclusión de los datos genéticos y biométricos, viene a aportar respuestas a cuestiones que habían sido previamente tratadas por el Grupo de Trabajo del Artículo 29 o las propias Autoridades de Control nacionales.

En relación con los flujos de datos, la nueva normativa europea, reconoce que, los Estados miembros, las autoridades de control, el Comité y la Comisión podrán promover la elaboración de códigos de conducta destinados a contribuir a la correcta aplicación del Reglamento. Igualmente, las asociaciones y otros organismos representativos de categorías de responsables o encargados del tratamiento podrán elaborar códigos de conducta. Así el Reglamento General fomenta la creación de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados puedan evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios, y a los responsables y encargados del tratamiento demostrar el cumplimiento del citado Reglamento.

Sobre las transferencias internacionales de datos, adicionalmente, en un momento en que las mismas se han convertido en un asunto de absoluta actualidad, la normativa europea establece, entre los medios para su regularización y aportar mayor seguridad jurídica, se recogen:

  • Decisiones de adecuación: cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de este país o la organización internacional a los que vayan a transferirse datos garantizan un nivel de protección adecuado.  Se establece un mecanismo de revisión periódica, al menos cada cuatro años, que tenga en cuenta todos los acontecimientos relevantes en el tercer país o en la organización internacional
  • Establecimiento de garantías adecuadas para la transferencia de los datos: instrumento jurídicamente vinculante, normas corporativas vinculantes, cláusulas contractuales tipo, mecanismos de certificación, o códigos de consulta.
  • Normas corporativas vinculantes (BCR) políticas de protección de datos personales asumidas por un responsable o encargado del tratamiento establecido en el territorio de un Estado miembro para transferencias o un conjunto de transferencias de datos personales a un responsable o encargado en uno o más países terceros, dentro de un grupo empresarial o una unión de empresa dedicadas a una actividad económica conjunta.

Términos como privacidad desde el diseño o por defecto, evaluaciones de impacto, o la inclusión del Data Protection Officer (DPO o su traducción al español, Delegado de Protección de Datos), se incorporarán a nuestro vocabulario en esta rama del Derecho.

Sobre la figura del DPO, éste será obligatorio para las Administraciones Públicas (autoridades y organismos, excepto Tribunales), empresas y otras entidades cuya actividad principal consista en el tratamiento masivo de datos personales que, por su naturaleza, alcance o fines, requieran una observación habitual, sistemática y a gran escala de sus titulares, y empresas y otras entidades cuya actividad principal consista en el tratamiento a gran escala de categorías de datos personales especialmente protegidas y de datos relativos a condenas e infracciones penales. Entendiéndose por gran escala, las operaciones de tratamiento que persiguen tratar una cantidad considerable de datos personales a nivel regional, nacional o supranacional y que podrían afectar a un gran número de interesados y entrañen un alto riesgo (por ejemplo, debido a su sensibilidad), cuando, en función del nivel de conocimientos técnicos alcanzado, se haya utilizado una nueva tecnología a gran escala y a otras operaciones de tratamiento que entrañan un alto riesgo para los derechos y libertades de los interesados, en particular cuando estas operaciones hace más difícil para los interesados el ejercicio de sus derechos.

La nueva normativa pretende avanzar en la protección de los datos de las personas, devolviéndolas el control sobre sus datos, aportando seguridad jurídica y transparencia a los sistemas de tratamiento de datos personales en el entorno digital. Un avance que también se opera en relación con la adopción de medidas de seguridad, apostando por la implementación de estándares internacionales (ISO 27000 y 27001, entre otros).

Otras novedades que debe tener en cuenta el responsable del tratamiento de cara a adecuarse al Reglamento Europeo, desde el punto de vista institucional o administrativo son:

  • La creación del Comité Europeo de Protección de Datos, compuesto por el director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos o sus representantes respectivos.
  • La supresión de determinados trámites administrativos, como la inscripción de ficheros ante la autoridad de control.
  • El notable incremento de las sanciones administrativas, así las multas administrativas que pueden llegar hasta los 20.000.000 euros o un 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior. Igualmente los Estados miembros establecerán otras sanciones aplicables a las infracciones del Reglamento, en particular las infracciones que no se sancionen con multas administrativas.

Con esta base, comienza el camino hacia la adecuación a la nueva norma, con la meta en el primer semestre del 2018. Un camino cargado de retos que los responsables de tratamiento deberán acometer con paso firme, desde un punto de vista positivo y el convencimiento de que el cumplimiento de la legislación vigente se constituye en un, innegable, activo empresarial, muy valorado por los usuarios y potenciales usuarios.

(iii) Otras novedades en el ámbito de las transferencias internacionales de datos.

La Comisión Europea aprobaba recientemente, además, el nuevo marco de protección de los derechos fundamentales de cualquier persona en la Unión Europea, cuyos datos personales se transfieran a los Estados Unidos. Un procedimiento que viene a llenar el vacío dejado por el extinto “Safe Harbor” de cara regularizar las trasferencias de datos entre Europa y Estados Unidos.

Tras su publicación en el Federal Register, el Departamento de Comercio de los Estados Unidos comenzará a operar el “Privacy Shield”, por parte de las empresas estadounidenses, una vez hayan revisado el marco y actualizado su cumplimiento, podrán certificarse ante dicho Departamento a partir del 1 de agosto.

Durante el primer semestre del año, también se anunciaba la decisión del Irish Data Protection Commissioner de solicitar a la Irish High Court, la remisión al Tribunal de Justicia de la Unión Europea una nueva cuestión prejudicial sobre la validez de las clausulas contractuales tipo y las garantías que este mecanismo aportan para llevar a cabo dichos tratamientos de datos.

Por último, debemos tener en cuenta que el resultado del pasado referéndum en Reino Unido sobre su permanencia en la Unión Europea, plantea cuestiones relativas tratamientos de datos llevados a cabo por empresas, prestadores de servicios e instituciones de Reino Unido. Tratamientos que hasta la fecha se encontraban acogidos al principio de libre circulación de los datos, pero que con la salida de la Unión Europea, implican una nueva realidad y su consideración futura como transferencias internacionales de datos.