El DPI (Data Privacy Institute) dentro de ISMS Forum Spain, ha elaboradoun documento que tiene como objetivo principal ser un análisis de la propuesta de nueva regulación (en concreto del borrador publicado el 25 de enero de 2012 por la Comisión Europea), de modo que permita conocer en detalle los aspectos regulados en esta normativa, el resultado de su comparación con la normativa española vigente, y el posible impacto que tendrá sobre las entidades públicas o privadas.
Como sabéis, ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información) es una gran red activa y abierta, un punto de encuentro, de debate e intercambio de experiencias para empresas, profesionales y expertos del sector, que permite aportar valor a una sociedad cada vez más interconectada y, por tanto, expuesta a mayores riesgos.
Dentro de la Asociación, el Data Privacy Institute (DPI) aglutina a todas las personas y organizaciones que tienen responsabilidades e interés en el cumplimiento de la normativa sobre Privacidad y Protección de Datos de carácter personal.
Es por ello que, tanto desde ISMS Forum Spain como desde el DPI, estamos permanentemente atentos a las regulaciones en ciernes que pueden afectar al Cumplimiento normativo y Seguridad de la Información.
En consecuencia, venimos trabajando desde hace tiempo, en el estudio de la nueva regulación europea sobre Protección de Datos que está en proceso de elaboración.
Como uno de los resultados de estos trabajos, queremos presentar el "Estudio de impacto y GAP con la normativa española de la propuesta de Reglamento General de Protección de Datos de la Unión Europea", un documento que tiene como objetivo principal ser un análisis de la propuesta de nueva regulación (en concreto del borrador publicado el 25 de enero de 2012 por la Comisión), de modo que podáis conocer en detalle los aspectos regulados en esta normativa, el resultado de su comparación con la normativa española vigente, y el posible impacto que tendrá sobre las entidades públicas o privadas.
Esperamos que el Estudio os resulte de interés y utilidad, pues esas son sus principales finalidades.
Por último, os animamos, como siempre, a ser partícipes de las iniciativas y acciones de ISMS Forum Spain y el DPI, puesto que la participación de todos es clave para un resultado mayor y mejor.
Gianluca D'AntonioCarlos Alberto Saiz Peña
(Presidente) (Secretario y Vicepresidente)
A continuación se indican, a modo de resumen, las principales ideas de este Estudio de impacto y comparativa (en adelante GAP) con la normativa española de la propuesta de Reglamento General de Protección de Datos de la Unión Europea (Reglamento UE), que posteriormente se desarrollan en un análisis sistemático de sus artículos:
El proceso legislativo se ha iniciado recientemente y es previsible que este íter llegue hasta 2014.
Una de las principales virtudes de este futuro Reglamento es que tendría una aplicación directa sobre todas las organizaciones europeas que tienen que cumplir con la normativa, logrando una armonización inexistente hoy en día.
Uno de los grandes retos es que tendrá que ser interpretado con la normativa nacional de los Estados miembros, donde se regulen aspectos tangenciales al tratamiento de datos. España es un país donde ya existe una cultura y conocimiento de la protección de datos gracias a las normas publicadas desde el año 1992 (LORTAD, LOPD, RMS Y RLOPD principalmente), pero hay novedades en el borrador de la Propuesta de Reglamento que llevarán bastante trabajo absorber y cambiar en las organizaciones que tratan datos.
Asimismo, hay que prestar especial atención a aspectos novedosos como la incorporación de la figura del Delegado de Protección de Datos; la aparición de mecanismos y procedimientos como las consultas previas, certificaciones orientadas a privacidad y notificación de violaciones de seguridad; el establecimiento de los derechos al olvido y a la portabilidad de datos; y los cambios sustanciales que se producen en el ámbito de aplicación de la norma y los criterios sancionadores.
Desde el Data Privacy Institute (DPI) de ISMS Forum Spain hemos recogido la sensibilidad de muchos de nuestros socios y su interés por profundizar en cómo va a influir en España la futura normativa europea en materia de Protección de Datos, que vendrá a sustituir a la Directiva 95/46/CE.
De esta manera, hemos desarrollado con mucha ilusión un estudio sobre la Propuesta de "Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos)", en su versión publicada en enero de este año.
Sirva ya esta introducción para mostrar el agradecimiento de ISMS Forum Spain y el DPI a los participantes en el Estudio por su enorme interés, por su implicación, por el uso e inversión de tiempo libre que sabemos han realizado, por su disposición permanente, y por el magnífico nivel de los resultados alcanzados.
El Alcance definido para esta iniciativa es únicamente la Propuesta de "Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos" (Reglamento General de Protección de Datos).
En cuanto a los Objetivos de la iniciativa, han sido principalmente:
* Proponer un estudio de la propuesta de nueva regulación, de cara a determinar, entre otros aspectos, qué regula, cómo lo regula, qué supone y cuáles pueden ser las directrices generales para su cumplimiento.
* Evaluar la posición, competencias y funciones de las Autoridades Europeas de Protección de Datos, y en particular de la Agencia Española de Protección de Datos (en adelante AEPD).
* Mostrar no sólo el interés del DPI sobre el proceso de creación normativa, sino su voluntad de crear una opinión propia y experta sobre la evolución de tal proceso y sobre la regulación que se pretenda aprobar.
* Aportar medios y herramientas no sólo a los miembros de ISMS Forum Spain y del DPI, sino a la Sociedad en general, para comprender la nueva regulación, sus conceptos y requisitos, y sobre todo sus consecuencias y el modo de superar las diferencias que marque con el actual marco regulatorio.
Para el desarrollo de un Estudio de esta envergadura, era necesario adoptar una metodología de análisis y presentación de resultados homogénea, clara y práctica. Y ello no sólo por el número de personas que han invertido tiempo y esfuerzo personal en su elaboración, sino también por los destinatarios y lectores del mismo.
En este sentido, todos los implicados en este Estudio hemos buscado desde el primer momento un resultado útil y de fácil uso, que aportara un valor efectivo a los receptores del documento respecto al conocimiento del contenido e impacto del Reglamento UE.
Se debe tener en cuenta que este Estudio no se ha centrado o reducido a aspectos específicos o concretos del Reglamento UE, ni ha querido quedarse únicamente en los aspectos que han causado mayor sorpresa, preocupación, debate, etc. Antes bien, el Estudio se realiza sobre todos y cada uno de los Artículos de la Propuesta publicada en enero de 2012, sin discriminar ni eliminar de su alcance a ninguno de ellos.
Creemos que si realmente queremos tener una aproximación a la regulación en ciernes, tal aproximación debe ser integral, en el sentido de la evaluación, reflexión y opinión sobre cada una de las partes que configuran el todo del Reglamento UE.
Lógicamente, se trataba de una opción ambiciosa que, sin embargo, hemos afrontado con la intención de promover y publicar un Estudio tan integral como relevante.
Para poder manejar la elaboración del documento en unos términos razonables, ordenados y estables, se desarrolló una metodología de trabajo específica, bajo las siguientes pautas:
* Desde la Coordinación de la iniciativa se parametrizaron con el máximo detalle posible las tareas a realizar, procurando comunicar directrices claras y precisas para su elaboración.
* Se diseñaron tareas delimitadas y concretas, que habían de elaborarse tomando en consideración las pautas emitidas desde Coordinación, en las que se fijaba la estructura, extensión y pautas de elaboración de cada aportación individual.
* A tal fin se elaboraron por la Coordinación plantillas y ejemplos, que reflejaban las directrices de desarrollo del documento.
* Se revisaron todas las aportaciones para verificar el mantenimiento de las pautas de homogeneidad, claridad y precisión que debían regir todo el resultado.
* Finalmente, se trasladaron todas las aportaciones individuales a un documento único, que constituye el núcleo central de este Estudio.
A continuación se recoge el estudio individualizado de todos y cada uno de los artículos de la Propuesta, bajo la siguiente estructura en todos los casos:
En este apartado se recoge el artículo a analizar y el título del mismo.
En este apartado se recoge/n el/los artículo/s de la LOPD o el RLOPD que se considera que podrían tener relación, correspondencia o se verían afectados por el artículo correspondiente del Reglamento UE.
En este apartado se expondrá la opinión sobre qué impacto tiene para las entidades privadas y públicas en España la nueva regulación
Puede consultarse el borrador del Reglamento en el enlace que sigue:
Objeto y objetivos. Encargado de tratamiento
Ámbito de aplicación material.
Ámbito de aplicación territorial.
Definiciones.
Principios relativos al tratamiento de datos personales.
Licitud del tratamiento de datos.
Condiciones para el consentimiento.
Tratamiento de los datos personales relativos a los niños.
Tratamiento de categorías especiales de datospersonales.
Artículo 10: Tratamiento que no permite identificación.
Artículo 11: Transparencia de la información y la comunicación.
Artículo 12: Procedimientos y mecanismos para el ejercicio de los derechos de los interesados.
Artículo 13: Derechos en relación con los destinatarios.
Artículo 14: Información al interesado.
Artículo 15: Derecho de acceso del interesado.
Artículo 16: Derecho de rectificación y cancelación.
Artículo 17: Derecho al olvido y a la supresión.
Artículo 18: Derecho a la portabilidad de los datos.
Artículo 19: Derecho de oposición.
Artículo 20: Medidas basadas en la elaboración de perfiles.
Artículo 21: Limitaciones.
Artículo 22: Obligaciones del responsable del tratamiento.
Artículo 23: Protección de datos desde el diseño y por defecto.
Artículo 24: Corresponsables del tratamiento.
Artículo 25: Representantes de los responsables del tratamiento no establecidos en la Unión.
Artículo 26:
Artículo 27: Tratamiento bajo la autoridad del responsable y del encargado del tratamiento.
Artículo 28: Documentación.
Artículo 29: Cooperación con la autoridad de control.
Artículo 30: Seguridad del tratamiento.
Artículo 31: Notificación de una violación de datos personales a la autoridad de control.
Artículo 32: Comunicación de una violación de datos personales al interesado.
Artículo 33: Evaluación del impacto relativa a la protección de datos.
Artículo 34: Autorización y consultas previas..
Artículo 35: Designación del Delegado de Protección de Datos.
Artículo 36: Función de Delegado de Protección de Datos.
Artículo 37: Tareas del Delegado de Protección de Datos.
Artículo 38: Códigos de conducta.
Artículo 39: Certificación.
Artículo 40: Principio general de las transferencias.
Artículo 41: Transferencias con una decisión de adecuación.
Artículo 42: Transferencias mediante garantías apropiadas.
Artículo 43: Transferencias mediante normas corporativas vinculantes.
Artículo 44: Excepciones.
Artículo 45: Cooperación internacional en el ámbito de la protección de datos personales.
Artículo 46: Autoridad de control.
Artículo 47: Independencia.
Artículo 48: Condiciones generales aplicables a los miembros de la autoridad de control.
Artículo 49: Normas relativas al establecimiento de la autoridad de control.
Artículo 50: Secreto profesional.
Artículo 51: Competencia.
Artículo 52: Funciones.
Artículo 53: Poderes.
Artículo 54: Informe de actividad.
Artículo 55: Asistencia mutua.
Artículo 56: Operaciones conjuntas de las autoridades de control.
Artículo 57: Mecanismo de coherencia.
Artículo 58: Dictamen del Consejo Europeo de Protección de Datos.
Artículo 59: Dictamen de la Comisión.
Artículo 60: Suspensión de un proyecto de medida.
Artículo 61: Procedimiento de urgencia.
Artículo 62: Actos de ejecución.
Artículo 63: Ejecución.
Artículo 64: Consejo Europeo de Protección de Datos (CEPD).
Artículo 65: Independencia.
Artículo 66: Tareas del Consejo Europeo de Protección de Datos.
Artículo 67: Informes.
Artículo 68: Procedimiento.
Artículo 69: Presidente.
Artículo 70: Tareas del Presidente.
Artículo 71: Secretaría.
Artículo 72: Confidencialidad.
Artículo 73: Derecho a presentar una reclamación ante una autoridad de control.
Artículo 74: Derecho a un recurso judicial contra una autoridad de control.
Artículo 75: Derecho a un recurso judicial contra un responsable o encargado.
Artículo 76: Normas comunes para los procedimientos judiciales.
Artículo 77: Derecho a indemnización y responsabilidad.
Artículo 78: Sanciones.
Artículo 79: Sanciones administrativas.
Artículo 80: Tratamiento de datos personales y libertad de expresión.
Artículo 81: Tratamiento de datos personales relativos a la salud.
Artículo 82: Tratamiento en el ámbito laboral.
Artículo 83: Tratamiento para fines de investigación histórica, estadística o científica.
Artículo 84: Obligaciones de secreto.
Artículo 85: Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas.
Artículo 86: Ejercicio de la delegación.
Artículo 87: Procedimiento de Comité.
Artículo 88: Derogación de la Directiva 95/46/CE.
Artículo 89: Relación con la Directiva 2002/58/CE y modificación de la misma.
Artículo 90: Evaluación.
RLOPD: Artículo 1. Objeto.
En aplicación de lo dispuesto en el Artículo 1º.2 del RLOPD, tener en cuenta también lo dispuesto en el Capítulo III. Procedimientos Relativos al Ejercicio de la Potestad Sancionadora (Artículos 120 y siguientes RLOPD).
Se debe aprovechar la posible reforma legislativa para introducir y citar de forma explícita el derecho fundamental a la protección de datos personales (como ya hace el Reglamento UE), así como el derecho fundamental a la autodeterminación informativa.
Al respecto, el Reglamento UE habla de la necesidad de que los individuos tomen el "control sobre sus datos" [véase su exposición de motivos y los objetivos estratégicos asociados a la ficha financiera legislativa (punto 1.4.3)].
El Artículo 1º del Reglamento UE no hace más que reforzar la protección de los datos personales de las personas físicas en el ámbito de la UE, bajo una perspectiva más integradora y más coherente motivado, entre otras cuestiones, por lo dispuesto en la propia exposición de motivos del nuevo texto comunitario.
Es importante resaltar que el Reglamento UE también insiste en la consolidación del principio de la libre circulación de los datos personales entre los Estados miembros, evitando que ésta se restrinja o prohíba por motivos relacionados con la protección y el tratamiento de los datos personales. Ambas situaciones, tienen una clara incidencia en las entidades públicas y privadas españolas que deberán garantizar de forma plena ambos principios y normas.
Ámbito de aplicación material.
Inclusión de la expresión "sin interés lucrativo" en la exclusión relativa al tratamiento de datos por personas físicas en ejercicio de actividades personales o domésticas.
Falta de "generalización" de la ley española respecto a la exclusión europea de tratamientos por autoridades con fines de prevención, investigación o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.
Falta de mención específica a la exclusión relativa al tratamiento de datos por parte de instituciones, órganos u organismos de la Unión.
Falta de mención específica de la exclusión de los tratamientos realizados por los Estados miembros cuando llevan a cabo actividades comprendidas en el ámbito del capítulo 2 del Tratado de la Unión Europea.
Una mayor concreción de los supuestos de aplicación y, en su caso, de exclusión a la que apunta el Reglamento UE implica la determinación de un nuevo marco legal de tratamientos de datos personales sujetos o no al ámbito de aplicación del Reglamento UE y, por ende, a la normativa nacional aplicable que corresponda en este ámbito y ello, afecta, y mucho, a todas las entidades o personas, públicas o privadas, que traten o manejen datos personales en ejercicio de sus actividades y competencias específicas.
Ámbito de aplicación territorial.
Mención específica a encargados del tratamiento establecidos en la Unión.
La nueva normativa determina también su aplicabilidad a los responsables de tratamiento no establecidos en la UE bastando, y ésta es la novedad principal, que éstos traten datos personales de interesados residentes en la UE en ejercicio de actividades relacionadas con la oferta de bienes o servicios a tales interesados o el control de su conducta. Se desvincula la aplicación territorial de esta normativa europea, en estos casos, del hecho de que dichos responsables utilicen para tales tratamientos medios que estén situados en la UE (sean o no de tránsito).
La nueva regulación difiere, en parte, de la existente en España derivada de la propia normativa 95/46/CE y, claramente, redunda en favor de la mayor aplicación territorial de la normativa europea de Protección de Datos personales, particular, en el caso de responsables de tratamiento no establecidos en la UE.
Ello se traduce, a la postre, en la potenciación y refuerzo de la protección de los derechos fundamentales de los residentes en la UE en el ámbito de la protección de los datos personales.
Introduce las siguientes definiciones:
Añade el matiz de consentimiento explícito.
Amplía la definición de datos relativos a salud, a la información de asistencia prestada por los servicios de salud.
Diferencia de edad entre un menor, ya que el RLOPD lo fija en 14 años y en Reglamento UE en 13 años.
Respecto a las definiciones sobre datos genéticos, datos biométricos y niños y según el Artículo 33.2.d del Reglamento UE, que exige una evaluación del impacto, implica dotar de mayor protección, por lo que las medidas de seguridad a aplicar podrían variar, lo cual podría afectar a las excepciones del Artículo 81.5.b RLOPD.
Con la ampliación del consentimiento, de definición de datos de salud, además, se deberían revisar todos los ficheros y tratamientos que contengan la nueva definición (ejemplo: número de la Seguridad Social, facturas de especialistas...)
Problema con la edad de menores.
Revisiones de consentimientos recibidos.
Principios relativos al tratamiento de datos personales.
Introduce matices adicionales como:
No especifica la consideración de "exactitud" de los datos según de dónde se recaben los mismos, ni establece nada sobre plazos que el RLOPD especifica en el Artículo 8.5.
El responsable deberá tener mayor documentación que acredite la diligencia en el tratamiento de datos, y el cumplimiento de la normativa aplicable.
Necesidad de implantación de una política robusta de gestión de la información.
Licitud del tratamiento de datos.
La principal diferencia estriba en la inclusión, en la línea de la Directiva, del interés legítimo como supuesto legitimador para el tratamiento de datos, que en la LOPD se acoge con el requisito adicional de que los datos figuren en Fuentes
Accesibles al Público. Pese a la anulación del Artículo 10.2.b del RLOPD, el requisito sigue existiendo en la LOPD, pero habrá de interpretarse conforme a la conocida Sentencia del Tribunal de Justicia de la UE en relación con lo dispuesto en la Directiva. Interesante es que la Comisión podrá adoptar actos delegados para especificar las condiciones de este tratamiento.
Además de la interpretación que vaya haciendo la AEPD sobre el tratamiento basado en la satisfacción del interés legítimo, habrá que estar pendientes de las decisiones de la Comisión a este respecto. Las resoluciones de la AEPD y los actos de la Comisión irán suponiendo novedades a la hora de permitir el tratamiento de datos sin necesidad de consentimiento del afectado, lo cual supone un cambio trascendental en la aplicación práctica de la normativa.
Condiciones para el consentimiento.
Se considera que no es válido el consentimiento para el tratamiento si hay un desequilibrio claro entre la posición del responsable y la del interesado.
La novedad detallada sobre el desequilibrio entre la posición del interesado y el responsable podrá tener trascendencia práctica, aunque se trata de un concepto que deberá ser interpretado. Si se considera que existe este desequilibrio, por ejemplo, en los contratos de adhesión, habrá consecuencias importantes en cuanto a la forma de recabar el consentimiento.
Tratamiento de los datos personales relativos a los niños.
El Reglamento UE se refiere al consentimiento de menores pero sólo en lo relativo a la oferta de servicios de la sociedad de la información, en el RLOPD no se limita a este sector. Además se considera válido el consentimiento del menor a partir de los 13 años, mientras que en el RLOPD es a partir de los 14 años.
Además la Comisión podrá adoptar actos delegados para especificar criterios y condiciones aplicables a los métodos de obtención del consentimiento, y establecer formularios normalizados.
Podrán tratarse datos de menores de edad a partir de los 13 años sin necesidad de consentimiento de sus padres o tutores, en la oferta directa de servicios de la sociedad de la información. Para la obtención del consentimiento verificable, se dispondrá de criterios y condiciones, así como formularios normalizados, que podrá adoptar y establecer la Comisión.
Tratamiento de categorías especiales de datos personales.
Se explicitan los datos genéticos como datos especiales.
No se exige que el consentimiento sea expreso, o expreso y por escrito, para el tratamiento de datos especialmente protegidos.
Se permite el tratamiento de datos especiales cuando el interesado los haya hecho manifiestamente públicos.
Aunque no se exija que el consentimiento sea expreso, o expreso y por escrito, la trascendencia práctica es pequeña, dado que el responsable debe probar en todo caso la existencia del consentimiento.
Será necesario interpretar la autorización que da el Reglamento UE al tratamiento de estos datos cuando se han hecho públicos, puesto que no se entiende esta excepción para este tipo de datos cuando no figura para el tratamiento de datos que no son especiales.
Tratamiento que no permite identificación.
No existe correspondencia.
No cabe análisis diferencial.
La exposición de motivos de la propuesta de Reglamento UE al abordar el Artículo 10, aclara que el responsable del tratamiento no está obligado a obtener información adicional para identificar al interesado con el único fin de cumplir las disposiciones del Reglamento UE.
Transparencia de la información y la comunicación.
No se recoge específicamente en la normativa española.
El Artículo 11 de la Propuesta de Reglamento UE legisla sobre la necesidad que las autoridades de control, legisladores, usuarios, y mercado ya habían detectado y que resultaba necesaria. El motivo es la gran opacidad, exceso de terminología legal, longitud y dificultad de comprensión de la información ofrecida por algunas corporaciones en sus políticas de tratamiento (generalmente en sus páginas web, "parcheando" la política de datos) en los últimos años. El asunto es especialmente grave en la información ofrecida para tratamiento de datos de niños.
Muchas de las grandes empresas ya han avanzado, invirtiendo en la adopción de políticas en tal sentido, aunque deberán revisarlas a la luz de la nueva normativa, a la espera de su valoración por las autoridades de control.
Esta obligación es especialmente importante en todas aquellas organizaciones cuyo objetivo sea el tratamiento de datos de niños.
Por lo expuesto, el coste para la empresa española de esta medida está justificado porque socialmente se demanda esta adaptación y el legislador se ha limitado a adoptarla.
Procedimientos y mecanismos para el ejercicio de los derechos de los interesados.
LOPD: Artículo 5. Derecho de información en la recogida de datos.
La normativa española contiene una regulación exhaustiva sobre la materia.
I) extensión de los mecanismos para ejercer el derecho al olvido y portabilidad;
II) el ejercicio de los derechos ARCO quedaría afectado por:
La unificación del plazo de un mes para los derechos ARCO facilitará la gestión a las organizaciones.
Es bienvenida la vía electrónica y responde a la adaptación a los tiempos.
La denegación motivada de los derechos ARCO, olvido y portabilidad pese a ser una obligación para las empresas es adecuada.
Puede plantear problemas la introducción del concepto de "solicitudes manifiestamente excesivas", respecto al derecho de acceso porque hoy se permite el ejercicio del derecho de acceso sólo a intervalos de doce meses.
La Comisión debe aclarar qué son dichas solicitudes y establecer formularios y procedimientos normalizados.
Derechos en relación con los destinatarios.
La exposición de motivos de la propuesta de Reglamento UE manifiesta que el Artículo 13 establece derechos a favor de los destinatarios, basados en el Artículo 12.c) de la Directiva 95/46/CE y ampliados a "todos" los destinatarios, incluyendo "corresponsables y coencargados".
Introduce la salvedad de que el responsable comunique la rectificación y supresión realizada "salvo que sea imposible o exija un esfuerzo desproporcionado" respecto al Artículo 31.3 del RLOPD, limitando razonablemente la comunicación.
También introduce la necesidad de comunicación respecto del derecho al olvido, con la misma salvedad.
Será bien acogida la salvedad respecto del texto español vigente por lo razonable que resulta, sin embargo la ampliación de los destinatarios de la comunicación a corresponsables y coencargados es problemático por aumentar los destinatarios y, en especial, por tratarse de categorías confusas por su indeterminación. Esto es un problema para la empresa española si quiere aplicar correctamente la norma.
La inclusión de la necesidad de comunicación respecto al derecho al olvido parece coherente en la aplicación del derecho, no obstante crea nuevas obligaciones para las empresas y tendrá costes asociados.
Información al interesado.
El Artículo 14 del Reglamento UE contiene una relación de derechos mínimos que determina la obligación de completar la información al interesado añadiendo a la requerida por el Artículo 5 LOPD, algunos aspectos como el plazo de conservación de los datos, la intención del responsable de efectuar una transferencia internacional, el nivel de protección ofrecido y cualquier otra información necesaria para garantizar un tratamiento de datos leal.
La Comisión está facultada para adoptar actos delegados para especificar criterios aplicables de cumplimiento de los principios y para establecer formularios.
El nuevo Artículo 14 exige este derecho de modo más completo y específico según el tratamiento. Se convierte esta en una obligación más garantista y protectora.
Para las entidades públicas y privadas, implicará un esfuerzo de análisis y síntesis de la información al interesado. Las actuales cláusulas deberán ser revisadas y completadas.
Las microempresas y las pequeñas y medianas empresas deberán atenerse a las medidas que la Comisión adopte a través de actos delegados, por lo que en ningún caso quedarán exentas del cumplimiento de este derecho de información al interesado.
Derecho de acceso del interesado.
La propuesta amplía la condición de "gratuidad" a todos los derechos.
Se incluye la enumeración detallada de toda la información que el responsable del tratamiento está obligado a dar, en el derecho de acceso.
Desaparece la restricción del ejercicio del derecho a plazos no inferiores a doce meses.
No se requiere que se especifique sobre cuáles de los ficheros se quiere ejercitar el derecho de acceso.
Se incluye la posibilidad de utilización de varios canales para hacer la solicitud de ejercicio del derecho, y la obligatoriedad de que el responsable del tratamiento conteste a través del mismo canal por el que se hizo la solicitud si así lo quiere el interesado.
Cambios cuyo impacto no es fácil determinar:
a) Que se comunique cualquier información posible sobre el origen de los datos.
b) Que en principio no se fije un límite o plazo concreto y específico para delimitar el número de veces que se realice la solicitud.
Los responsables de tratamientos deberán cambiar todos los textos informativos, en todos los canales.
La homogeneización o normalización, supondrá la modificación de procesos y aplicaciones diseñados para dar soporte a los derechos ARCO.
La habilitación de diferentes canales para la respuesta a las solicitudes.
Cambios en la política de retención de la información.
Derecho de rectificación y cancelación.
En la propuesta de la UE el derecho a la supresión se regula en el Artículo 16 y se crea un concepto nuevo en el Artículo 17, el derecho al olvido y a la supresión.
En la normativa española, la consecuencia final del derecho de cancelación es la supresión de los datos, si bien antes los datos pueden ser bloqueados.
- Desaparece el plazo de diez días para hacer efectivo el derecho.
- No aparece mención alguna a obligación de conservación.
- La obligación de informar de la rectificación a otros a los que previamente se hubieran comunicado los datos, se pasa a un Artículo específico (Artículo 13).
- Se introduce el concepto de declaración rectificativa adicional.
La supresión del plazo de diez días para que el responsable del tratamiento responda a una solicitud de rectificación. Esto supondrá:
- modificar los procesos de derechos ARCO implantados,
- modificar las aplicaciones o sistemas de información que den soporte automatizado a esos procesos (por ejemplo, las alertas o alarmas que vigilen el cumplimiento de plazos de las solicitudes);
- Modificar los textos informativos en el caso de que recogiesen este plazo.
La desaparición del concepto bloqueo de los datos, tiene más que ver con la supresión que con la rectificación, por lo que se analizará en los comentarios relativos al Artículo 17.
Derecho al olvido y a la supresión.
Se elimina el concepto "bloqueo" aunque sí se mantiene la obligación de conservación de los datos.
Se elimina el plazo de diez días para resolver la solicitud de supresión.
Se incluye un concepto nuevo, el de "limitar el tratamiento" en determinadas circunstancias.
Se amplían y especifican las circunstancias para:
Se incluye la indicación expresa de que el responsable del tratamiento se abstenga de dar difusión a los datos cancelados. Limitación del tratamiento relacionada con el derecho a la portabilidad de los datos (nuevo).
Cobra relevancia la inclusión de los requisitos de cumplimiento, en el Information Lifecycle Management, planteando dónde comienza y acaba el tratamiento.
Aplicación del derecho de supresión.
Aplicación del derecho al olvido.
El mayor impacto podría venir del hecho de que, una vez publicado un dato en Internet, se indexe y aparezca en los buscadores, su presencia se haya extendido, etc. Es necesario reflexionar sobre hasta dónde estaría el límite de la responsabilidad del responsable del tratamiento.
Derecho a la portabilidad de los datos.
No existe correspondencia.
Existe un precedente en el ámbito de las telecomunicaciones. La Ley 32/2003 en su Artículo 38 establece el derecho a la portabilidad, que tras su última reforma se debe hacer efectiva en el plazo de un día laborable.
Se amplían derechos de los interesados, que tendrán mayor control sobre sus datos, mientras que las organizaciones tendrán que implantar medidas técnicas y organizativas que permitan hacer efectivo este derecho por parte de los interesados.
El Reglamento UE conserva el marco general de derechos existente ampliando dos derechos más, el derecho al olvido y el derecho a la portabilidad de datos.
Incorpora la novedad del ejercicio de derechos mediante canales electrónicos, regulado ya en España por medio de la Ley de Impulso de la Sociedad de la Información.
Amplía y generaliza el plazo para contestar a los ciudadanos a treinta días, criterio diferente al actual en España.
No agrega gran novedad para la gestión de derechos en la empresa, sino que recalca la obligatoriedad del derecho, y la gratuidad del procedimiento agrupándolo de forma centralizada y mejorando el actual marco español.
Será un catalizador para extender la gestión de derechos en formato electrónico allá donde no se haya establecido todavía.
La ampliación de los plazos previstos para el ejercicio de derechos beneficia claramente a las empresas.
Medidas basadas en la elaboración de perfiles.
El Artículo 20 de medidas basadas en la elaboración de perfiles refleja de igual forma lo contemplado en el Artículo 13 de la LOPD aunque agregan aclaraciones sobre los supuestos en los que se permiten dichas medidas; Ej: Ejecución de un contrato.
Este Artículo otorga más claridad y garantías a las organizaciones, ya que se detallan las casuísticas exactas que habilitan el tratamiento.
Implicará la realización de una revisión e identificación de los tratamientos existentes.
El Artículo 21 del Reglamento UE, refiere la potestad de limitación del Derecho de la Unión o de un Estado miembro.
En nuestra normativa, tanto el Artículo 2 LOPD como los Artículos 2 y 4 RLOPD, vienen a implementar las limitaciones y exclusiones específicas que el legislador español ha definido en materia de protección de datos.
Esta posibilidad se plantea a través de medidas legislativas, que deberán contener disposiciones específicas relacionadas con distintos aspectos y objetivos.
El Derecho de la Unión o el de un Estado miembro podrá plantear estas limitaciones del Artículo 21, cuando constituyan una "medida necesaria y proporcional en una sociedad democrática".
Esto obliga a una prueba de equilibrio de intereses que podría quebrar el marco de armonización normativo ya que el legislador europeo o español, deberá valorar la conveniencia de aplicar limitaciones frente a las garantías de protección del interesado, con el riesgo añadido de las divergencias en función de la interpretación que haga el poder legislativo de cada Estado miembro.
Obligaciones del responsable del tratamiento.
Se establece al responsable del tratamiento, la obligación de implementar medidas adecuadas que permitan demostrar su cumplimiento. En particular, se establecen medidas dirigidas a acreditar:
- La conservación de la documentación sobre los tratamientos que se realizan;
- La implementación de medidas de seguridad;
- La realización de evaluaciones de impacto en la protección de datos;
- La designación del delegado de protección de datos;
- La realización de auditorías independientes, cuando procedan;
- La tramitación de autorizaciones y consultas previas a la autoridad de control, cuando precedan.
Las entidades deberán, como mínimo:
- Generar toda la documentación sobre los tratamientos que realizan. El contenido de las notificaciones realizadas (Artículo 26 LOPD) podrá servir como punto de partida.
- Realizar un análisis de riesgos de seguridad de la información, que les permita determinar las medias adecuadas para proteger los datos. En su caso, implementarlas y documentarlas.
- Establecer procedimientos y estándares para articular el cumplimiento, por medios que permitan su acreditación posterior, de las distintas obligaciones (evaluaciones de impacto, designación del delegado de protección de datos, auditorías independientes, etc.).
Protección de datos desde el diseño y por defecto.
Se introducen como novedad los conceptos de privacidad desde el diseño y privacidad por defecto, defendidos desde hace varios años por la Doctrina.
Este artículo refuerza el principio de calidad de los datos, establecido en el Artículo 4 LOPD y desarrollado por el Artículo 8 RLOPD, estableciendo al responsable la obligación de garantizar que el tratamiento de datos sea mínimo, tanto por lo que respecta a la cantidad de los datos, como a su conservación.
En virtud de esta disposición, las entidades deberán diseñar e implantar controles que garanticen que la normativa de protección de datos, sea tenida en cuenta, desde el momento en que se decide la puesta en marcha de un tratamiento de datos personales, es decir, desde el inicio de cualquier proyecto, sea cual fuera, que conlleve el tratamiento de datos personales.
Asimismo, por defecto, las entidades responsables del tratamiento, deberán diseñar e implantar controles dirigidos a garantizar que los datos personales no sean accesibles a un número indeterminado de personas.
Corresponsables del tratamiento.
Se introduce una nueva figura de corresponsabilidad del tratamiento, que opera en caso de que exista más de una entidad que pueda decidir sobre la finalidad, contenido y uso del tratamiento.
Las entidades deberán identificar aquellos tratamientos que se enmarcan en este supuesto. En su caso, deberán establecer con el/los corresponsable/s un acuerdo, por escrito, que delimite sus responsabilidades respectivas en el cumplimiento de las obligaciones de protección de datos, en particular, en relación con los procedimientos para el ejercicio de derechos de los interesados.
Representantes de los responsables del tratamiento no establecidos en la Unión.
El Artículo 3 RLOPD no refleja excepciones al cumplimiento de la obligación de designar un representante del responsable del tratamiento en España. Por su parte, los Artículos 2 LOPD y 5 RLOPD no incluyen en sus definiciones la figura de representante, cuestión que sí realiza el Artículo 4.14 del Reglamento UE que sí facilita su definición.
Nuestra actual normativa española es más restrictiva que la posible futura legislación, ya que obliga siempre a tener un representante cuando el responsable de tratamiento no esté establecido en la UE, por lo que al menos las empresas que tengan un nivel de protección adecuado a la UE, aquellas de menos de 250 trabajadores y operen ocasionalmente en España, podrán dejar de tener la figura de representante.
Encargado de tratamiento.
Este Artículo 26 en su apartado 2, prevé la exigencia formal de realización de un contrato o cualquier otro acto jurídico que vincule a ambos, responsable y encargado de tratamiento.
Obliga a las partes a documentar las instrucciones del responsable y las obligaciones del encargado. Además recoge la potestad de la Comisión para adoptar, tanto actos delegados que permitan especificar los criterios y requisitos aplicables a las responsabilidades, funciones y tareas del encargado del tratamiento, como condiciones en un grupo de empresas a efectos de control y presentación de informes.
Esta norma sienta unas bases estrictas en la relación con el encargado del tratamiento. Establece la necesidad de colaboración exigiendo que a través del contrato se regule la conservación de documentación relativa a las operaciones, la cooperación con la autoridad de control, la evaluación de riesgos junto al responsable o la alerta sobre violaciones de datos, entre otras obligaciones.
La Administración deberá adoptar medidas en la contratación pública que implicarán la modificación de los pliegos técnicos y administrativos en función de la complejidad de los servicios contratados.
Tratamiento bajo la autoridad del responsable y del encargado del tratamiento.
El Artículo 12 LOPD ya establece que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento. Asimismo, el Artículo 21.2 b) y c) RLOPD también establecen que cualquier persona que actúe bajo la autoridad del encargado seguirá las instrucciones del responsable de tratamiento. El precepto de la UE establece la excepción de que exista obligación de hacerlo por el Derecho de la UE o del Estado miembro.
Este precepto no tendrá un gran impacto en las entidades españolas, ya que la legislación española establece la obligatoriedad de acatar las instrucciones del responsable, pero nada dice sobre si existe una norma que obliga al tratamiento, cuestión ésta que debería ser matizada en los Artículos de referencia. Es posible que se den algunas confusiones con casos que se han calificado previamente como cesiones, amparándose en una norma legal, y no en el consentimiento.
La legislación española establece que en el documento de seguridad se recogerán las medidas de índole técnica y organizativa conforme a la legislación vigente que deben implantarse de acuerdo a la normativa de seguridad, que contendrá los datos del responsable de seguridad, de los ficheros con su tipo de datos a tratar, de la existencia o no de encargados y los controles periódicos.
Asimismo, es obligatorio guardar registro de accesos de ficheros automatizados y no automatizados, pero no detalla de esta manera las transferencias internacionales o las cesiones de datos.
Este Artículo de la propuesta de Reglamento UE implicará que las entidades privadas y públicas deberán reorganizar la estructura de sus documentos de seguridad, incluyendo cesiones, transferencias internacionales, plazos para la supresión de datos. Este Artículo parece guiar a las organizaciones hacia políticas de seguridad de la información global. Asimismo el apartado 4 del Artículo 28 UE nuevamente establece excepciones para no cumplir con el mencionado Artículo; (i) personas físicas no interés comercial (ii) menos de 250 personas y que traten datos como actividad accesoria. Entonces si se tratan datos de manera accesoria no se tendrá documento de seguridad. Habrá que ver qué es accesorio.
Cooperación con la autoridad de control.
La AEPD tiene reconocida en el Artículo 37 LOPD la capacidad de recabar información, la potestad de inspección del Artículo 40 LOPD y si no se colabora según los Artículos 44 y siguientes de la LOPD las entidades pueden ser sancionadas. Los Artículos del RLOPD permiten iniciar las actuaciones inspectoras, el acceso a los lugares donde se hallen los ficheros, incluso aquellos que sean tratados por un encargado.
Este precepto se encuentra extensamente definido en nuestra legislación, detallándose los procedimientos de actuaciones previas, el procedimiento sancionador.
Seguridad del tratamiento.
Respecto al Artículo 9 de la LOPD las únicas diferencias apreciables se establecen en que las medidas a adoptar enunciadas con carácter genérico en el apartado 1 se establecerán en base a una evaluación de riesgos, y de otra parte introduce un componente difícil de evaluar por su indeterminación como es "habida cuenta ... y de los costes asociados a su implementación."
Respecto al RLOPD implica pasar de implementar medidas concretas en función de la tipología de datos a la necesidad de una evaluación de riesgos para determinar las medidas a adoptar con la variante de la posible excepción, indeterminada, por parte del coste de la implementación de las mencionadas medidas.
El impacto más importante se centra en tener que determinar qué medidas se deben implementar en función de una evaluación de riesgos, lo que implica una gran diferencia, teniendo en cuenta que actualmente de deben implantar medidas concretas, sin más. Por otra parte no se especifica los periodos para realizar la mencionada evaluación y sobre todo el método de realización, por lo que es previsible que se deba recurrir a los estándares y buenas prácticas de la industria.
En segundo lugar introduce otra indeterminación al posibilitar la implementación de las medidas en función de los costes asociados y sin embargo no se especifica ningún ratio que permita determinar cuándo se puede aplicar la excepción y cuando no.
Notificación de una violación de datos personales a la autoridad de control.
No existe ningún Artículo de la LOPD que tenga relación. En cuanto al RLOPD tampoco existe un Artículo de forma similar pero su Artículo 90 "registro de incidencias" está contemplado en parte de este Artículo, concretamente en el apartado 4.
En lo enunciado en el punto anterior el Artículo 31.4 recoge aproximadamente la misma información aunque en este caso se debe añadir el contexto en el que se ha producido la violación de datos personales. Existe un precedente en el ámbito de las telecomunicaciones. En virtud del Artículo 34 de la Ley 32/2003, en caso de violación de los datos personales, el operador de servicios de comunicaciones electrónicas disponibles al público debe notificar sin dilaciones indebidas dicha violación a la Agencia Española de Protección de Datos y, en su caso, al afectado.
El impacto de este Artículo afecta de lleno a la forma de proceder en tanto se trata de una autoinculpación, lo que puede implicar una sanción posterior, por lo que mientras no se regule este aspecto, podría haber cierta reticencia a la hora de hacer notificaciones.
Similar reflexión si se trata del encargado del tratamiento respecto del responsable del tratamiento.
En cuanto a la información a comunicar a la autoridad de control existen puntos que, para su cumplimiento, implicarán medidas accesorias a las actuales para poder disponer de información para que cuando se produzca una pérdida de información se pueda cuantificar esta pérdida.
Comunicación de una violación de datos personales al interesado.
No existe correspondencia.
No cabe análisis diferencial.
El impacto es importante y múltiple:
En primer lugar el cumplimiento de este Artículo implica costes tanto de ejecución como económicos (imaginemos una pérdida de los datos de un millón de clientes).
En segundo lugar implica indeterminaciones como "cuando sea probable" o "afecte negativamente". Además tenemos en el apartado 3 "demuestra a satisfacción de la autoridad de control".
En tercer lugar, si la violación se trata de pérdida de datos, y por lo tanto no se tienen los datos identificativos del afectado, o al menos los de contacto, surge la interrogante, ¿a quién se le notifica?
Evaluación del impacto relativa a la protección de datos.
Disposición adicional Única. Productos de software.
La normativa española reduce el análisis de impacto al análisis del nivel de seguridad necesario, mientras que la Evaluación del Reglamento UE supone una evaluación integral, detallada, acreditable y documentada de todas las operaciones de tratamiento de protección de datos.
Sin embargo, no parece claro por el momento si la evaluación de Productos de software de la LOPD, más allá de su actual su mayor o menor implantación, entraría dentro del Artículo 33.
Conforme al Reglamento UE, cualquier tratamiento de datos personales debe ser sometido a un Privacy Impact Assessment.
El propio Artículo 33 establece las pautas de mínimos que debe reunir la evaluación, que en todo caso deberá estar documentada. Queda por ver si es posible adoptar o desarrollar estándares que permitan, entre otras cosas, comparar resultados con supuestos similares de la misma u otras entidades.
Ya existen metodologías de trabajo en otros ámbitos relacionados, como la seguridad de la información, donde es habitual realizar BIA´s, los cuales tienen una madurez de la que quizá se pueda aplicar algunos aspectos a los PIA´s.
Una obligación que genera muchas dudas es la de recabar la opinión de los interesados sobre el tratamiento, entre otras cosas por la dificultad o imposibilidad de esta acción en ciertos casos.
Autorización y consultas previas.
Los datos coinciden con los especialmente protegidos.
El informe de evaluación del impacto puede subsumirse en el Artículo 9.1.
La Sección 2ª no contempla este informe previo de evaluación del impacto.
El Artículo 36 no contempla la elaboración del informe de evaluación del impacto.
Confeccionar un informe que refleje el impacto del tratamiento en los derechos y libertades.
Consultar previamente la lista de operaciones de tratamiento que entrañen riesgos específicos para los interesados.
Prohibición del tratamiento cuando los riesgos no estén suficientemente identificados o atenuados.
El responsable o el encargado del tratamiento asumirá las propuestas de la autoridad de control.
Designación del Delegado de Protección de Datos.
Figura de nueva creación que no existe en marco actual.
La normativa actual establece obligación de nombrar responsable de seguridad en base a categorías de datos tratados. El borrador, en tres supuestos. Los dos primeros no ofrecen dificultad. El último es, por el momento, una incógnita.
Se dan facilidades para compartir la figura entre varios responsables.
No se determinan las competencias que debe reunir la figura.
Se dota a la figura de independencia y seguridad necesarias para la función.
Posibilidad de externalización de la figura.
Grandes empresas ya contarán con figuras similares.
Indeterminación en la regulación que refiere a futuros actos delegados o desarrollos legislativos.
Según se define, parece una figura muy ligada a las tareas operativas y de implantación, pero no tanto a la estrategia y la comunicación.
Si no se matiza la obligación en función de categorías de tratamientos, es posible que suponga un riesgo para la protección de datos.
Suavizan impacto económico y se favorecen aspectos como la armonización de políticas fijadas a nivel de grupo.
¿Cómo se compatibilizará esto con la regulación laboral?
En el caso de PYMES que subcontraten, ¿será posible esta independencia y estas garantías?
Rediseño de muchos procesos en funcionamiento.
Función de Delegado de Protección de Datos.
La propuesta de nueva normativa va, como ya se ha dicho, más allá que la vigente:
en la actual la figura del responsable de seguridad es un mero "delegado" del responsable del fichero o del tratamiento; en la nueva propuesta, asume además una función de responsable en cierto sentido. Es por ello por lo que se dota a esta figura de independencia y se le hace reportar directamente a la dirección del responsable y se respalda su actuación de forma plena por el mismo.
Ver lo referido sobre Artículo 35 de la propuesta.
Necesidad de contar profesionales suficientemente cualificados y cuya definición de puesto y posición en el organigrama deberá gozar de independencia y competencias suficientes.
Seguramente adquieran más importancia las certificaciones profesionales de privacidad para fomentar profesionales especialmente cualificados en la materia.
Tareas del Delegado de Protección de Datos.
Actualmente se permite delegar la coordinación y supervisión de determinadas tareas relacionadas con medidas de seguridad de obligada asunción para el responsable de fichero o tratamiento; en el nuevo marco, las tareas se incrementan y absorben muchas de las que antes asumía el propio responsable del tratamiento.
Es un auténtico representante del responsable del tratamiento ante la(s) autoridad(es) de control.
Serán necesarios profesionales diligentes y bien formados para ocupar esta posición, y más con la introducción de la Accountability en nuestro ordenamiento.
Posibles disciplinas a dominar por los mismos serán sin duda la normativa, los estándares de seguridad de la información, y por supuesto, las propias organizaciones en las que desarrollen sus funciones.
Como en todo el borrador, existe necesidad de puntualizar y matizar con adopción de actos delegados o futuros desarrollos normativos.
La Comisión y las autoridades de control promueven códigos de conducta, lo que difiere del Artículo 32.
La formulación de códigos tipo mediante decisiones de empresa, contemplada en el Artículo 32.1., no figura explícitamente.
El Artículo 71 contempla el desarrollo de códigos tipo para adecuar lo que establece la LOPD.
Aprobación por la Comisión de proyectos de códigos de conducta, aplicables en territorio UE.
Códigos de conducta con validez general en la UE.
No existe correspondencia.
No mencionados en LOPD ni RLOPD.
Habría que contemplarlo desde otras iniciativas tanto europeas (EuroPrise, informes GT29 (com/2010/609)) o recomendaciones como la del EDPS ("Hacia una mayor eficacia de la protección de datos en la Sociedad de la Información") o paralelas (2012/148/UE, pto. 15) como nacionales (de manera sugerida en la Resolución de Madrid), o en actuaciones de autorregulación con cierta similitud [Confianza online, marca AENOR, distintivo público de confianza (RD 1163/2005), AGACE, EWEB...], aunque estos últimos sean más bien códigos deontológicos de confianza o transparencia. En concreto, en temas de privacidad, en España se ha trabajado en la certificación de profesionales desde las Asociaciones ISMS Forum Spain, DPI y APEP.
Importante mejora en la percepción del titular en la observancia de las normas en el tratamiento de sus datos.
Suficientemente atractivas y alcanzables para ser adoptadas por parte de las Grandes empresas y las PYMES.
Se deberá tener en cuenta frente a iniciativas existentes citadas que se trata de certificar procesos más que productos y servicios con la dificultad inherente.
Se debería evitar caer en el error de convertir en más importante la tenencia de la certificación que la auténtica implantación de la cultura, los procesos y los procedimientos, como ha ocurrido en cierto modo con algunas certificaciones tipo 9001.
Principio general de las transferencias.
El proyecto especifica la opción de transferencias a una organización internacional. Lo que difiere del Artículo 33.1. Se observará la futura disposición elaborando "normas corporativas vinculantes" que forman parte del nivel de protección adecuado.
Elaboración de normas corporativas vinculantes y clausulas contractuales.
Aprobación por la autoridad de control.
Transferencias con una decisión de adecuación.
Ámbito subjetivo de la decisión de adecuación:
Ampliación no solo a terceros países en general, sino también a territorios, sectores de tratamiento del tercer país o a una organización empresarial.
Se amplían y/o concretan los elementos a valorar para la adopción de la decisión de adecuación, tales como normas de derecho penal, normas sectoriales y profesionales que afecten a sectores de actividad, derecho de recurso administrativo y judicial efectivo, existencia de autoridades de control y funcionamiento, entre otras.
Supone una extensión del ámbito competencial y capacidades de decisión para la autorización de transferencias internacionales de las autoridades de control
sobre todo ante la adecuación de un sector de actividad, actuación que se asimila a la aprobación de códigos tipo.
Las organizaciones y sectores de actividad que garanticen niveles de protección adecuados podrán acogerse directamente a la decisión de adecuación de la Comisión. Esto requeriría un control por parte de las autoridades de control.
Transferencias mediante garantías apropiadas.
Se añaden supuestos en los que no es necesaria la previa autorización de la/s autoridad/es de control del Estado miembro.
Relevancia de los instrumentos jurídicamente vinculantes para los exportadores e importadores de datos a/de terceros países.
Las autoridades de control podrán elaborar cláusulas tipo que permitan realizar transferencias sin previa autorización.
No solo el exportador debe solicitar la autorización de la autoridad de control, sino también el importador al amparo del Artículo 57 (mecanismo de coherencia).
Autoridades de control deberán determinar mecanismos de revisión de cumplimiento de clausulas tipo y no limitar la autorización a supuestos de falta de instrumentos jurídicamente vinculantes.
Mayor control por autoridades de control de los mecanismos y procedimientos internos de las entidades y/o sectores.
Las normas corporativas vinculantes se dotan de un contenido similar al documento de seguridad, validado por la autoridad de control y con efectos, no solo internos sino también frente a terceros, que deberán conocer de su existencia y contenido.
Transferencias mediante normas corporativas vinculantes.
El Artículo 43 detalla y especifica el contenido necesario en BCR`s para su autorización.
No mencionadas en LOPD y de manera sucinta en RLOPD en cuanto dichas normas hagan constancia a la protección de la intimidad, derechos fundamentales, protección de datos, las necesarias garantías, que sean vinculantes y la exigibilidad (responsabilidad) de dichas normas por la AEPD y por los afectados.
Artículo 43 establece mayores requisitos: vinculantes (nivel interno y externo), derechos exigibles, estructura empresas, DPO, derecho a reparación y posible indemnización, mecanismos cooperación/control con autoridades de control...
Significarán una simplificación y racionalización en las transferencias internacionales de datos, especialmente frente al Cloud Computing.
Al publicar su vinculación a las mismas y la estructura empresarial facilitarán una mayor confianza de los titulares de los datos.
Implicarán, ante la posibilidad de reparación o indemnización, una mayor implicación en el obligado cumplimiento.
Deberían implantarse no solo como cumplimiento normativo, sino además como ventaja competitiva ante el mejor conocimiento y estructuración del flujo interno y externo de la información y los procesos inherentes.
Se incluye el concepto "motivos importantes de interés público".
Se excluyen las transferencias "Cuando se refiera a transferencias dinerarias conforme a su legislación específica."
Se amplía la transferencia de datos de acceso público procedentes de registros.
Se incorpora como novedad en el Reglamento UE la transferencia necesaria por intereses legítimos de responsable o encargado del tratamiento.
Se concreta el Artículo 34.c) en cuanto a la transferencia de datos de salud por razón de intereses vitales, solo en caso de no tener capacidad de consentir.
Mayor control de las transferencias entre administraciones públicas, aunque el concepto "motivos importantes de interés público" resulta ambiguo, y puede dar pie a conflictos de intereses entre administraciones. Gana protagonismo el principio de calidad de los datos tratados.
Necesidad de que los agentes privados justifiquen transferencias por razón de urgencia y/o intereses legítimos debiendo garantizar los derechos de los afectados, bajo la supervisión de las autoridades de control.
Cooperación internacional en el ámbito de la protección de datos personales.
La diferencia es importante respecto a la LOPD, ya que ésta sólo recoge la cooperación internacional pero sin especificar su finalidad.
Del texto del Reglamento UE se desprende que lo que se busca a través de la cooperación internacional es solucionar posibles problemas motivados de la globalización, y sobre todo del tratamiento de datos mediante Internet.
Al igual que ocurre en varios de los Artículos del Reglamento UE se están cediendo competencias que anteriormente tenían los Estados miembros y que desarrollaban, en algunos supuestos a través de sus respectivas autoridades de control, a la Comisión Europea.
La LOPD atribuye las funciones de cooperación internacional a la AEPD. No obstante, el texto del Reglamento UE habla de autoridades de control en plural,
de manera que podría entenderse una posible participación de las agencias autonómicas en materia de cooperación internacional.
Sin embargo, la AEPD sería la única con competencia para obligarse (por ejemplo, mediante un tratado), sin perjuicio de que existiese cierta cooperación/ colaboración con las agencias autonómicas.
a LOPD: Artículo 35 40 y 42. Régimen jurídico y funciones de la AEPD.
La LOPD ya contempla la posibilidad de existencia de varias autoridades de control.
La única novedad entre la LOPD y el Reglamento UE es la mención al Consejo Europeo de Protección de Datos, lo que se conoce actualmente como Grupo del Artículo 29.
En este sentido, la LOPD no recoge ninguna mención al citado grupo.
Del texto parece desprenderse que tendrá que ser la AEPD la que ostente la representación en el Consejo Europeo de Protección de Datos.
No obstante, entre la AEPD y las agencias autonómicas se deberán establecer mecanismos de cooperación para que éstas, aunque no tengan una participación evaluación en el citado Consejo, conozcan los temas que se traten, decisiones adoptadas, etc.
La diferencia más notable es que especifica que el control financiero no supone un control de la actuación de la autoridad de control, es decir, que no puede afectar en su independencia.
En cuanto a la independencia del Director, el Reglamento UE ahonda en el sistema de incompatibilidades, si bien esta cuestión está regulada en nuestro ordenamiento jurídico por la Ley de Incompatibilidades de Altos Cargos.
Por último, introduce un mandato a los Estados miembros para que provean de medios personales, materiales y económicos a las autoridades de control.
El mayor impacto recae sobre el mandato a los Estados miembros para que provean de medios personales, materiales y económicos a las autoridades de control, ya que la implementación del Reglamento UE debería suponer que a las autoridades de control se las dote de un mayor presupuesto así como un incremento de sus recursos humanos.
Condiciones generales aplicables a los miembros de la autoridad de control.
El Artículo 48 detalla el nombramiento y cese de los miembros de la autoridad de control.
El nombramiento deberá ser realizado por el Parlamento o el Gobierno. Sus miembros serán independientes y con aptitudes en el ámbito de protección de datos. El cese se producirá cuando expire el mandato, por dimisión (en estos
casos ejercerá sus funciones hasta que se nombre nuevo miembro), si incurre en falta grave o si deja de reunir las condiciones (en los dos últimos casos pierde los privilegios).
La LOPD sólo hace referencia al nombramiento y cese del Director de la AEPD, no del resto de sus miembros.
Este Artículo no afecta a las entidades privadas ni a las públicas, sólo a los miembros de la autoridad de control.
Normas relativas al establecimiento de la autoridad de control.
El Artículo 35.3 LOPD indica que el personal de la AEPD serán funcionarios públicos o personal contratado al efecto, el Reglamento UE obligará a regular por ley el procedimiento de nombramiento, aptitudes requeridas, duración del mandato, renovable o no, y procedimientos de cese.
El Artículo 36.3 LOPD hace referencia al cese del Director de la AEPD pero no del resto de sus miembros.
El Reglamento UE establece que el mandato de los miembros no será inferior a cuatro años (salvo los primeros nombramientos), mientras que la LOPD sólo establece un plazo de similar para el Director de la AEPD (Artículo 36.1 LOPD).
Este Artículo no afecta a las entidades privadas ni a las públicas, sólo a los miembros de la autoridad de control.
El Artículo 35.3 LOPD indica que el personal de la AEPD deberá guardar secreto de los datos que conozca en su función.
El Artículo 40.2 LOPD hace referencia también al secreto profesional al referirse a la potestad de inspección de los funcionarios de la AEPD.
El Reglamento UE exige este secreto profesional incluso después del mandato con relación a las informaciones confidenciales que conozcan durante sus funciones.
El Artículo 123.3 RLOPD al referirse a las actuaciones previas del procedimiento sancionador, hace referencia a la exigencia de secreto durante y después de sus actuaciones.
Este Artículo no afecta a las entidades privadas ni a las públicas, sólo a los miembros de la autoridad de control.
La normativa española define la competencia de la AEPD dotándola de los poderes propios de un ente de derecho público español, según lo establecido en la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas. El Reglamento UE, dota a las autoridades de control de potestad para controlar las actividades de tratamiento en todos los Estados miembros de la Unión, siempre que el establecimiento principal del responsable o encargado del tratamiento esté situado en su país. Se hace la salvedad en el caso de órganos jurisdiccionales en ejercicio de esta función.
Esta disposición amplía la competencia geográfica de las autoridades de control dotándolas de un poder mayor, y contribuyendo a la integración de la protección de datos a nivel comunitario. Impulsará el intercambio de información entre autoridades de control nacionales, generando un sistema de doble control, y la visión global en cuanto al tratamiento de datos, lo que facilitará la coherencia ya no solo normativa, sino también sancionadora y de vigilancia, de cara a las multinacionales con sede u operación en la UE.
Las funciones definidas en la legislación española para la AEPD y las definidas en el Reglamento UE para las autoridades de control independientes, son muy similares: conocer, investigar y resolver las reclamaciones gratuitamente; investigar de oficio; asesorar a los interesados, resolver consultas de otros entes públicos, hacer seguimiento de las novedades del sector, y promover la sensibilización pública; aprobación de normas corporativas vinculantes (códigos tipo), así como alguna más relacionada con las modificaciones operativas: autorización de operaciones de tratamiento.
La principal novedad, y que afectará tanto a la operativa, como a la proyección de la AEPD, en su condición de Autoridad de Control independiente, es aquella que dispone la necesidad de compartir información con otras autoridades de control, prestarles asistencia mutua y velar por la coherencia en la aplicación del Reglamento UE para garantizar su cumplimiento. Esto persigue ajustar al máximo las subjetividades, y obligará a las distintas autoridades de control a un flujo de información constante y consistente, que dado el caso generaría un sistema integrado, sólido y legitimado.
Los poderes establecidos para las autoridades de control independientes son, en su esencia, los mismos que la legislación española establece. La diferencia principal estriba en los supuestos que la LOPD/RLOPD exige para ejercerlos, delimitando el ejercicio de los mismos. En contraposición, el Artículo analizado enumera los poderes, sin establecer supuestos o condiciones para su aplicación, dando por tanto un poder más extenso y discrecional.
El impacto de esta modificación, reside en la mayor discrecionalidad y en el hecho de que no se limite la capacidad de acción, limitando ciertas facultades a supuestos concretos (ej. Inmovilización de ficheros), por lo que el poder de este organismo será mucho mayor, aumentando también la responsabilidad frente a sus acciones, y la necesidad de coherencia, así como su capacidad de actuación frente a hechos aun no probados.
En el Reglamento UE cada autoridad de control deberá elaborar informes anuales de actividad, que serán presentados ante el parlamento nacional y puestos a disposición del público, de la Comisión y del Consejo Europeo de Protección de Datos.
En la normativa LOPD, en su transposición se establecía que la realización de la memoria anual es función exclusiva de la AEPD (en el Artículo 41.1 se exime al resto de autoridades de control de las Comunidades Autónomas). Esta memoria tan sólo debe ser remitida al Ministerio de Justicia (aunque en la actualidad es publicada en su página web).
A priori podría deducirse que existirá una mayor difusión de las actividades de las autoridades de control, no obstante en la actualidad todas las mencionadas autoridades de control ya están elaborando sus memorias conforme se establece en sus normativas reguladoras por lo que no se aprecia gran impacto en este Artículo.
Se amplía el ámbito de difusión ya que las memorias se pondrán en conocimiento del parlamento, el público en general, la Comisión y el Consejo Europeo.
En el Reglamento UE la Comisión establecerá los formatos y los procedimientos de asistencia mutua entre autoridades de control para garantizar su cooperación efectiva (ámbito de actuación de la asistencia mutua, plazos de respuesta de cooperación, condiciones y medios de la solicitud, gratuidad de las acciones derivadas, así como las consecuencias derivadas de la no atención de las mismas).
En la normativa LOPD se establece a la AEPD como única entidad que desempeña las funciones de cooperación a nivel internacional, sin establecer ningún detalle sobre las directrices de cooperación.
El establecimiento de los mecanismos de colaboración a nivel internacional se alinea perfectamente con las necesidades que plantea la utilización de nuevos paradigmas como el Cloud Computing. Todo ello ayudará a garantizar la protección de la privacidad en un mundo interconectado.
Operaciones conjuntas de las autoridades de control.
El Reglamento UE establece normas para las operaciones que se realicen de manera conjunta entre las autoridades de control.
En la normativa LOPD simplemente se recoge la posibilidad de desempeñar funciones de cooperación internacional en materia de protección de datos personales.
Aquellas empresas que realicen tratamientos sobre interesados que pertenezcan a diferentes Estados miembros podrán ser objeto de investigación por las diferentes autoridades de control de cada uno de los Estados miembros que representan a los datos de los afectados.
Este Artículo es meramente introductorio del denominado mecanismo de coherencia, y sólo establece un deber de colaboración que, como una autoridad más, afectará a la AEPD.
No tiene impacto sobre las entidades públicas o privadas, sino sobre la AEPD.
Dictamen del Consejo Europeo de Protección de Datos.
En la normativa española no hay una regulación que pueda compararse, por lo que supone una novedad con relación a nuestro marco regulatorio.
Aunque no tiene impacto sobre las entidades públicas o privadas, sí que supone una novedad en el modo de funcionamiento de la AEPD.
Y ello por cuanto va a tener que comunicar al Consejo Europeo de Protección de Datos y la Comisión las medidas con efectos jurídicos sobre ciertas materias que se detallan en el Artículo.
Sin embargo, el Artículo no es suficientemente claro de lo que se entiende por "medidas", ya que, por ejemplo, no es posible discernir a priori si los actos no vinculantes de la AEPD puedan incluirse en tal concepto.
Dictamen de la Comisión.
No existe correspondencia.
No cabe análisis diferencial.
Se trata de un Artículo meramente técnico sobre el procedimiento de emisión del Dictamen.
Suspensión de un proyecto de medida.
En la normativa española no hay una regulación que pueda compararse, por lo que supone una novedad con relación a nuestro marco regulatorio.
Aunque no tiene impacto sobre las entidades públicas o privadas, sí que supone una novedad en el modo de funcionamiento de la AEPD.
La capacidad de la Comisión de suspender el proyecto de medida, sea lo que sea lo que se llegue a entender como tal, supone una clara limitación para las autoridades de control locales. No obstante, puede ser una regulación lógica y coherente con el objetivo de que el Reglamento UE sea ciertamente un marco común o único para toda la Unión.
Procedimiento de urgencia.
En la normativa española no hay una regulación que pueda compararse, por lo que supone una novedad con relación a nuestro marco regulatorio.
Aunque no tiene impacto sobre las entidades públicas o privadas, sí que supone una novedad en el modo de funcionamiento de la AEPD.
Además, depende de cómo se utilice puede ser una "vía de escape", en caso de necesidad, para las autoridades de control locales frente a los rigurosos controles previos del Consejo Europeo de Protección de Datos y la Comisión.
Aunque es de esperar que este mecanismo se utilice excepcionalmente y no perjudique la aplicación de los debidos controles de tales organismos cuando no haya justificación para ello.
Ni la LOPD ni el RLOPD prevén expresamente el cumplimiento de actos de ejecución provenientes de la Comisión, aunque los Artículos identificados podrían asumir la recepción y el cumplimiento de tales actos, bajo una interpretación abierta y de finalidades.
Las diversas materias sobre las cuales la Comisión podría adoptar actos de ejecución ponen de manifiesto el profundo cambio que significará la entrada en vigor del Reglamento UE, con los principios de cooperación y de coherencia como ejes de actuación de las autoridades de control de los Estados miembros, incluyendo obviamente a la AEPD.
El mecanismo de coherencia que deberá servir como medio para alcanzar una uniformidad en la protección de datos personales en la UE tendrá un impacto directo, en primer lugar, para las autoridades de control.
Los resultados que se obtengan a partir de la cooperación y de las disposiciones que se adopten en el marco de dicho mecanismo serán las que realmente incidan en las actividades de las entidades públicas y privadas en España y el resto de países de la UE, que incluirán la aprobación de cláusulas tipo, normas corporativas vinculantes o listas de las operaciones de tratamiento.
La intención de conseguir una aplicación coherente del Reglamento UE en toda la Unión (Artículo 46.1) explica el contenido y alcance del Artículo 63.
Las disposiciones vigentes sobre cooperación internacional de la legislación española podrían dar cabida a la adopción y ejecución de estas medidas ejecutorias, aunque una regulación ad hoc sería deseable.
La necesidad de acudir al mecanismo de coherencia para dotar de validez jurídica y ejecutoriedad al acto, revela la necesidad que podría presentarse para adecuar la normativa española al nuevo escenario de ejecución comunitaria.
En la práctica, la obligada ejecución de medidas ejecutorias adoptadas por autoridades de control del resto de países de la UE, puede tener un impacto significativo en las actividades de entidades españolas, particularmente las privadas.
Este Artículo abre la posibilidad a que una medida adoptada, por ejemplo, en Holanda contra una matriz constituida en ese país, deba ejecutarse en España contra empresas filiales de la primera.
La aplicación coherente y uniforme del Reglamento UE así lo exigiría, y demandará que en el futuro no pueda pasarse por alto lo que sucede en los demás Estados miembros.
Consejo Europeo de Protección de Datos (CEPD).
La creación del CEPD (en sustitución del anterior WP ARTICLE 29) no representa por sí misma un cambio frente al actual sistema de cooperación internacional previsto por la LOPD, el RLOPD o el Estatuto de la AEPD. En este sentido, la creación del CEPD debe conllevar una continuación de los trabajos interpretativos del WP ARTICLE 29, donde parece que el Director de la AEPD seguirá representado a España (Artículo 64.2 y 64.3).
En todo caso, la participación de la Comisión constituye el cambio más significativo a partir de la entrada en vigor del Reglamento UE, pues anteriormente dicho órgano no interactuaba con el WP ARTICLE 29 (Artículo 64.4).
A partir de las funciones que han sido redefinidas para el CEPD (ver comentarios al Artículo 66), podemos considerar que la creación de dicho Consejo no tendrá un impacto directo para las entidades en España.
Se prevé la generación de dictámenes con un enfoque comunitario, dado que ahora deberá interpretarse un reglamento de aplicación directa, en oposición a una directiva.
Finalmente, debemos tomar en cuenta que el CEPD podrá emitir directrices, recomendaciones y mejores prácticas dirigidas a las autoridades de control, a fin de promover la aplicación coherente del Reglamento UE.
No existe correspondencia.
No cabe análisis diferencial.
Este Artículo simplemente fija la total independencia frente a cualquier tercero del Consejo Europeo de Protección de Datos.
Tareas del Consejo Europeo de Protección de Datos.
No existe correspondencia.
No cabe análisis diferencial.
Este Artículo simplemente fija las tareas del Consejo, a ejecutar por iniciativa propia o a instancia de parte, dentro de su labor como órgano encargado de velar por la aplicación del Reglamento UE.
No existe correspondencia.
No cabe análisis diferencial.
Este Artículo simplemente fija la obligación del Consejo de emitir informes para la Comisión, bajo determinadas pautas.
Los informes se harán públicos y se transmitirán al Parlamento Europeo, al Consejo y a la Comisión.
No existe correspondencia.
No cabe análisis diferencial.
El Artículo regula las directrices para la toma de decisión y el funcionamiento interno del Consejo Europeo de Protección de Datos, que habrá de adoptar un reglamento interno.
La imagen de presidencia en España recae sobre el Director de la AEPD.
No tiene impacto sobre las entidades públicas o privadas, sino sobre la AEPD.
El Director de la AEPD es el último estamento con capacidad de autorización de tratamiento o movimientos de datos personales con determinadas características, en cambio la imagen del Presidente del Consejo es una imagen más de coordinación.
No tiene impacto sobre las entidades públicas o privadas, sino sobre la AEPD.
No existe correspondencia.
No existe imagen de equivalencia dentro de la estructura de la AEPD.
No cabe análisis diferencial.
La confidencialidad, tratada como deber de secreto dentro de la LOPD se rige por el Artículo 10 de la misma.
No aplica, al ser la naturaleza de las acciones tratadas en distintos niveles.
Derecho a presentar una reclamación ante una autoridad de control.
La diferencia más significativa reside en la posibilidad de presentar las reclamaciones en las autoridades de control de cualquier Estado miembro.
Actualmente las reclamaciones se han de presentar ante la AEPD.
Se ha de conocer cómo se regulará la presentación de reclamaciones a las autoridades de control. Actualmente estos procedimientos se rigen por lo dispuesto en la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
Derecho a un recurso judicial contra una autoridad de control.
Las diferencias más significativas son las siguientes:
Se ha de conocer cómo se regulará la presentación de estos recursos judiciales a los órganos jurisdiccionales de los Estados miembros.
Derecho a un recurso judicial contra un responsable o encargado.
La diferencia más significativa reside en la posibilidad de ejercitar las acciones contra un responsable o encargado ante los órganos jurisdiccionales del Estado miembro en el que el responsable o encargado tenga un establecimiento y
también podrán ejercitarse ante los órganos jurisdiccionales del Estado miembro en que el interesado tenga su residencia habitual, a menos que el responsable sea una autoridad pública que actúa en ejercicio del poder público.
Se ha de conocer cómo se regulará el ejercicio de estas acciones ante los órganos jurisdiccionales de los Estados miembros.
Normas comunes para los procedimientos judiciales.
No existe correspondencia.
No cabe análisis diferencial.
Este precepto regula la capacidad de las autoridades nacionales, de los organismos, organizaciones y asociaciones que indica el Reglamento UE de actuar en sede judicial con el fin de garantizar la aplicación del Reglamento UE.
Asimismo, regula las pautas de actuación en caso de que se hayan formulado reclamaciones paralelas en dos o más países miembros.
Derecho a indemnización y responsabilidad.
Frente a la regulación española, se establece la responsabilidad solidaria, como regla general, entre responsable y encargado, por el total de los daños, salvo que uno y/u otro demuestren que no se le pueden imputar los hechos que causan el daño.
Presumiblemente, la mayor claridad y precisión, e incluso contundencia del Reglamento UE, hará crecer el número de reclamaciones de indemnización.
Por lo tanto, esta posibilidad debe de tenerse en cuenta, con mayor detalle, en las evaluaciones de riesgo en materia de protección de datos de las entidades públicas o privadas.
Se modifica, junto principalmente al Artículo 79 del Reglamento UE, de modo sustancial y con gran impacto el régimen sancionador en materia de protección de datos.
En este precepto, se deja cierto margen a los Estados para establecer un régimen sancionar particularizado.
Aunque habrá que ver qué margen deja la Comisión a los Estados, lo cierto es que el conjunto del régimen sancionador del Reglamento UE supone o conlleva la necesidad de reconfigurar los sistemas y la lógica de cálculo de riesgo en materia de protección de datos de las entidades públicas y privadas.
Sanciones administrativas.
La LOPD ya establece una serie de infracciones (de distinta gravedad) y las correspondientes sanciones. No obstante, el régimen sancionador que se propone resulta ser más exhaustivo y contundente. El ejemplo más representativo es el apartado 6 (equivalente a las sanciones muy graves de la LOPD). En él se establecen unos importes bastante elevados (hasta 1.000.000 € o 2% del volumen de negocio mundial). Del mismo modo, este apartado es el que contempla más supuestos constitutivos de infracción (hasta quince frente a cuatro en el caso de las sanciones muy graves de la LOPD).
La cuantía económica en caso de vulneración de la norma tendrá, en todos los supuestos, un impacto realmente elevado. Si además nos focalizamos en que el grado o nivel sancionador más elevado deriva del mayor número de hechos o situaciones que suponen una infracción, estamos ante un endurecimiento general de la normativa en materia de protección de datos.
Tratamiento de datos personales y libertad de expresión.
No existe correspondencia.
Tanto en la LOPD como en el RLOPD no hay ninguna consideración concreta y específica al tratamiento de datos "exclusivamente con fines periodísticos o de expresión literaria o artística".
Este Artículo afecta a aquellos tratamientos cuya finalidad, independientemente de la tipología de la entidad, esté referida a las indicadas (a priori medios de comunicación, editoriales...). La posibilidad de establecer excepciones relativas al tratamiento de datos de carácter personal en virtud de las finalidades descritas en el Artículo propuesto podría legitimar, o bien restringir, la publicación de datos de carácter personal, por ejemplo, en los medios de comunicación. Estas excepciones, a voluntad del legislador, deben conciliar el derecho a la privacidad con la libertad de expresión.
Tratamiento de datos personales relativos a la salud.
Este aspecto se encuentra regulado, de forma específica, tanto en la LOPD como en el RLOPD. Aunque nuestro ordenamiento sólo abarca los datos de salud del paciente y no los de gestión de los servicios.
Se amplían, también, las exigencias para el tratamiento de los datos con fines sanitarios, por razones de interés público, en estos supuestos: garantizar altos niveles de calidad y seguridad de los medicamentos o del material sanitario, y garantizar la calidad y rentabilidad de los procedimientos de resolución de reclamaciones y prestaciones de servicios en el régimen del seguro de enfermedad.
Nuestra legislación ya impone a las entidades, públicas y privadas, del ámbito sanitario, el mayor nivel de protección, a nivel técnico y organizativo, para el tratamiento de los datos personales de los pacientes. No así con los datos puros de gestión administrativa.
Lo que no se había planteado hasta ahora, desde la LOPD/RLOPD, para las entidades públicas, es la necesidad de gestionar de forma controlada aspectos de calidad y seguridad en medicamentos y material sanitario.
Y para todas las entidades, en general, se impondrá buscar la calidad y rentabilidad en lo relacionado con la resolución de reclamaciones.
Tratamiento en el ámbito laboral.
La LOPD y el RLOPD hacen referencia, brevemente, a la legalidad del tratamiento/ cesión en el marco de una relación laboral.
Por otro lado, el RLOPD excluye del ámbito de aplicación los datos de contacto de los trabajadores, y especifica el derecho de oposición a que se evalúe el rendimiento laboral en base a decisiones obtenidas de un tratamiento automatizado de datos.
No se cubren todos los aspectos marcados por el Reglamento UE, que inciden en regir el tratamiento de los datos en cada una de las fases de la vida laboral de un trabajador.
Se faculta a los Estados miembros para adoptar leyes específicas para el tratamiento de datos personales en el ámbito laboral. Habrá que esperar a ver en qué se traducen estas exigencias en España para ver la repercusión en nuestras entidades.
En la actualidad, las entidades suelen tratar los datos personales de sus trabajadores con suficientes garantías, normalmente en bases de datos dotadas de los niveles de protección y confidencialidad mas elevados. Llegado el caso, deberán utilizarse herramientas que permitan gestionar todo el ciclo de vida laboral respetando la protección de datos.
Tratamiento para fines de investigación histórica, estadística o científica.
Este aspecto se encuentra regulado, de forma específica, tanto en la LOPD como en el RLOPD, aunque el Reglamento UE establece unas salvedades no contempladas en nuestra legislación, referente a la posibilidad de hacer públicos los datos en caso de que los intereses o los derechos o libertades fundamentales del interesado no prevalezcan, o si el interesado ha hecho manifiestamente público los datos o ha dado su consentimiento.
En nuestra legislación se contempla la posibilidad de solicitar una exención para el tratamiento, vía petición justificada a la AEPD y se permite la cesión entre Administraciones Públicas.
Las Administraciones Públicas cuentan con autorización para cederse los datos entre ellas, en esta materia. Esta nueva regulación permitirá hacerlos públicos en determinadas circunstancias, cuando no prevalezcan los intereses de los interesados, o si el interesado ha hecho público sus datos, en clara referencia, a la publicación en Internet.
Para las entidades privadas se abre un abanico de posibilidades nuevo, tanto en el tratamiento como en la divulgación del conocimiento adquirido.
El nombre del Artículo puede conducir a error, ya que por este Artículo se faculta a las autoridades de control establezcan normas específicas para ejercer el poder de investigación a las autoridades de control en el caso en que
los responsables o encargados estén sujetos a obligaciones de confidencialidad, permitiendo el acceso a la información y locales.
Destacar que sólo se refiere a potestad de investigación.
Las normas específicas que se establezcan para los poderes de investigación deberían revisarse para que estén alineados con lo especificado en el Reglamento UE, en particular lo establecido en los Capítulos VI y VII del mencionado Reglamento UE.
Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas.
En España no existe un Artículo equivalente, como tal, por lo que el GAP de la normativa española al respecto es evidente. Obviamente, implica consecuencias importantes, la primera de ellas es la afirmación de la plena aplicación de la normativa europea de Protección de Datos a las mismas. La posibilidad de crear una autoridad de control propia e independiente también es una novedad destacable en este ámbito. En todo caso, se destaca que el Reglamento UE respeta y no prejuzga el estatuto reconocido, en virtud del derecho interno, a las iglesias y las asociaciones o comunidades religiosas en los Estados miembros, tal como se reconoce en el Artículo 17 del Tratado de Funcionamiento de la Unión Europea.
La afirmación de la plena aplicación de la normativa europea de Protección de Datos a estas entidades, así como de la necesidad de que sus normas sean coherentes con la misma, en caso de existir, puede decantar la solución jurídica en situaciones como la que se ha producido en España con la Iglesia Católica.
Así, se recuerda cómo la Sentencia de la Audiencia Nacional de 10 de octubre de 2007 sobre cancelación de datos en el Libro Bautismal dio la razón a la AEPD, aunque luego, el Tribunal Supremo anuló la resolución de esta entidad en base al respeto al Acuerdo entre la Santa Sede y el Estado español de 1979 y a la consideración de los ficheros/libros parroquiales como "no ficheros de datos personales" y excluidos, por tanto, de la aplicación de la norma.
Ejercicio de la delegación.
El Artículo 86 regula la delegación de poderes en la Comisión para adoptar actos delegados de acuerdo con lo previsto en el Artículo 290 del TFUE (establece que un acto legislativo podrá delegar en la Comisión los poderes para adoptar actos no legislativos de alcance general que completen o modifiquen determinados elementos no esenciales del acto legislativo). De esta manera, el legislador delega en la Comisión el desarrollo de determinados aspectos y el Artículo 86 detalla los Artículos concretos de la Propuesta donde se prevén las delegaciones en la Comisión.
La equiparación con la normativa española la podemos encontrar en que la LOPD prevé en varios de sus Artículos que serán desarrollados por vía reglamentaria.
Actualmente dicho desarrollo corresponde al RLOPD.
El principal impacto es que una vez se apruebe el Reglamento UE habrá que esperar a la aprobación por la Comisión de los actos delegados en los que regulará una serie de materias previstas por el mencionado Reglamento UE.
Estas materias serán bastante relevantes y deberán ser tenidas muy en cuenta al igual que lo es el RLOPD a nivel nacional respecto de la LOPD. Las materias o aspectos que regulará la Comisión son muy numerosos y, entre otros, se refieren, por ejemplo, a los criterios aplicables a los métodos de obtención del consentimiento verificable, categorías especiales de datos personales, medidas apropiadas para las PYMES, las cualidades profesionales del Delegado de Protección de Datos, etc.
No existe correspondencia.
El Artículo 87 del Reglamento UE indica que la Comisión estará asistida por un Comité y remite a los Artículos 5 y 8 del Reglamento UE nº 182/2011. Estos Artículos regulan las normas internas (denominado procedimiento de examen) para la aprobación por el Comité de los proyectos de actos de ejecución de la Comisión y los actos de ejecución inmediatamente aplicables.
No aplica. La regulación del procedimiento interno de aprobación de los actos de ejecución por la Comisión no tiene impacto en las entidades públicas y privadas en España.
Derogación de la Directiva 95/46/CE.
El Artículo 88 del Reglamento deroga la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
Cuando entró en vigor la LOPD, derogó la LORTAD (Ley Orgánica 5/1992). Por su parte el Real Decreto 1720/2007 derogó el Real Decreto 1332/1994, dictado en desarrollo de la LORTAD y el Real Decreto 994/1999 (Reglamento de Medidas de seguridad de los ficheros automatizados) y todas las normas de igual o inferior rango que contradigan o se opongan a lo dispuesto en el Real Decreto 1720/2007.
No aplica. El impacto de la nueva regulación prevista en la propuesta del Reglamento UE, en lugar de la que recogía la Directiva, ya se estudia en el análisis del resto de Artículos de la Propuesta.
Relación con la Directiva 2002/58/CE y modificación de la misma.
No existe correspondencia.
El Artículo 89 de la Propuesta establece que el Reglamento UE no impondrá obligaciones adicionales a las personas físicas o jurídicas en materia de tratamiento de datos personales en relación con la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación de la Unión en ámbitos en los que estén sujetos a obligaciones específicas con el mismo objetivo establecidos en la Directiva 2002/58/CE. Esta Directiva regula el tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
A continuación el Artículo 89 de la Propuesta deroga el Artículo de la citada directiva que indicaba que las disposiciones de esta Directiva completaban la Directiva 95/46/CE.
Las empresas en el ámbito de aplicación de la Directiva 2002/58/CE (prestadoras de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación) deberán estudiar la relación del Reglamento UE con la Directiva 2002/58/CE y las normas que la han transpuesto (Ley 32/2003 General de Telecomunicaciones, que modifica varios Artículos de la Ley de Servicios de la Sociedad de la Información y de Comercial electrónico), dado que la propuesta de Reglamento UE no puede imponer obligaciones adicionales en materia de tratamiento de datos personales en relación con la prestación de servicios públicos de comunicaciones electrónicas en redes públicas de comunicación.
No existe correspondencia.
El Artículo 90 obliga a la Comisión a evaluar el Reglamento UE y presentar al Parlamento Europeo y al Consejo los oportunos Informes periódicos sobre la evaluación y revisión del Reglamento UE.
No aplica. Son normas de procedimiento interno de actuación de la Comisión respecto del Reglamento UE que no afectan a las entidades públicas y privadas en España.
El presente Estudio pretende profundizar en cómo va a influir en la Sociedad española, su Autoridad de Control y sus Entidades públicas y privadas la futura normativa europea en materia de Protección de datos, que vendrá a sustituir a la Directiva 95/46/CE.
En este sentido, el análisis pormenorizado e individualizado de cada uno de los Artículos del documento publicado en enero de 2012, permite formular ciertas conclusiones, que no pretenden ser aseveraciones irrefutables, sino antes bien pretenden ser elementos y alimento para el interesantísimo debate abierto sobre este tema.
Y ante todo y sobre todo, el análisis y sus conclusiones pretenden ser una herramienta útil y práctica sobre cómo empezar a afrontar la regulación en ciernes por parte de los socios de ISMS Forum Spain y del Data Privacy Institute, y por parte de la Sociedad en general.
Las conclusiones, así como el propio análisis, se pueden desarrollar agrupadas en tres subconjuntos:
¿Es posible señalar aún más novedades o diferencias de las que se han señalado ya con respecto al Reglamento UE?
Sin duda que podemos incidir en las más habituales como derecho al olvido, prestación del consentimiento, menores, rol de las Autoridades de Protección de Datos, certificaciones orientadas a privacidad, evaluación del impacto, Delegado de Protección de Datos, etc.
Pero, ante todo, quizá haya que señalar que aunque el Reglamento UE no sea posiblemente una revolución (no debemos confundir impacto con giro radical), sí que, sin duda, es una evolución de máxima relevancia, por cuanto procura, con más o menos éxito, adaptar la Normativa europea de Protección de Datos a la realidad actual en la materia.
En este sentido, el reforzamiento de la posición del interesado, como titular de los datos (cuestión que a veces se olvida), aunque pueda considerarse excesiva en algunos
puntos, no deja de tener su lógica dado que la Privacidad y la Protección de Datos son cada vez más importantes para la Sociedad y sus miembros.
Por otro lado, y con relación a la posición de las entidades que tratan los datos personales en la condición de responsables o encargados por cuenta de terceros, sin duda, tendrán que hacer un ejercicio de adaptación que no se reduzca a la mera asunción técnica de preceptos. Antes bien, igual que la Sociedad ha interiorizado la Protección de Datos, el Reglamento UE pide y exige esa misma interiorización a las entidades públicas y privadas, que tendrán que mostrar y demostrar su responsabilidad ante esta materia de forma continuada y sostenible.
¿Tiene el contraste con el Reglamento UE un resultado positivo o negativo para la LOPD y su RLOPD?
Este contraste o comparación, aunque necesario, está condicionado por un presupuesto de partida: confrontamos una norma de ámbito nacional con una norma de ámbito supranacional y que afecta a toda la Unión Europea. Sin entrar en los procelosos mundos de la técnica legislativa, este condicionante tiene su mayor importancia en las dudas que puedan surgir en cuanto a cómo va a ser la estrategia de evolución entre ambos modelos, cuestión todavía por definir.
De cualquier modo, quizá uno de los aspectos materiales donde el diferencial es mayor (como lo ha sido en el pasado con relación a las normativas del resto de países
UE), es lo relativo a la Seguridad en el tratamiento de los datos personales. Y ello por cuanto está por ver cómo se resuelve la transición entre el modelo de catálogo de Medidas de Seguridad del RLOPD y el modelo de definición únicamente de directrices del Reglamento UE.
En este sentido, podría haber un cambio de paradigma en relación con las medidas de seguridad, por cuanto el punto de partida para determinar los controles que deberá implantar cualquier organización, será el resultado de un análisis de riesgos de seguridad, no habiéndose recogido medidas concretas, ni niveles de seguridad como en el RLOPD.
¿Un buen nivel de madurez con relación a la Normativa actual reduce el impacto de la Normativa por venir?
Sin duda que sí, de igual modo que no es lo mismo adaptarse al cambio que adecuarse a una norma sin base previa.
No obstante, todas las entidades, públicas y privadas, van a tener que hacer un esfuerzo para la definición del rol de Delegado de Protección de Datos, para revisar la seguridad sobre los datos personales, para incorporar los conceptos de Privacy Impact Assessment y Privacy by design a sus procesos internos, para recalcular su riesgo en Protección de Datos, etc.
¿Cambia la estrategia y operativa de la relación entre los Responsables del tratamiento y sus Encargados con los Supervisores públicos?
Los Responsables y Encargados tendrán una obligación de consulta a la autoridad de control previa al tratamiento de datos, en caso de que sus Privacy Impact Assessments determinen un nivel de riesgo alto; o en su caso, cuando la autoridad de control haya catalogado la actividad de tratamiento que pretenden realizar como de alto riesgo, por considerar que entrañan un riesgo específico para los derechos y libertades de los interesados.
También en relación con la interacción entre las partes indicadas, si bien las entidades deberán generar toda la documentación sobre los tratamientos que realizan, el contenido de las notificaciones realizadas a la AEPD (Art. 26 LOPD) servirá como buen punto de partida a las organizaciones españolas.
Por supuesto, es pretensión del DPI que este Estudio sea un documento vivo, y en concreto, que siga una vida paralela a la Propuesta de Reglamento UE, de modo que las sucesivas versiones de esta última tengan reflejo en las sucesivas ediciones del Estudio.
Incluso, si en el proceso de creación de la normativa esta Propuesta se dividiera en diferentes Propuestas o proyectos normativos, si se crearan otros adicionales..., se procurará ampliar el alcance a todos aquellos documentos que se puedan enmarcar en los trabajos de elaboración de la nueva normativa europea de Protección de datos, o bien en el análisis profundo de las cuestiones que planteen más controversia a los socios de ISMS Forum Spain y DPI.
Por último, no queremos cerrar el Estudio de otra manera que, por un lado, deseando que la lectura de este Estudio sea tan agradable como útil y práctica, y por otro lado, reiterando el agradecimiento a los participantes en su elaboración por su entusiasmo, implicación y tiempo.
C/ Castello, 24, 5º Derecha, Escalera 1 * 28001 Madrid
Todos los derechos de esta Obra están reservados a DPI y a ISMS Forum Spain. Los titulares reconocen el derecho a utilizar la Obra en el ámbito de la propia actividad profesional con las siguientes condiciones:
a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright.
b) No se utilice con fines comerciales.
c) No se creen obras derivadas por alteración, trasformación y/o desarrollo de esta Obra.
Más información acerca de DPI / ISMS Forum Spain se puede consultar a través de su página web oficial: