Читать книгу Transferencias internacionales de datos: pasado, presente y futuro - Elena Davara Fernández de Marcos - Страница 17
2. REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
ОглавлениеDedicamos este apartado a una de las normativas que centrarán –junto con la LOPDGDD– el estudio y análisis de las transferencias internacionales de datos, objeto de la presente obra. Por este motivo, en este apartado nos limitaremos a explicar los motivos de la llegada del Reglamento europeo, así como las novedades principales.
Conviene partir de la base de que la normativa europea que, hasta la llegada del Reglamento europeo, regía en Europa databa de 1995 –fecha en la que, realidades como las redes sociales, el Big Data o el cloud computing, entre otros, no existían o, al menos, no con la importancia e impacto del que gozan en la actualidad–. Es así que el Reglamento pretende abordar el impacto de las nuevas tecnologías, aumentar la transparencia para los interesados y reforzar el control de las personas sobre sus propios datos, todo ello para hacer frente a las realidades TIC que comentábamos.
Si bien los objetivos que se había marcado no eran una cuestión baladí, eran muchos los agentes implicados y muchos los intereses y derechos cuyo equilibrio había que lograr. Es así que, tras cuatro años de enconados debates, el catorce de abril de 2016 fue aprobado62 en el Parlamento Europeo el tan esperado Reglamento europeo sobre protección de datos que viene a sustituir a la Directiva del 95 y a crear un marco uniforme en la Unión Europea sobre esta materia.
Antes de entrar en las novedades del Reglamento europeo en sentido estricto, lo primero sobre lo que queremos llamar la atención es sobre el hecho de que el legislador europeo haya optado por la figura del Reglamento en lugar de continuar con la línea de la Directiva –como hizo en 1995 con la normativa vigente hasta la llegada del Reglamento europeo–. Y es que, un Reglamento europeo es “obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro”.
Consideramos de gran interés que se haya utilizado la figura del Reglamento ya que es una forma de legislar en la Unión Europea que garantiza una uniformidad en el desarrollo posterior, interpretación y cumplimiento de la normativa comunitaria al ser un Reglamento obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro sin necesidad de transposición ni adaptación alguna.
Y es que, la propia Comisión Europea, con la adopción del Reglamento, pretende que los países europeos tengan un modelo de protección de datos personales homogéneo que permita el intercambio –también, añadimos nosotros, las denominadas transferencias internacionales– de datos e información. Hay que tener en cuenta que, hasta ahora, las grandes diferencias en la regulación del derecho a la protección de datos entre los Estados miembros de la Unión Europea se ha alzado, en ocasiones, como un obstáculo para el desarrollo del mercado interior y ha dificultado el ejercicio de actividades económicas falseando la competencia.
Por todo lo expuesto, la Comisión Europea plantea como objetivo reforzar el derecho de las personas a la protección de datos de carácter personal, saliendo al paso del cambio tecnológico y dando a los interesados más instrumentos para el control sobre su información y, para ello, señala como necesario:
a) Modificar el concepto de datos de carácter personal adecuándolo a las repercusiones que sobre el mismo tienen las nuevas tecnologías.
b) Aumentar la transparencia para los interesados.
c) Reforzar el control de los interesados sobre sus propios datos destacando el denominado principio de minimización de los datos y garantizando con mayor seguridad el ejercicio de los derechos del interesado.
d) Sensibilización mediante la creación de una cultura general en protección de datos en dos aspectos: 1. Los riesgos derivados y vinculados al tratamiento de datos personales y 2. Los derechos que ofrece el ordenamiento jurídico.
e) Garantizar un consentimiento informado y libre, estudiando e impulsando los medios de clarificar y reforzar las normas en materia de consentimiento.
f) Proteger los datos sensibles, redefiniendo el concepto y ampliando el listado que actualmente lo configuran.
g) Reforzar la eficacia de las vías de recursos y las sanciones.
Por último, incluimos a continuación un resumen de las obligaciones principales que incorpora el Reglamento europeo de protección de datos, aunque, a lo largo de esta obra, ahondaremos en la visión de esta norma en materia de transferencia internacional de datos. Por lo que se refiere al contenido del Reglamento europeo, de manera resumida, cabe destacar:
– Fija como bases legitimadoras del tratamiento las siguientes: el consentimiento, el interés público, el interés legítimo, la protección de intereses vitales, la relación contractual o la ley.
– Amplía el deber de informar al titular de los datos.
– Establece que el consentimiento ha de prestarse de manera expresa, mediante clara acción afirmativa.
– Exige la designación obligatoria, en determinadas circunstancias, del Delegado de protección de datos63.
– Plantea la seguridad de los datos de carácter personal basada en un enfoque de riesgo. Para ello, se alzan como cuestiones fundamentales: la realización de un análisis de riesgos y la de una evaluación de impacto sobre el derecho a la protección de datos de los interesados.
– Establece como principios del tratamiento de datos de carácter personal: el principio de minimización de datos, de limitación de finalidad, de transparencia, lealtad y licitud, el principio de exactitud, el principio de limitación del plazo de conservación y el principio de integridad y confidencialidad.
– Incorpora nuevos derechos para los interesados: derecho de portabilidad, derecho al olvido y derecho de limitación del tratamiento.
– Exige la contratación de encargados del tratamiento que ofrezcan garantías adecuadas de cumplimiento de la normativa.
– Crea la figura de “corresponsabilidad del tratamiento”.
– Introduce la obligación de notificar a la autoridad de control –y, en determinados casos, la obligación de comunicar al interesado– las brechas de seguridad que se produzcan en la entidad y que afecten a datos de carácter personal.
– Aumenta las sanciones para que, en ningún caso, resulte rentable vulnerar el derecho a la protección de datos de los interesados.
De todo lo expuesto, cabe concluir que el Reglamento europeo de protección de datos se erige como la norma principal que regula todo lo referente al tratamiento de datos personales y, por supuesto, a las transferencias inter-nacionales de datos. En este sentido, no queremos acabar este apartado sin comentar el eje principal sobre el que el Reglamento vertebra la legitimación de las transferencias internacionales de datos: existencia de una Decisión de nivel adecuado de protección por parte de la Comisión Europea, existencia de garantías adecuadas mediante los diferentes mecanismos que prevé el texto europeo y un régimen de excepciones en los que se puede amparar la realización de una transferencia internacional de datos que no cuente ni con Decisión de adecuación de nivel adecuado de protección ni con las garantías adecuadas mediante alguno de los mecanismos que permite la normativa.
Puesto que las TID analizadas desde la óptica del Reglamento europeo es uno de los temas principales del presente libro y, por ello, más adelante dedicamos un Capítulo específico al análisis profundo del régimen de las transferencias internacionales en el texto europeo, nos limitaremos en este punto a dejar clara una idea: el legislador europeo ha creado un sistema amplio que permite realizar transferencias internacionales de datos que cumplan con la normativa y, por ende, que garanticen el derecho de protección de datos de todos los interesados cuyos datos vayan a ser objeto de TID. Y es que, sin duda, el legislador europeo es consciente64 de la necesidad de llegar –y fomentar en la medida en que se pueda– un equilibrio entre flujo internacional de datos y protección de los derechos del interesado en aras de un correcto desarrollo de la economía a nivel mundial.