Читать книгу Anuario de Derecho Administrativo 2017 - Miguel Ángel Recuerda Girela - Страница 65

2.3.1. Efecto directo y entrada en vigor

La característica principal de los reglamentos europeos, a diferencia de las directivas, es que son obligatorios en todos sus elementos y directamente aplicables en cada Estado miembro ( artículo 288 del Tratado de Funcionamiento de la Unión Europea).

La entrada en vigor del Reglamento se produjo el 25 de mayo de 2016 pero su contenido (incluidas las disposiciones derogatorias) no será aplicable hasta dos años después. Esta moratoria tiene como fin otorgar un periodo de transición durante el cual los responsables y encargados principalmente deberán adaptar sus procesos, estructuras, clausulados y documentos relativos a los tratamientos. Y los Estados miembros y las autoridades de control reformar los regímenes vigentes. Así lo ha explicado nuestra Agencia Española de Protección de Datos (AEPD)2). Por tanto, cabe entender que el principio de responsabilidad proactiva ha entrado en vigor de facto pues todas las organizaciones tienen que estar impulsando ya el cambio para logar haberse adaptado a 25 de mayo de 2018.

2.3.2. Ámbito de aplicación

El Reglamento incorpora, como novedad, su aplicación al tratamiento de datos personales de interesados que residan en la Unión Europea por parte de un responsable o encargado no establecido en esta, cuando se trate de actividades que estén relacionadas: (i) con las ofertas de bienes o servicios a dichos interesados en la Unión, con independencia de si a estos se les requiere su pago; o (ii) con el control de su comportamiento, en la medida en que este tenga lugar en la Unión (artículo 3). La norma pretende adaptarse al entorno de la sociedad de la información, en el que resulta posible, y así está sucediendo, que el tratamiento de datos personales se realice por responsables ubicados en Estados que no forman parte de la UE. De esta forma se supera el criterio anterior relativo a la ubicación de los medios para el tratamiento (dentro o fuera de la UE).

Por lo demás, esta norma sigue aplicando tanto al sector privado como al sector público, en la medida en que traten datos de carácter personal. Si bien las reglas respecto de este último varían en determinadas cuestiones (i.e. designación obligatoria del delegado de protección de datos al que posteriormente nos referiremos) y su implementación en el ámbito público va a conllevar dificultades propias del mismo, hemos centrado este estudio en el impacto del nuevo Reglamento con carácter general en ambos sectores.

2.3.3. Nuevas obligaciones para las organizaciones y derechos para los afectados

Citamos a continuación las siguientes novedades relevantes:

■ Consentimiento: debe darse mediante un acto afirmativo claro de tal manera que no deje lugar a dudas de que se trata de una manifestación de la voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le afecte. Ejemplo de ello puede ser: una declaración por escrito (incluyendo los medios electrónicos) o una declaración verbal. Lo anterior se puede materializar de la siguiente manera: marcar una casilla de un sitio web en internet; escoger parámetros técnicos para la utilización de servicios de la sociedad de la información; o cualquier otra declaración o conducta que refleje claramente, en dicho contexto, que el interesado acepta la propuesta de tratamiento de sus datos personales. Por ello, el silencio, las casillas ya marcadas, o la inacción, no deben ser considerados como medios para prestar el consentimiento. Además, el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines y, por ello, cuando el tratamiento tenga varios fines deberá prestarse el consentimiento para todos ellos (artículos 6 a 9 y considerando 32).

La información que debe darse al interesado cuando se recabe su consentimiento se amplía (artículo 13). Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. Además, el consentimiento no se considerará libremente prestado en aquellos casos en los que el interesado no goce de verdadera o libre elección, o no pueda denegar o retirar su consentimiento sin que ello implique sufrir un perjuicio (considerando 42).

Entre los nuevos contenidos sobre los que hay que informar cabe señalar el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo; el derecho a la portabilidad que explicamos en el siguiente punto; el derecho a presentar una reclamación ante una autoridad de control; la existencia de decisiones automatizadas, incluida la elaboración de perfiles; etc. En definitiva, una lista amplia y unos contenidos bastante técnicos, que plantean el reto de ser comunicados de forma «concisa» y con un lenguaje «sencillo» (artículo 12).

■ Derecho al olvido y a la portabilidad: además del derecho a la supresión de datos en casos como la retirada del consentimiento por el interesado, este puede solicitar al responsable que, si los datos se han hecho públicos, adopte las medidas precisas para informar a otros responsables que los estén tratando de la solicitud del interesado de la supresión de cualquier enlace a esos datos, o de cualquier copia o réplica de los mismos (artículo 17).

Por tanto, los buscadores de internet y los titulares de las páginas web tendrán que efectuar las referidas comunicaciones para que se supriman los enlaces que conducen a los datos personales.

El derecho a la portabilidad permite que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado, solicite la recuperación de dichos datos en un formato que le permita su traslado a otro responsable e incluso, cuando técnicamente resulte posible, que el responsable transfiera directamente los datos al nuevo responsable elegido por el interesado (artículo 20).

■ Protección de datos desde el diseño y por defecto: consiste en adoptar las medidas técnicas y organizativas adecuadas para cumplir con los fines del Reglamento (véanse los ejemplos en el punto siguiente). Además, al desarrollar, diseñar, seleccionar y usar aplicaciones, servicios y productos basados en el tratamiento de datos personales o que traten datos personales para cumplir su función, deberá alentarse a sus productores a que tengan en cuenta el derecho de protección de datos durante las fases de desarrollo y diseño de estos y que se encarguen a su vez de asegurarse, con la debida técnica, de que los responsables y los encargados están en condiciones de cumplir con las obligaciones recogidas en materia de protección de datos (considerando 78). Esta obligación puede tenerse cubierta razonablemente en caso de productores externos, pero cuando la aplicación se ha generado dentro de la organización es previsible que esta tenga que adaptarse para cumplir y acreditar estos requisitos. Además, el tratamiento deberá limitarse a lo necesario para los fines específicos, en línea con nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos (LOPD) (artículo 4).

■ Medidas de seguridad: el responsable debe aplicar medidas técnicas y organizativas a fin de garantizar y demostrar que el tratamiento cumple con el Reglamento. Se citan los siguientes criterios, sin clasificarse las medidas en función de determinados niveles de seguridad: estado de la técnica, coste de la aplicación, naturaleza, ámbito, contexto, fines y riesgos (artículo 25). En concreto, la seudonimización se añade como medida de seguridad para el tratamiento de los datos personales. Esta consiste en que el tratamiento sea de forma que los datos no puedan ser atribuidos a un interesado sin utilizar información adicional y que esta figure por separado (artículo 3, definiciones), a diferencia de la disociación prevista en nuestra normativa, que no permite la identificación una vez disociados los datos.

■ Registro interno de actividades: cada responsable y encargado y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad o por cuenta de un responsable. Estos registros constarán por escrito. Además, se encontrarán a disposición de la autoridad de control. Lo anterior no resultará de aplicación a las empresas y organizaciones que empleen a menos de 250 personas, a no ser que el tratamiento que realicen pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales (datos personales que revelen el origen étnico o racial, las opiniones políticas, etc.), o datos personales relativos a condenas e infracciones penales (artículo 30). Por lo demás, el contenido de este registro es análogo al de los ficheros que deben inscribirse en la autoridad de control con arreglo a la Directiva y a nuestra normativa vigente. Sin embargo, el Reglamento ha dejado de contemplar las obligaciones relativas a los ficheros como tales.

■ Evaluaciones de impacto: se deberá realizar una evaluación de impacto relativa a la protección de datos para los tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas físicas. El Reglamento enumera una serie de supuestos pero las autoridades de control deben aprobar un listado al efecto en sus jurisdicciones y pueden también establecer casos en los que no sean necesarias (artículo 35).

■ Brechas de seguridad: se impone la obligación de notificar las violaciones de seguridad de los datos personales (naturaleza de la violación, posibles consecuencias, categoría y número aproximado de intereses y registros de datos afectados, etc.) a la autoridad de control y, en su caso, al interesado, en un máximo de 72 horas (artículos 33 y 34). Su incumplimiento puede suponer una infracción muy grave, sancionable con multa de 10.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior optándose por la de mayor cuantía (artículo 83). Cualquier violación debe documentarse por el responsable (hechos, efectos y medidas correctivas).

■ Delegado de Protección de Datos (DPO): el responsable y el encargado deben designar a un DPO en determinados supuestos, lo cual no impide que las organizaciones decidan hacerlo en todo caso para mayor garantía de seguridad y cumplimiento normativo. El Reglamento exige que tenga conocimientos jurídicos y de la práctica en materia de protección de datos y que tenga capacidad para realizar las funciones indicadas en el artículo 39 (entre otras, supervisar el cumplimiento de lo dispuesto en el Reglamento, cooperar con la autoridad de control, etc.). Por ello, sus funciones serán fundamentalmente de asesoramiento a la organización en esta materia y servir de punto de contacto para las autoridades de control. A tal fin, deben gozar de la correspondiente independencia y ausencia de conflictos de interés (artículo 37).

■ Encargado del tratamiento: el responsable y el encargado deben establecer una relación contractual con una serie de contenidos mínimos: objeto, duración, naturaleza y finalidad del tratamiento; el tipo de datos personales y categorías de interesados; y las obligaciones y derechos del responsable (artículo 28).

■ Códigos de conducta y mecanismos de certificación: su adhesión y empleo puede permitir garantizar un nivel de seguridad adecuado al riesgo, por lo que se trata de circunstancias que deben tomarse en consideración al valorar la responsabilidad en caso de infracción. De hecho, constituyen circunstancias atenuantes de la misma según se explica en el apartado siguiente (artículos 40 a 43).

■ Datos biométricos: el Reglamento los define como: «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos» (artículo 4, apartado 14). Se trata de todos aquellos que se obtienen a partir de la actividad del cuerpo humano e, incluso, de la propia salud. Ejemplo de ello son: la huella dactilar, el iris de los ojos, los registros de pulseras de actividad, etc. Tienen la consideración de datos especialmente protegidos, es decir, que requieren de consentimiento expreso para su tratamiento, entre otras medidas de protección adicionales.

2.3.4. Régimen sancionador

La motivación del Reglamento relativa a la armonización de legislaciones comprende también el régimen sancionador que por primera vez se introduce en una norma comunitaria de protección de datos con el objetivo de que las autoridades de control estén facultadas para imponer sanciones administrativas de manera homogénea. El Reglamento tipifica las infracciones y establece el límite máximo y los criterios para fijar las correspondientes multas administrativas que la autoridad de control competente debe determinar en cada caso individual teniendo en cuenta todas las circunstancias concurrentes en él (la naturaleza, gravedad y duración de la infracción y sus consecuencias, etc.) (considerando 150).

Una de las novedades más relevantes viene dada por la elevada cuantía de los límites máximos de las sanciones. Se establecen tres categorías de infracciones con dos límites económicos a las multas: hasta los diez millones de euros o, tratándose de una empresa, una cuantía equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior, debiendo optarse por la cifra de mayor cuantía; o hasta 20 millones de euros o el 4% del volumen de negocio (artículo 83).

Entre las infracciones correspondientes al primer límite económico, se tipifica el incumplimiento de determinadas obligaciones del encargado (en relación con el consentimiento del menor, con la protección de datos desde el diseño y por defecto, con las funciones del delegado de protección de datos, etc.) y el incumplimiento de las obligaciones de los organismos de certificación. Entre las infracciones susceptibles de alcanzar la multa de mayor cuantía se cita la no observancia de los principios básicos para el tratamiento (incluidas la condiciones del consentimiento) o de los derechos de los interesados; o el incumplimiento de las resoluciones de las autoridades de control en lo que respecta al ejercicio de sus «poderes correctivos» (ordenar al responsable o encargado que atiendan las solicitudes respecto de los derechos de los interesados; que el tratamiento se realice de una determinada manera y plazo; limitar o prohibir el tratamiento; ordenar la rectificación o supresión de datos personales; etc.).

Como puede apreciarse, la tipificación se realiza en términos un tanto genéricos, lo cual entendemos que no resulta beneficioso para el derecho de defensa de los afectados. Además, la previsión de una multa económica susceptible de alcanzar la mayor cuantía prevista en el Reglamento por incumplimiento de las resoluciones de las autoridades de control viene a dotar a este tipo de actos administrativos de una eficacia material considerable.

La imposición de sanciones es independiente del pago de las indemnizaciones por daños y perjuicios que puedan exigirse en su caso, en línea con nuestra LOPD.

En cuanto a los criterios que las autoridades de control deben tener en cuenta para modular la responsabilidad del infractor cabe citar: la adopción de medidas de seguridad; el grado de aplicación de los principios de protección de datos desde el diseño y por defecto; cualquier medida adoptada para paliar los daños y perjuicios sufridos por los interesados o la categoría de los datos afectados por la infracción; la adhesión a códigos de conducta o mecanismos de certificación; el grado de cooperación del sujeto infractor con la autoridad de control; etc.

Además, los Estados miembros deberán establecer normas en materia sancionadora en relación con otras sanciones que puedan aplicarse a las infracciones del Reglamento, además de las ya contenidas en el mismo. En particular, deberán regularse las infracciones que no se sancionen con multas administrativas. Las sanciones deberán ser, en todo caso, efectivas, proporcionadas y disuasorias. Antes del 25 de mayo de 2018 cada Estado miembro debe notificar a la Comisión las disposiciones legislativas adoptadas en cumplimiento de esta obligación (artículo 84).

2.3.5. Consideraciones iniciales de la AEPD

Según la AEPD, el nuevo Reglamento implica un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Algunas de las medidas introducidas son una continuación o, en su caso, un reemplazamiento de otras ya existentes como, por ejemplo, las medidas de seguridad o la obligación de documentación. Otras suponen incorporar a la norma prácticas que ya venían siendo aplicadas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, tales como la privacidad desde el diseño y por defecto; la evaluación de impacto sobre protección de datos en ciertos supuestos; o la existencia de un delegado de protección de datos. Se recuerda que la elección o aplicación de las medidas está condicionada por factores como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos3).

Por tanto, todas las organizaciones que tratan datos han de llevar a cabo un análisis de riesgos de sus tratamientos con el objeto de determinar qué medidas han de aplicar y cómo deben hacerlo. La complejidad del análisis dependerá de los tratamientos que realicen las organizaciones, de tal manera que aquellas que traten datos sensibles o lleven a cabo operaciones complejas como consecuencia del desarrollo de muchos tratamientos, o que por sus características lo requieran, deberán realizar una valoración especialmente cuidadosa.