Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Indce
1.
Resumen de la Propuesta........................................................................................... 3
2.
Introduccin........................................................................................................... 4
a.
Antecedentes........................................................................................................ 5
b.
Objetivos............................................................................................................. 6
c.
Futuro................................................................................................................ 6
Metodologa de Trabajo............................................................................................. 7
3.
4.
a.
Aplicacin......................................................................................................... 10
b.
Nuevas Definiciones............................................................................................. 11
5.
Alcance................................................................................................................ 13
6.
Principios Legales del tratamiento de datos afines a este Trabajo de Fin de Mster.............15
7.
US EU PRIVACY SHIELD................................................................................. 24
b.
8.
Ventanilla nica.................................................................................................... 26
9.
Derechos ARCO................................................................................................. 27
b.
10.
a.
b.
11.
a.
b.
c.
12.
13.
a.
b.
c.
14.
15.
a.
16.
a.
Cdigos de Conducta........................................................................................... 43
b.
Certificacin...................................................................................................... 43
c.
17.
18.
19.
20.
Responsabilidad y Sanciones................................................................................. 50
21.
22.
23.
Conclusiones...................................................................................................... 55
24.
Bibliografa y Referencias..................................................................................... 58
1.
Resumen de la Propuesta
sobre todo aquellos parmetros que entraan controversia con la actual normativa
espaola.
La propia Comisin Europea recuerda que el modelo de tratamiento de datos en el mbito se
hace necesariamente homogneo en el territorio europeo, es por ello uno de los fundamentos
claves de la promulgacin de esta propuesta, aade igualmente que las normativas internas de los
diferentes pases miembros de la Unin Europea no se van a encontrar un papel restringido en
materia de legislacin en este mbito, siendo el papel de la Comisin interpretar si las medidas
que se adoptan por parte de los pases son o no las ms adecuadas al Reglamento general de
proteccin de datos y no interfiriendo en otras propuestas de desarrollo comunes o propias en
esta materia.
Es por ello que surgen una serie de interrogantes en la aplicacin e interpretacin de este
Reglamento general de proteccin de datos de acuerdo con la normativa espaola, aludiendo
la Comisin Europea que a travs de la futuro Comisin de Proteccin de datos, compuesta
seguramente por el grupo del artculo 29, se ir dando respuesta a aquellas dudas interpretativas,
alcance y objetivos del Reglamento antes del transcurso de los dos aos antes de su obligada
transposicin.
2.
Introduccin
D. Anlisis jurdico en base a dar una respuesta sobre los nuevos retos que se plantean a raz
de este Reglamento general de proteccin de datos, as mismo anlisis sobre las
posibles oportunidades que surjan a raz de su implantacin, todo ello desde la
perspectiva empresarial y de negocio.
E. Conclusiones acerca de lo acertado o no, en cuanto a la creacin, imposicin y
transposicin del Reglamento general de proteccin de datos en el territorio de la
Unin Europea.
a. Antecedentes
En relacin al Trabajo de Fin de Mster que estoy desarrollando en torno al anlisis del
Reglamento Europeo de Proteccin de datos y su implantacin a efectos empresariales, he
destacado una serie de hitos enmarcados en torno a unas antecedentes que desarrollo a
continuacin:
Dentro del marco normativo que nos da competencias legislativas comunitarias, encontramos en
este caso el Reglamento de obligado cumplimiento para los pases miembros de la Unin
Europea, siempre en base o fundamento estandarizado. Ante esta competencia la Unin Europea
ha trabajado en torno a la propuesta que es objeto de mi trabajo de fin de mster, en este caso
hablamos del Reglamento General de Proteccin de Datos (RGPD), el cual establecer un
marco a escala dentro de la Unin Europea con el fundamento comentado anteriormente,
estamos hablando de la capacidad homogeneizadora sobre la gran variabilidad del mosaico
existente de legislaciones especficas de cada pas.
Para terminar con esta apartado, donde trato de hacer una situacin temporal de mi trabajo fin de
master, debo destacar que el fin del Reglamento Europeo de Proteccin de Datos es sustituir a
la Directiva 95/46/EC sobre proteccin de datos del ao 1995, as mismo tambin se
desarrollara la directiva de apoyo que le ser de aplicacin.
b. Objetivos
c. Futuro
Para comenzar determinaremos como espacio temporal asimilado al futuro la propia aprobacin
del texto definitivo por el Parlamento Europeo el 14 de Abril de 2016, por lo tanto debo
entender en base a las normativas de transposicin de legislaciones comunitarias que
el
Dicho esto anterior en cuanto al criterio de su aplicacin, por ejemplo llevada a cabo por las
empresas, se debe entender que todo tratamiento ya iniciado en la fecha de aplicacin del
Reglamento General de Proteccin de Datos debe ajustarse al l mismo, teniendo en cuenta
3.
Metodologa de Trabajo
Con respecto a esto ltimo, he utilizado fuentes secundarias de muchos tipos, tanto informes
elaborados por autores especialistas en Derecho de la Proteccin de Datos, como por organismos
especializados en esas materias y textos antiguos donde manaba las fuentes clsicas del Derecho
dela Proteccin de Datos, intimidad y privacidad. Tambin todos aquellas interpretaciones,
opiniones y comentarios de expertos de mi entorno laboral, que en mayor medida he encontrado
procedimentadas.
Este trabajo es un estudio de tipo cualitativo, que siguiendo el criterio de Maxwell, 19961, se
caracteriza por un proceso de construccin interactiva del argumento terico y la evidencia
emprica. Estamos en un estudio de tipo holstico, donde trato de captar el ncleo del inters de
la propuesta planteada junto con los elementos clave de la realidad estudiada, intentando de esta
manera transmitir el significado y contexto del comentario en base al Reglamento General de
Proteccin de Datos.
El presente trabajo recoge evidencias de estudio cuantitativas, siguiendo el patrn de Bryman,
19952, no todos los estudios de caso o comentarios pueden ser ajustado como ejemplos de
investigacin cualitativa, ya que a veces se realizan un uso substancial de mtodos de
investigacin cuantitativa. Con esta aportacin quiero constatar que estamos ante un mtodo de
investigacin cuantitativo, ya que este se basa tambin en informacin de resultado recogida,
como pudiera ser aportaciones de expertos, profesionales o personas que tienen en comn esta
materia puesto que mantienen una relacin practica y tacita con el contenido jurdico del
Reglamento General de Proteccin de Datos.
1 Maxwell, Joseph A.: Qualitative research design. An interactive approach. Editor: Sage
durante
la
realizacin
del
presente
Mster
en
Derecho
de
las
3.2. Estrategias
Anlisis de fuentes secundarias
Informacin secundaria, se trata fundamentalmente de un conjunto de datos agregados, sobre
los que no se realiz ningn anlisis o elaboracin. En este caso son los datos que encontr en las
publicaciones normativas.
Por otro lado tambin he utilizado ciertos componentes de anlisis ya realizados, los cuales son
datos utilizados y aadidos, que se encuentran elaborados y que logran una serie de aspectos muy
tiles para mi fin, en este apartado cabe destacar fuentes de investigacin
y doctrina
4.
Aplicacin y definiciones
En este apartado quiero desarrollar el mbito de aplicacin del reglamento y la parte o totalidad
que se transpone a las normativas locales de los distintos pases miembros de la Unin Europea,
as como los nuevos conceptos jurdicos y/o nuevas definiciones legales que contempla el nuevo
Reglamento que debern encontrar tambin su hbitat en las normativas locales de los pases
afectados.
a. Aplicacin
Para comenzar debemos distinguir: qu se aplica? y a qu se aplica?
En cuanto al mbito de aplicacin sobre los servicios objeto de regulacin, se recoge en el
Reglamento que tendr vigor de aplicacin cuando exista oferta de bienes y servicios dirigidos a
ciudadanos europeos.
Reglamento General de Proteccin de Datos se aplicara en su totalidad o parcialmente desde
un punto de vista territorial, dependiendo de la legislacin local a la cual se destine, es decir
puede que ciertos pases miembros de la Unin ya recojan algunas de las premisas que dicho
reglamento desarrolla en sus prrafos, en esos casos entendemos que las nuevas normativas de
desarrollo local sobre la proteccin de datos ya contienen parte de la nueva normativa y por tanto
su aplicacin ser ms fcil, rpida y eficaz. Por lo tanto con esta afirmacin contenida en este
prrafo respondemos a la primera pregunta.
El Reglamento General de Proteccin de Datos se aplica sobre el tratamiento total o
parcialmente automatizado de los datos personales tratados en cuestin, as como sobre el
tratamiento no automatizado de aquellos datos personales contenidos o destinados a ser incluidos
en un fichero. Por lo tanto con esta afirmacin respondemos a la segunda pregunta.
Por ultimo debemos remarcar que no se espera su publicacin oficial no se espera hasta
mediados de 2018 el gran alcance en su mbito de aplicacin , constituye una oportunidad
profesional en los mbitos legales en los que incide. Estamos ante un marco normativo con gran
alcance, puesto que del tiempo gastado para su aprobacin, su extensin, detalle y matices en su
interpretacin, hacen de l una norma que recurre a numerosos conceptos jurdicos
indeterminados, que lo hacen difcilmente interpretable.
b. Nuevas Definiciones
Dentro de las nuevas definiciones y conceptos jurdicos aportados por el nuevo Reglamento
General de Proteccin de Datos, he realizado la siguiente relacin de conceptos que bien
merecen una interpretacin jurdica, todas ellas contenidas en el artculo 4 de dicha normativa, a
continuacin las mencionamos:
Seudonimizacin: El tratamiento de datos personales de manera tal que ya no puedan
atribuirse a un interesado sin utilizar informacin adicional, siempre que dicha informacin
adicional figure por separado y est sujeta a medidas tcnicas y organizativas destinadas a
garantizar que los datos personales no se atribuyan a una persona fsica identificada o
identificable.
Elaboracin de perfiles: Toda forma de tratamiento automatizado de datos personales
consistente en utilizar datos personales para evaluar determinados aspectos personales de una
persona fsica, en particular para analizar o predecir aspectos relativos al rendimiento
profesional, situacin econmica, salud, preferencias personales, intereses, fiabilidad,
comportamiento, ubicacin o movimientos de dicha persona fsica.
Establecimiento principal: En lo que se refiere a un responsable del tratamiento con
establecimientos en ms de un Estado miembro, el lugar de su administracin central en la
Unin, salvo que las decisiones sobre los fines y los medios del tratamiento se tomen en otro
establecimiento del responsable en la Unin y este ltimo establecimiento tenga el poder de
hacer aplicar tales decisiones, en cuyo caso el establecimiento que haya adoptado tales
decisiones se considerar establecimiento principal.
Privacidad desde el diseo: El diseo de aplicaciones que traten datos personales, para
garantizar la privacidad de los mismos desde el principio.. Por ejemplo en las plataformas de
red social, los perfiles de los usuarios sern privados por defecto frente a otros usuarios,
quedando la apertura a la condicin del usuario.
Normas corporativas vinculantes: Las polticas de proteccin de datos personales asumidas
por un responsable o encargado del tratamiento establecido en el territorio de un Estado
miembro para transferencias o un conjunto de transferencias de datos personales a un
responsable o encargado en uno o ms pases terceros, dentro de un grupo empresarial o una
unin de empresas dedicadas a una actividad econmica conjunta.
Violacin de datos personales: Toda violacin de la seguridad que ocasione la destruccin
accidental o ilcita, la prdida, alteracin, comunicacin no autorizada o el acceso a datos
personales transmitidos, conservados o tratados de otra forma.
Podemos concluir que estos son a grandes rasgos los nuevos conceptos jurdicos aportados por el
Reglamento General de Proteccin de Datos, adems de los conceptos que aparecen realmente
delimitados por el mismo. As mismo desaparece en primera instancia la clasificacin en relacin
al nivel de tratamiento de los datos personales, dando lugar una distribucin de los mismos en
relacin con la entidad que los trata y los interesados, vase a continuacin:
Tipo de
datos:
genticos,
personale
s,
biometrc
os y salud.
Relacin
empresarial :
establecimiento,
empresa, grupo
de empresa, y
normas
vinculantes.
Figura 1: Elaboracin propia a partir de: Regulation of the European Parliament and of the
Council on the protection of individuals with regard to the processing of personal data and on
the free movement of such data (General Data Protection Regulation). Brussels 14 April 2016.
Por lo que podemos entender que no existe interpretacin jurdica sobre su aplicacin a grandes
rasgos, as como su alcance. Se deben transponer conforme al propio Reglamento.
5.
Alcance
Para determinar e interpretar el alcance del actual Reglamento General de Proteccin de Datos,
debemos fijarnos en el artculo 3 del propio Reglamento, en l se indica el alcance del
Reglamento General de Proteccin de Datos.
Estos tres mbitos territoriales y nacionales sobre los ciudadanos europeos son los que
determinan el alcance del actual Reglamento General de Proteccin de Datos, puesto que
como podemos observar se delimita como alcance general la prestacin de servicios susceptibles
de tratamiento de datos personales a los residentes de la Unin Europea.
Entre las diferencias que encontramos con el actual marco normativo espaol, en este caso la Ley
Orgnica de Proteccin de Datos, 15/1999 y el Reglamento de desarrollo de la Ley Orgnica de
Proteccin de Datos, 1720/2007, podemos destacar que ambas y leyes necesitan que el
tratamiento sea efectuado en territorio espaol en el marco de las actividades de un
establecimiento del responsable del tratamiento y en algunos otros casos cuando al
responsable del tratamiento no establecido en territorio espaol, le sea de aplicacin la
legislacin espaola en aplicacin de normas de Derecho Internacional Pblico3.
6.
3 ISMS Forum Spain and Data Privaccy Institute: Estudio de impacto y comparative con la
Directiva 95/46/CE del Parlamento Europeo y del Consejo, relativa a la proteccin de las
personas fsicas en lo que respecta al tratamiento de datos personales y a la libre
circulacin de estos datos.
4 Ortega, Luis (Ortega lvarez): Derecho comunitario europeo, Deposito Legal:VA 1144-2007,
Publicacin:
Directiva 97/66/CE del Parlamento Europeo y del Consejo, relativa a la proteccin de las
personas fsicas en lo que respecta al tratamiento de datos personales y a la libre
circulacin de estos datos.
Por otro lado mencionamos adems de las cuatro directivas sealadas anteriormente, la Decisin
Marco 2008/977/JAI relativa a la proteccin de datos personales tratados en el marco de la
cooperacin policial y judicial en materia penal. Adems de esta decisin marco, cabra destacar
a ttulo personal el borrador que se aprobar a lo largo de este ao sobre la directiva 2012/0010
(COD) Propuesta de DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO
relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos
personales por parte de las autoridades competentes para fines de prevencin, investigacin,
deteccin o enjuiciamiento de infracciones penales o de ejecucin de sanciones penales, y la
libre circulacin de dichos datos6.
Esta directiva cabe sealar que surge como respuesta a la necesidad de transmisin de datos
personal en un ambiente de cooperacin policial efectiva. En este paquete sobre la proteccin de
6 Craig, Paul: EU Law: text, cases and materials, ISBN:9780198714927. Edicin:
6th ed.
datos que ha surgido desde las instituciones europeas, se ha creado tambin esta directiva sobre
la transmisin de datos para otras cuestiones ligadas ms si cabe a otras necesidades nacidas de
procesos judiciales y de las investigaciones policiales llevadas a cabo en el entorno de la Unin
Europea.
Concretamente en esta directiva que fija el marco para el Reglamento General de Proteccin de
Datos, el cual es objeto de mi Trabajo de Fin de Mster, se impondr las condiciones legales para
el intercambio de datos transfronterizos dentro del entorno de los pases de la Unin Europea, as
mismo se establecer criterios y estndares mnimos para el tratamiento de datos en cada pas.
En un primera aproximacin al texto, al parecer estamos ante una regulacin que pretende
proteger a los individuos implicados en las investigaciones policiales o con causa judicial abierta,
claramente se determinan sus derechos en cuanto al tratamiento de sus datos personales y se
limitan la transmisin de datos para la prevencin, deteccin, investigacin y la apertura de causa
judicial por delitos.
En una segunda aproximacin al texto podemos observar distintos criterios para evitar riesgos
para la seguridad pblica, iniciativas para la cooperacin judicial y policial transfronteriza. Todo
ello bajo un clima aparando en las dificultades que plantea el terrorismo y que ha dado origen a
este texto como respuesta al problema de los ataques terroristas, crmenes transnacionales y la
mejora en la seguridad policial y jurdica, siempre bajo el respecto al derecho fundamental de la
privacidad.
Sin olvidarnos del Reglamento del Parlamento Europeo y del Consejo, REGULATION (EU)
2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016
aprobado relativo a la proteccin de las personas fsicas en lo que respecta al tratamiento de
datos personales y a la libre circulacin de estos datos, normativa esta que ser el fundamento de
mi Trabajo de Fin de mster.
Jurisprudencia del Tribunal Constitucional y evolucin sobre la materia. La STC 292/2000
del 30 de noviembre
Debemos comenzar este epgrafe, dedicado a la sentencia del Tribunal Constitucional 292/2000
del 30 de noviembre, haciendo una clara referencia a la misma puesto que ser citada a lo largo
del trabajo, como uno de los fundamentos bsicos del mismo.
Dentro de esta sentencia se recogen los lmites que la doctrina ha marcado sobre los alcances de
los derechos fundamentales, recogindose literalmente: el derecho a la proteccin de datos no
es ilimitado, y aunque la Constitucin no le imponga expresamente lmites especficos, ni remita
a los Poderes Pblicos para su determinacin como ha hecho con otros derechos fundamentales,
no cabe duda de que han de encontrarlos en los restantes derechos fundamentales y bienes
jurdicos constitucionalmente protegidos, pues as lo exige el principio de unidad de la
Constitucin (SSTC 11/1981, de 8 de abril, FJ 7; 196/1987, de 11 de diciembre, FJ 6; y respecto
del art. 18, la STC 110/1984, FJ 5).
Es decir con el nacimiento de esta doctrina, se crea la perspectiva de ponderacin de derechos
fundamentales, en este caso sobre el derecho de la proteccin de datos. En algunos casos estas
restricciones al derecho fundamental pueden ser directas y/o amparadas en otros derechos
fundamentales, para lo primero se regula mediante normativa los lmites del derecho
fundamental y para el segundo caso se fijan las facultades implcitas del derecho fundamental
dejando las menos implcitas en favor de otros derechos, constituyendo as una forma de regular
el ejercicio del derecho en cuestin, esta posibilidad nace en el artculo 53.1. de la Constitucin
Espaola y tambin viene recogido en la sentencia que da nombre a este epgrafe.
Dicho esto en el mismo orden vamos a relacionar la doctrina que da lugar con las reflexiones
recogidas en este epgrafe, comenzaremos con la sentencia de 110/1984 de 21 de Diciembre,
sentencia esta que se puede entender en muchos caso como la primera sentencia de proteccin de
datos, se trataba de una resolucin de la Direccin General de Inspeccin financiera y tributaria,
sobre investigacin de un contribuyente y sus datos bancarios, lo destacable de esta sentencia es
la reflexin que hace acerca del contenido del derecho a la intimidad: El reconocimiento
explcito en un texto constitucional del derecho a la intimidad es muy reciente y se encuentra en
muy pocas constituciones, entre ellas la espaola. Pero su idea originaria, que es el respeto a la
vida privada, aparece ya en algunas de las libertades tradicionales. La inviolabilidad del
domicilio y de la correspondencia, que son algunas de estas libertades tradicionales, tienen
como finalidad principal el respeto a un mbito de vida privada personal y familiar que debe
quedar excluido del conocimiento ajeno y de las intromisiones de los dems, salvo autorizacin
del interesado. Lo ocurrido es que el avance de la tecnologa actual y el desarrollo de los
medios de comunicacin de masas han obligado a extender esa proteccin.
En el mismo orden, destacamos la Sentencia 11/1998, del 13 de enero, de la que emana parte de
la fundamentacin de nuestra doctrina en cuestin, puesto que en su fundamento jurdico 4,
habla del derecho a la proteccin de datos como instrumento de garanta de otros derechos, como
pueden ser el honor y la intimidad, siendo por ello categorizado como un derecho constitucional
frente al mal uso de los datos personales.
Comentado estos pilares anteriores en los que se soporta la sentencia de Tribunal Constitucional
292/2000, de 30 de Noviembre, debemos concluir que dicha sentencia designa, denomina y
singulariza el derecho de la proteccin de datos personales como un posible nuevo derecho de
vertiente fundamental y que se encuentra separado del resto de derechos fundamentales, como
podra ser en nuestro caso la intimidad personal y familiar, por lo que podemos decir que se trata
de un derecho independiente.
El Constitucional lo describe como un derecho autnomo que posee el ciudadano espaol sobre
el control y disposicin sobre sus datos personales, todo ello viene ligado de la Carta de
Derechos Fundamentales de la UE, donde se establece el derecho de la proteccin de datos
personales. Lo que ha hecho esta sentencia no es solo reducir la proteccin de datos personales a
los posibles datos ntimos de las personas, sino extenderlos a cualquier tipo de dato personal,
intimo o no, porque como muy bien recoge el Tribunal Constitucional, el empleo de estos datos
por terceros y el conjunto de datos personales puede ser resolutorio, es decir en mi opinin y
entendimiento visto que con un solo dato personal no era suficiente para conseguir un perfil
personal, las terceras partes comienzan a tratar datos masivos para este fin, accediendo desde
datos del Listn telefnico, bases de datos de acceso pblico, hasta registros comerciales.
En mi opinin el Constitucional da un paso enorme en este aspecto, pocas veces visto en la
justicia, puesto que se adelanta al Big data o tratamiento masivo que tenemos en la actualidad.
A continuacin tambin se describen las facultades que tienen esos ciudadanos sobre sus datos
personales, que van desde el derecho al consentimiento expreso, conocimiento y uso de sus datos
por parte de terceros, hasta el control sobre estos parmetros, que es cuando se acude al ejercicio
de los Derechos ARCO, que son:
-
Derechos de Acceso
Derechos de Rectificacin
Derechos de Cancelacin
Derechos de Oposicin
Todo ello nos lleva a concluir este epgrafe, resumiendo el resultado al que llega el Tribunal
Constitucional en este sentencia, El derecho fundamental a la proteccin de datos, no puede
ser entendido de una forma aislada, sino que debe quedar incardinado con el resto de los
derechos fundamentales, sirviendo de lmite y siendo limitado igualmente por ellos.
Por ltimo, tras la interpretacin de este resultado surgido de la susodicha sentencia nos
encontramos, que el derecho a la proteccin de datos , es un derecho individual e independiente
del ciudadano, siendo necesario su desarrollo por ley orgnica debido a su carcter, si
entendemos que es un derecho fundamental se sobrepone sobre otros derechos que no lo son,
tiene una cualidad especial puesto que puede acudirse a tribunales ordinarios, bajo los principios
de preferencia-sumariedad y tambin bajo el recurso de amparo al Constitucional (Articulo 53
Constitucin Espaola)7.
Magistrados: Don Pedro Cruz Villaln, don Carles Viver Pi-Sunyer, don Rafael de Mendizbal
Allende, don Julio D. Gonzlez Campos, don Manuel Jimnez de Parga y Cabrera, don Toms
Salvador Vives Antn, don Pablo Garca Manzano, don Pablo Cachn Villar, don Fernando
Garrido Falla, don Vicente Conde Martn de Hijas, don Guillermo Jimnez Snchez y doa
Mara Emilia Casas Baamonde. SENTENCIA 292/2000, de 30 de noviembre de 2000. Tipo y
nmero de registro Recurso de inconstitucionalidad 1463-2000. Fecha de resolucin 30/11/2000.
7
Una vez expuestos los orgenes en mi trabajo, me aventuro a desarrollar de manera clara y
practica las tareas que en este caso son comunes, hablo de los supuestos que no estn bajo el
amparo del Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos, concretamente
los datos excluidos, bajo ciertas premisas o que no se encuentran alineados como datos
personales.
Es el propio Reglamento en su artculo 2.2. quien dice: Este reglamento no ser aplicable a los
tratamientos de datos referidos a personas jurdicas, ni a los ficheros que se limiten a
incorporar los datos de las personas fsicas que presten sus servicios en aqullas, consistentes
nicamente en su nombre y apellidos, las funciones o puestos desempeados, as como la
direccin postal o electrnica, telfono y nmero de fax profesionales.
Estamos por tanto ante una excepcin que viene contemplada en el Reglamento, dicha excepcin
de la aplicacin de la normas, va encaminada como garante del derecho de la proteccin de datos
y debe entenderse en sentido estricto y de modo restrictivo. Para ello deben cumplirse los
requisitos que a continuacin desarrollamos:
-
Los datos que se traten sean limitados para la identificacin del sujeto en la persona
jurdica que presta sus servicios.
Dicho esto utilizamos las conclusiones del informe de la Agencia Espaola de Proteccin de
Datos, Informe 78/2008, donde define lo anterior como: Por ello, no se encontraran excluidos
de la Ley los ficheros en los que, por ejemplo, se incluyera el dato del documento nacional de
identidad del sujeto, al no ser el mismo necesario para el mantenimiento del contacto
empresarial. Igualmente, y por razones obvias, nunca podr considerarse que se encuentren
excluidos de la Ley Orgnica los ficheros del empresario respecto de su propio personal, en que
la finalidad no ser el mero contacto, sino el ejercicio de las potestades de organizacin y
direccin que a aqul atribuyen las leyes. (Informe 78/2008).
Es por ello que la relacin entre la finalidad del tratamiento debe ir en relacin directa entre
quienes tratan el dato y la entidad, y no entre aquellos que tienen una determinada posicin en la
empresa. Por lo que el uso del dato debe ir en funcin de la persona jurdica y su finalidad.
De nuevo en las conclusiones del informe de la Agencia Espaola de Proteccin de Datos,
Informe 78/2008, lo definen como: As sucedera en caso de que el tratamiento responda a
relaciones business to business, de modo que las comunicaciones dirigidas a la empresa,
simplemente, incorporen el nombre de la persona como medio de representar grficamente el
destinatario de la misma.
Por ultimo debemos destacar la relacin del rgimen jurdico de la proteccin de datos y el
rgimen jurdico de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la
informacin y de comercio electrnico, de modo que los principios que rigen en el envo de
comunicaciones comerciales por medios electrnicos se aplican tanto a personas fsicas como
jurdicas, y entre ellas, las personas de contacto.
Dentro de este apartado quiero manifestar en mi trabajo fin de master, una vez afrontadas
las generalidades legales de las que emana el fuero de la proteccin de datos, aquellos
Principios legales relativos al tratamiento de datos personales, los cuales emanan del
Reglamento en cuestin que estoy analizando, concretamente de los artculo 5, 6 y 7 de
dicha normativa.
Comenzando por los Principios relativos al tratamiento, debemos entender que el tratamiento de
los datos personales se deber hacer en funcin de:
-
y legtimos.
De un tratamiento de modo que se garantice una seguridad adecuada a los datos
personales tratados.
Por ltimo el Reglamento tambin habla acerca de las condiciones para el consentimiento del
titular de los datos, puesto que en aquellos tratamientos donde sea necesario o se base en el
consentimiento del interesado, el responsable deber ser capaz de demostrar que aquel
residente europeo ha consentido el tratamiento de sus datos personales.
Por lo tanto podemos concluir que las diferencias que marca el Reglamento sobre la actual
legislacin espaola de proteccin de datos, puesto que se aboga de un consentimiento mediante
acto afirmativo claro bajo una manifestacin de voluntad libre, especifica, informada e
inequvoca del interesado de aceptar el tratamiento de datos, quiero recalcar la exigencia
del Reglamento en cuanto al carcter claramente inequvoco, debiendo ser explcito en el
caso de los datos sensibles.
En la actual legislacin espaola el consentimiento debe ser inequvoco salvo que la ley
disponga lo contrario y solo cabe el consentimiento expreso y por escrito para el
tratamiento de datos personales de nivel alto.
7.
Partiendo de la Sentencia del Tribunal de Justicia Europeo del 6 de octubre de 2015 8, que
anulaba la Decisin 2000/520/CE9, por la que se ha considerado que el rgimen de Safe Harbor o
8 Sentencia TJUE de 6 de Octubre de 2015 / Asunto C-362/14.
9 Decisin 2000/520/CE de la Comisin, de 26 de julio de 2000
Puerto Seguro entre los Estados Unidos y Los pases de la Unin Europea, no cumpla los
niveles adecuados de proteccin de los datos personales en la transferencia entre estos territorios.
No debemos obviar a raz de las implementaciones legales del US EU Privacy Shield y del
propio Reglamento el cual es objeto de este trabajo de fin de master ha surgido la posible
creacin de un rgano o Autoridad de Control supranacional en los Estados Unidos de Amrica,
el llamado a.US Federal Privacy Council, como rgano para la mejora de prcticas de privacidad
y su gestin.
La idea surge de dotar a dicho pas y a su normativa interna de un Agencia oficial para la
privacidad, cuyos roles, niveles de experiencia, recursos y etc., sean definidos de acuerdo a las
rdenes ejecutivas y a las nuevas polticas con el fin ltimo de coordinacin y colaboracin,
educacin sobre las mejores prcticas de cambio de datos entre entes internacionales y el mbito
federal.
Siempre como hemos comentado anteriormente para el cumplimiento del US EU Privacy
Shield y como futuro paso de cara al cumplimiento de la principios legales de la privacidad de
los datos.
8.
Ventanilla nica
Este Reglamento pretende establecer una serie de mecanismos para lograr una aplicacin
coherente de la legislacin sobre proteccin de datos en toda la Unin Europea, sobre sus
residentes y de mbito transversal al conjunto de los pases implicados, por lo tanto a raz de esta
unificacin surge la necesidad de centralizar los servicios y direcciones procedimentales a travs
de la conocida como Ventanilla nica.
En particular en aquellos casos donde surgen caracterizaciones transfronterizas importantes,
donde podran estar implicadas varias autoridades de control de los diferentes pases que
pudieran verse afectados, para ello ser necesario en estos casos de confrontacin la adopcin de
una nica decisin de supervisin de los casos. A raz de esta interpretacin recogida en los
Tratados de Fundacin de la Unin Europea, surge el principio conocido y mencionado
anteriormente como Ventanilla nica, que significa de forma prctica y este entorno empresarial
como la relacin de las empresas filiales en varios Estados miembros, donde solo ser necesario
tratar con la autoridad de proteccin de datos del Estado miembro en su establecimiento
principal.
Por lo tanto el fundamento jurdico que se busca con este mecanismo es que se prevea al sistema
y al tratamiento o confrontacin de datos por una nica decisin o decisin nica aplicable a
todo el territorio de la Unin Europea para evitar cualquier otra disputa secundaria.
Para concluir podemos decir en mbito comparativo que el mecanismo de la Ventanilla nica
permite en definitiva que una empresa activa en varios Estados miembros trate nicamente con
la autoridad de proteccin de datos del Estado miembro de su establecimiento principal, teniendo
en cuenta que solo debern hacer frente a una nica autoridad de control facilitando el
proceso. En cambio en la actualidad con el marco normativo espaol y de los diferentes estados
miembros cada empresa de procesar y tratar datos con respecto a las diferentes 28 legislaciones
nacionales aplicables y sus respectivas autoridades de control.
9.
Entre los argumentos ms fundamentales que he encontrado en el texto del Reglamento General
de Proteccin de Datos encontramos los derechos del interesado, como sabemos del desarrollo
de nuestros conocimiento previos se tratan de los Derechos de acceso, rectificacin, supresin y
oposicin o los tambin conocidos como Derechos ARCO, en el actual reglamento se encuentran
disponibles en los artculo 12, 15, 16, 17 y 21 del mencionado Reglamento10.
a. Derechos ARCO
Primeramente quiero plasmar lo que el Reglamento nos traslada con efectos a estos Derechos de
acceso, rectificacin, supresin o el tambin conocido como derecho al olvido, el cual se
desarrolla en este Reglamento y del que hablar ms adelante y por ltimo el derecho de
oposicin son el conjunto de derechos a travs de los cuales el Reglamento General de
Proteccin de Datos de la Unin Europea garantizar a las personas el poder de control sobre
sus datos personales.
10 Sempere Samaniego, Fco. Javier: Comentarios prcticos a la Propuesta de Reglamento de
Dentro de las aportaciones que el Reglamento aporta, encontramos el derecho al olvido, el cual
ha sido recogido en este Reglamento deba a la causa y efecto que sentencias, confrontaciones y
resoluciones han tenido lugar en los ltimos aos, as en base a dichas lneas conseguidas se ha
reforzado con este documento el derecho al olvido en el entorno en lnea, es decir estamos ante la
ampliacin del antiguo derecho de supresin de tal forma que el responsable del tratamiento que
haga pblico datos personales, puede estar obligado a indicar a los responsables del tratamiento
sobre la supresin de ciertos datos personales as como los enlaces a los mismos, a las copias o
rplicas de ellos. Por otro lado en favor de la proteccin de las empresas, cuando las solicitudes
de datos sean manifiestamente infundadas o excesivas, ya sea por cuestiones repetitivas o de
diversa ndole, la contraprestacin de un canon razonable en funcin de los costes
administrativos afrontados para facilitar la informacin, todo ello comprendido dentro del
artculo 12 del propio Reglamento.
Para determinar la gran diferencia con la actual normativa espaola de referencia y el
Reglamento General de Proteccin de Datos debo destacar nicamente en este aspecto que
ante la demanda abusiva y repetitiva del ejercicio de los derechos ARCO por parte de un
individuo, se podr cobrar una cuota razonable, siendo esto imposible actualmente favoreciendo
la aparicin de verdadeross impugnadores profesionales y muchas veces sobre la misma causa.
Es decir aquellos datos personales que se hubieran dado o facilitado a un responsable del
tratamiento, siendo normalmente en un formato estructurado, de uso comn y lectura
mecnica, ya que cumpliendo estas caractersticas se le denota la posibilidad de
transmitirlos a otros responsables del tratamiento sin que lo impida el antiguo responsable
del tratamiento que los hubiera facilitado.
Por lo tanto el usuario de los datos posee ahora la facultad del ejercicio a la portabilidad de los
datos, teniendo el interesado el derecho a que los datos personales se transmitan directamente de
un responsable del tratamiento, el anterior destinatario, a un nuevo responsable del tratamiento,
en este caso el nuevo destinatario, siempre y cuando sea viable tcnicamente y mecnicamente y
por tanto se cumplan los siguientes requisitos que a continuacin menciono:
-
Los datos deben ser tratados de manera automatizada por el responsable del
tratamiento
Los datos hayan sido facilitados por la persona interesada
El tratamiento est basado en el consentimiento o en un contrato
Acceso
Rectificacin
Cancelacin
Oposicin
Limitacin
10.
Portabilidad
La posibilidad de retirar el consentimiento en cualquier momento
Obligaciones del responsable y Encargado del tratamiento
En cuanto a las obligaciones del responsable y encargado del tratamiento, recogidas en el futuro
Reglamento, he detectado algunas interpretaciones jurdicas novedosas con respecto a la relacin
anterior que nos sitan en un nuevo marco legal referenciado sobre los mismos.
Dicho lo anterior voy a definir apartado a apartado los conceptos surgidos de los mismos para
cada rol en cuestin, todo ello en base al artculo 24 del Reglamento correspondiente al
Responsable del tratamiento y el artculo 28 que designa el concepto legal del Encargado del
tratamiento.
rol se regir por un contrato en el cual se debe estipular la vinculacin entre el encargado del
tratamiento y el responsable, adems del objeto del mismo, la duracin, la naturaleza y la
finalidad del tratamiento.
Toda esta relacin delimitada por contrato se encaminar hacia el buen tratamiento de datos
personales, nicamente siguiendo las instrucciones del responsable del tratamiento, salvo casos
excepcionales. As mismo se debern tomar las medidas necesarias de conformidad con lo
dispuesto en la seguridad del tratamiento. Y por ltimo se deber suprimir o devolver todos
los datos personales que se hayan utilizado, una vez se finalice la prestacin de los servicios de
tratamiento.
11.
Con respecto a las consideraciones que deben llevarse a cabo sobre el registro de los ficheros
para el tratamiento de datos o como se conocer en adelante el Registro de las actividades del
tratamiento recogidas en el artculo 30 del susodicho Reglamento, a continuacin hare una
interpretacin y comparacin legal del texto en funcin de la consideracin del tamao de la
entidad a la que va destinada.
Por otro lado el texto tambin recoge que cada encargado del tratamiento llevar un registro
de todas las categoras de actividades de tratamiento de datos personales efectuados en
nombre de un responsable:
-
Por lo tanto, la obligacin de notificar los ficheros a la Autoridad de Control Competente queda
sustituida por la de documentar los elementos que hemos mencionado anteriormente.
Para concluir en ambos roles, tanto el del responsable y encargado del tratamiento pondrn el
registro a disposicin de la autoridad de control y de todos los usuarios que quieran acceder al
mismo, por lo que a nuestro entender el Registro de las actividades de tratamiento ser
pblico y primordialmente de acceso pblico.
responsabilidad del responsable del tratamiento. Es decir a mi juicio podemos estar ante una
exigencia de tratamiento de los datos personales accesoria a la que expone primordialmente el
Reglamento General de Proteccin de Datos, posiblemente estemos ante un caso como los que
han ocurrido acerca de la regulacin de la estructura de determinados ficheros, vase el ejemplo
de los ficheros de morosos, regmenes disciplinarios, en el que se homologan datos personales
que puedan considerarse especiales a un mismo rgimen de proteccin.
En mi opinin pese a tener algunos ejemplos que encaminen este apartado estamos de nuevo ante
una inseguridad jurdica.
Por otro lado de cara a los autnomos se recoge la particularidad de la habitualidad, es decir
se contempla que estn obligados a las condiciones anteriores siempre y cuando traten datos
personales de forma habitual en su negocio, cuestin esta que deja grandes lagunas acerca del
alcance del concepto de habitualidad en su negocio, de nuevo creo que estamos ante una
inseguridad jurdica que ser regulada con el paso del tiempo, aunque de nuevo el patrn anterior
ser regulado por el sentido comn en este caso, a mi juicio si el negocio o actividad empresarial
de la que hablamos trata de forma manifiesta datos personales, vase el ejemplo de una
tintorera, donde existe una relacin de clientes, direcciones, nombres, se enva la ropa a sus
casas, estaremos de forma clara ante un mbito del Reglamento General de Proteccin de
Datos, pero sin embargo una frutera que no despache fruta a domicilio, ni tenga ningn tipo de
recogida de datos de los clientes y similares, podra estar excluida de dicha aplicacin.
As mismo para las PYMES y autnomos tambin se contemplan una serie de sanciones
inferiores a la hora determinar el cumplimiento del susodicho Reglamento y tambin por otro
lado tambin a modo de excepcin se marca la no obligatoriedad de la figura del Data
Protection Officer.
12.
servicios
Capacidad de restaurar la disponibilidad y acceso a los datos personales en caso de
incidente
Un proceso de verificacin, evaluacin y valoracin regular de la eficacia de las
medidas tcnicas y organizativas para garantizar la seguridad del tratamiento.
En grandes lneas las diferencias comparativas que encontramos entre el Reglamento General
de Proteccin de Datos y la actual legislacin espaola de proteccin de datos, en cuanto al
primero solo se dispone legalmente del deber de implementar medidas tcnicas y organizativas
apropiadas para garantizar un nivel de seguridad adecuado en relacin con los riesgos que
entrae el tratamiento y la naturaleza de los datos que deban protegerse, partiendo de las
tcnicas existentes y los costes asociados a su implementacin. Por el contrario en la segunda
parte con referencia a la legislacin espaola, el Reglamento de desarrollo de la LOPD,
concretamente en su ttulo VIII, en donde se especifica de las medidas tcnicas y organizativas
concretas en donde tambin se detalla que todo responsable / encargado del tratamiento tiene
que aplicar obligatoriamente en el tratamiento automatizado y no automatizado en funcin de la
naturaleza que presenten los datos, ya sean de nivel bsico, medio y alto.
13.
14.
cuando sea probable que un tipo de tratamiento suponga un alto riesgo para los derechos y
libertades de las personas.
En cambio con la actual legislacin espaola se especifica que a partir del tratamiento de datos
de nivel medio, ser cuando los sistemas de informacin e instalaciones de tratamiento y
almacenamiento de datos se sometern a los procesos de auditoria cada dos aos, a una
15.
En cuanto a esta figura de nueva creacin que contempla el actual Reglamento General de
Proteccin de Datos de forma general recoge que la obligacin de crear y/o designar una
persona que se encargue de estas cuestiones. Siendo tarea del responsable y/o en su defecto del
encargado del tratamiento de designar un Delegado de proteccin de datos siempre que:
-
La creciente presin normativa - voluntaria y jurdica - acta, sin duda, como decisivo
catalizador de las numerosas iniciativas que, a da de hoy, se estn abordando bajo la premisa de
configurar un adecuado marco de transparencia, conformidad legal y buen gobierno, tanto en
organizaciones del sector pblico como del privado, todo ello en el marco de la proteccin de
datos.
Dentro de esta corriente regulatoria destaca, de manera singular, la evolucin que, en las ltimas
dcadas, se ha observado en la reglamentacin en materia de proteccin de datos de carcter
personal.
Es por ello que encontramos necesario optar por una serie de medidas para alinearse con las
exigencias legales actuales y emergentes. Entre tales medidas, merece una especial mencin la
constitucin de un Comit corporativo de Proteccin de Datos sobre el que actualmente deber
recaer la responsabilidad de definir, revisar, gestionar y proporcionar el debido asesoramiento en
el mbito especfico del tratamiento que ha de darse a los datos de carcter personal.
Dicho Comit es el encargado de velar por la correcta aplicacin de la normativa de datos de
carcter personal en las empresas que cuenta con ms de 250 trabajadores, segn se estipula en el
reglamento Europeo de Proteccin de Datos, o en otra palabras la instauracin de la figura del
Data Proteccin Officer, que al tratarse de una figura tcnica, legal y multidisciplinar de forma
prctica, a mi juicio, debe ser desarrollada bajo el amparo de una Oficina Local de Proteccin de
Datos, donde al menos debe existir la figura de Data Proteccin Officer, y del Data Proteccin
Legal Consultant, y en algunos casos alguna figura auditora.
A continuacin vamos a desarrollar el concepto del Data Proteccin Officer, como aquella
persona independiente en la empresa, con una funcin claramente preventiva y proactiva, el cual
supervisa, coordina y transmite las normativas, polticas y dems cdigos de proteccin de datos
tanto en el entorno empresarial como en las relaciones externas de la entidad, actuando como
nexo de unin y coordinacin con el o los Responsables del Fichero y/o Encargado del
tratamiento y el afectado, as mismo tambin deber mantener una relacin directa con el rgano
de control.
Sin olvidar la otra figura mencionada en este trabajo, denominada Data Proteccin Legal
Consultant, que podemos definir como aquella persona, independiente o no de la empresa, con
una funcin claramente de asesora legal en las cuestiones diarias, puede asesorar
preventivamente o no, debe supervisar las adaptaciones de normativa, poltica y dems cdigos
en funcin de la actualidad y necesidades legales ordinarias. Esta figura depender directamente
del Data Proteccin Officer y sus informes de asesora no sern vinculantes.
El denominado Comit corporativo de Proteccin de Datos ha pasado a denominarse Oficina
Local de Proteccin de datos, en adelante OLPD, lugar este donde se encuadra la figura del
DPO y DPLC, denomnanos as a este ltimo como el Data Proteccin Legal Consultant.
El objetivo de profesionalizar las actividades de la Oficina Local de Proteccin de Datos y de
ayudar a su institucionalizacin dentro de las organizaciones, se puede llevar a cabo conveniente
mediante la redaccin de un Reglamento Interno que definiera y regulara la misin del rgano
as como determinase su composicin y funciones.
La Oficina Local de Proteccin de Datos podr ser referida igualmente como Responsable de
Seguridad de los Datos de Carcter Personal, en tanto en cuanto se trata de un rgano encargado
del marco de control interno en las empresas, en donde se mantiene y garantiza la conformidad
con la Ley Orgnica 15/1999, de 13 diciembre, de Proteccin de Datos de carcter personal y su
normativa de desarrollo. El Responsable del fichero, representado por el Director de la unidad
correspondiente, o Responsable de Seguridad sern las personas encargadas de coordinar y
controlar las medidas definidas en el Documento de Seguridad.
Por otro lado debemos destacar en el mbito de la Oficina Local de Proteccin de Datos la
misin a la cual se destina y se crea, puesto que estamos ante un rgano supervisor de las
actividades llevadas a cabo por la entidad empresarial en el mbito de la proteccin de los datos
de carcter personal, en consonancia con los preceptos de la normativa legal vigente y las
polticas internas del mismo.
Bajo esta premisa, sern funciones de la OLPD la definicin, la supervisin y la gestin de las
actividades vinculadas a garantizar el adecuado nivel de seguridad de los activos de informacin
personal que sean objeto de tratamiento por parte de los tcnicos, colaboradores y resto de
personal de las entidades empresariales en cuestin.
En este sentido, el inters de la citada Oficina se extender tanto a los datos de los que sean
titulares las diferentes empresas del Grupo como a los Responsables del fichero como a aquellos
otros, titularidad de terceros, que sean accedidos, consultados, procesados, almacenados, o de
cualesquiera otro modo, tratados como Encargados del tratamiento, durante la ejecucin de los
servicios profesionales que cualquiera de las empresas del Grupo, a consecuencia de la
prestacin de los mismos a sus clientes.
Asimismo, ser objetivo de la OLPD constituirse en verdadero rgano asesor del Comit de
Direccin en materia de proteccin de datos, para lo que se tendr asignadas las oportunas
funciones. Entre ellas se contarn, al menos con:
Verificar y velar por el cumplimiento de la normativa legal u otra de naturaleza interna
o externa (contratos u otros) e informar al Comit de Direccin de su acatamiento;
Verificar la existencia y el acatamiento de normas y cdigos de conducta en lo que
afecten a la proteccin de datos de carcter personal;
Emitir opinin acerca del plan peridico de auditoras y verificar su cumplimiento;
Vigilar y notificar posibles situaciones en las que se den conflictos de inters, con la
consiguiente merma de independencia (tanto por parte de los miembros de la propia
OLPD, como de los auditores que intervengan en los preceptivos trabajos de auditora);
Emitir opinin acerca de la designacin y desvinculacin del equipo de auditora
(interno o externo) encargado de realizar las auditorias establecidas al menos
bienalmente;
Evaluar el rendimiento de la funcin de auditora y, por ende, del equipo de auditores.
16.
a. Cdigos de Conducta
A raz de lo argumentado anteriormente abordado, el cual est actualmente recogido en el
Reglamento General de Proteccin de Datos de futuro acogimiento al ordenamiento espaol,
podemos decir que los Estados miembros de la Unin Europea, sus autoridades de control, el
12 Garriga
Domnguez, Ana: Nuevos retos para la proteccin de datos personales: en la Era del
Big Data y de la computacin ubicua. Editor: Dykinson. Madrid 2015.
b. Certificacin
Por otro lado en el artculo 42 del susodicho Reglamento se recoge otra facultad que se le otorga
al futuro Comit Europeo de Proteccin de Datos y a la Comisin Europea, en dichos rganos se
deber crear un clima para promover la creacin de mecanismos de certificacin en materia de
proteccin de datos con el objetivo de cumplir y demostrar con lo dispuesto a lo largo del
Reglamento General de Proteccin de Datos puesto que en l se recoge que las operaciones
de tratamiento de datos de los responsables y encargados debe existir dicha justificacin.
17.
siempre y cuando se trate de casos especiales y puntales o cuando existan garantas iguales a las
del mbito europeo que garanticen la necesidad de garanta.
Por lo tanto entre las diferencias entre el futuro Reglamento General de Proteccin de Datos y
la actual normativa espaola de proteccin de datos se fundamenta en que las Transferencias
internacionales podrn llevarse a cabo siempre que se cumpla una serie de condiciones y
salvaguardas, en particular cuando la Comisin haya decidido que existe un nivel adecuado de
proteccin. Estas transferencias no requerirn como hemos visto de ninguna autorizacin
especfica, en cambio en la actual normativa no se podrn realizar transferencias de datos en
mbito internacional como se recogen en la actual normativa espaola donde le nivel de
proteccin y tratamiento del pas de origen y destino no sea el mismo, como recoge la Ley
Orgnica de Proteccin de Datos, salvo que se obtenga autorizacin previa de la Direccin
de la Agencia Espaola de Proteccin de Datos.
concreto de una entidad que opera en varios pases, ello debe al poder de posicin que tiene la
autoridad francesa en el mbito europeo.
Quiero darle importancia a este apartado, porque estamos hablando de la primera accin conjunta
en mbito de instruccin contra un mismo individuo que opera en varios estados miembros de la
Unin Europea, adems de tratarse a mi juicio de una de las primeras actividades coordinadas de
las que viene a implementar el Reglamento General de Proteccin de Datos, de ah la
importancia que quiero darle a este apartado, incluso llegando a la consecucin de una sancin
conjunta contra en este caso Facebook.
Rusia a raz de la cada del Safe Harbour, ha visto como muchos nichos de mercado se han
trasladado al territorio europeo, vase Facebook, Google, etc, es ms ha visto como
servidores-operadores europeos han elevado su cuota de mercado gracias a ello, todo ello
mientras se tramita el nuevo escudo europeo se ha trasladado a una nueva oportunidad de
negocio. Cuestin esta que las autoridades rusas no han dejado pasar.
Adems para adecuarse a un posible nuevo acuerdo con la Unin Europea, muy al contrario de
los Estados Unidos de Amrica, Rusia ha procedido a crear una autoridad de proteccin de datos
en su territorio de cobertura federal, cuestin esta que se hace imposible debido a la distribucin
territorial, poltica y legislativa que posee los Estados Unidos de Norte Amrica.
Para concluir estamos viendo como a raz de este Reglamento General de Proteccin de Datos
se han producido unos grandes movimientos polticos, econmicos y sociales para ganar peso y
potencia en el mercado del tratamiento de datos personales, porque como hemos visto a lo largo
de la realizacin de este Mster, los datos personales son beneficios econmicos.
18.
Investigar y denunciar
Estudio novedades en tecnologas, transformacin digital, Big Data y Internet of
Things
de datos
Emitir autorizaciones de tratamientos de datos
Informar y publicar los cdigos tipo
Aprobar los BCRs
Cooperacin entre empresas, Autoridades de control y dems instituciones.
Supervisar el cumplimiento del Reglamento General de Proteccin de Datos.
Participar en el Consejo Europeo de Proteccin de Datos
Formacin y promocin de la proteccin de Datos
Por otro lado las autoridades de control a raz del Reglamento General de Proteccin de Datos,
tendrn atribuidas una serie de poderes como:
-
Para continuar debemos resaltar que el futuro Reglamento recoge la caracterstica fundamental a
estas Autoridades de Control, estamos hablando de su carcter de independencia, que viene
recogido en su artculo 52, en l se detalla expresamente que cada autoridad de control actuar
con total independencia de los distintos poderes polticos, legislativos e incluso judiciales en
el desempeo de sus funciones y en el ejercicio de sus poderes todo ello siempre de conformidad
con el Reglamento General de Proteccin de Datos.
Por ultimo podemos concluir en este apartado a modo de comparativa con la legislacin espaola
actual como venimos haciendo a lo largo de este Trabajo de Fin de Master, que con el futuro
Reglamento cuando haya varias autoridades de control en un Estado miembro, dicho Estado
estar obligado a designar una autoridad de control principal, que en nuestro caso a bien
seguro ser la Agencia Espaola de Proteccin de Datos, donde el Reglamento manifiesta que
debern encontrarse representadas las distintas otras autoridades de control del pas,
19.
En este epgrafe voy a desarrollar la figura de nueva creacin en las instituciones europeas, que
nacer a raz del nuevo Reglamento General de Proteccin de Datos, estoy hablando del
Comit Europeo de Proteccin de Datos en cual viene desarrollada su creacin en el artculo
68 del Reglamento en cuestin, en dicho Reglamento se recoge que dicho Comit estar
compuesto por el director de una autoridad de control de cada Estado miembro y por el
supervisor Europeo de Proteccin de Datos, eso en cuanto a su formacin y su composicin.
Pero en cuanto a las funciones que le son atribuidas en este artculo se recogen las siguientes:
-
peridica.
El Comit llevar un registro pblico de los organismos acreditados para ejercer
20.
Responsabilidad y Sanciones
Este es uno de los apartados claves de este Trabajo Fin de Mster y tambin del propio
Reglamento puesto que es una de las claves de la normativa en cuestin y donde se apoya todo el
contorno de la finalidad de la creacin de esta norma.
En cuanto a la responsabilidad se determinan en el artculo 82 del Reglamento General de
Proteccin de Datos que cualquier responsable que participe en la operacin de tratamiento de
datos, responder de los daos y perjuicios causados en caso de que dicha operacin no cumpla
lo dispuesto por el propio Reglamento.
As mismo el responsable determinado en relacin a lo mencionado anteriormente ser
responsable de los prejuicios provocados por el tratamiento solo en aquellos casos en los que no
se haya cumplido con las respectivas obligaciones del el Reglamento General de Proteccin de
Datos.
Para determinar la reclamacin y la presentaciones de las mismas por parte de los interesados a
las Autoridades de control, debemos entender que cualquier persona puede presentar denuncia
ante la vulneracin en el tratamiento de sus datos personales, as mismo la capacidad jurdica del
Reglamento permite reclamar sobre aquellas normas que sean obsoletas en la proteccin de
datos, no se acordes a la nueva proteccin y sean contradictorias.
Adems se reconoce a travs de este Reglamento los derechos de las personas fsicas, de nuevo
sin perjuicio de los recursos administrativos o jurdicos a su alcance a los cuales puede acudir,
para el logro de cualquier satisfaccin.
Por otro lado las sanciones que vienen recogidas en el artculo 83 del el Reglamento General de
Proteccin de Datos define los conceptos y cuantas a los que se someten a los responsables del
incumplimiento, puesto que debemos entender que no existe un solo criterio a efectos de cuanta
a nivel europeo, sino que algunos pases ni existen cuantas para las sanciones ni tampoco
Autoridades de Control. Por otro lado dentro de este marco regulatorio se regula de nuevo la
figura del apercibimiento, aunque ahora solo se limita a dos opciones, que estemos ante
personas fsicas sin inters comercial, o en las PYMES y autnomos sin tratamiento de datos
personales de manera habitual.
Con la actual normativa reglamentaria de mbito europeo existen multas que llaman la atencin
porque llegan hasta los 20 millones de euros o el 4% del volumen de la entidad en
representacin de su negocio anual mundial. Tambin se delimita al acumulacin de sanciones
es decir, si un responsable o encargado del tratamiento de datos incumpliera las condiciones
recogidas en el Reglamento General de Proteccin de Datos de forma intencionado o
negligente por su parte y en varias ocasiones, el Reglamento recoge que el importe de la sancin
correspondiente o total de la multa no podr exceder de la cantidad prevista para la sancin ms
grave en nuestro Reglamento de estudio.
Para concluir podemos decir que las grandes diferencias que residen en este reglamento con
respecto a la actual normativa espaola, son que el nuevo rgimen sancionador tiene toda la
intencin de ser ms estricto, porque como podemos apreciar se tratan de multas que oscilan en
su mximo en los veinte millones de euros o el 4% del volumen de negocio total o anual de la
empresa o entidad, por el contrario la actuales sanciones que recoge la Ley Orgnica de
Proteccin de Datos, parten de:
-
Siendo estas sanciones destinadas nicamente a las entidades privadas, por lo tanto no a todas las
entidades como recoge el Reglamento.
Por ltimo los criterios de graduacin de las sanciones, varan en funcin de la naturaleza,
gravedad y duracin de la infraccin, tambin se tiene en cuenta la intencionalidad o negligencia,
as como el grado de responsabilidad y reincidencia.
21.
new european data protection regime. Editor: Tirant Lo Blanch. Castelln 2015.
22.
Necesidad a partir de este momento de realizar una vigilancia contina de los informes o
textos legales que publique la AEPD para la trasposicin del RGPD a la legislacin
espaola, para poder conocer si el RGPD es una ley de mximos, de mnimos o complementaria
a la legislacin espaola. Ser necesario conocer finalmente qu partes de la legislacin espaola
seguirn vigentes y qu partes sern revocadas.
Necesidad, a partir de la entrada en vigor del RGPD, de que las empresas realicen anlisis de
riesgos para determinar las medidas de seguridad a implantar y que estarn en funcin no solo de
la naturaleza de los datos (como hasta ahora) sino de la naturaleza del tratamiento.
Necesidad de implementar metodologas de mercado para realizar el Anlisis de Riesgos.
Necesidad de coordinar las actividades de anlisis de riesgos de privacidad y de anlisis de
riesgos de seguridad de la informacin que actualmente se estn llevando a cabo, para
aprovechar sinergias.
23.
Conclusiones
Es por ello que a raz de todas estas premisas me atrevo a definir una serie de
caractersticas que debe poseer un Data Protection Officer:
o Conocimiento especializados en Derecho de nuevas tecnologas y Proteccin de
Datos
o
o
o
o
o
Por otro lado las empresas que no tengan claramente delimitado su territorio empresarial
debern designar la ventanilla nica a la cual dirigirse, vase por ejemplo aquellas
empresas que se encuentran legalmente establecidas en varios territorios dentro de la
Unin Europea. Esta cuestin ser de suma importancia, puesto que la autoridad de
control seguir siendo lo misma y con el mismo personal, por ello la reputacin ser
importante.
Ejemplo a esto ser por ejemplo si podemos elegir entre varias autoridades de control,
por ejemplo la espaola o la Polaca, sera importante lidiar con esta ltima debido al
carcter sancionador de la espaola y el aumento de sanciones que puede hacer peligrar el
negocio.
Dentro de las cuestiones que debern tener en cuenta las empresas en cuanto a la
implantacin de este Reglamento General de Proteccin de Datos, destaco aquellas
normas especficas que favorecen la innovacin. De entre ellas cabe destacara aquellas
que surgen para establecer las garantas de proteccin de datos en los productos y
servicios, tanto en la creacin, disposicin, distribucin y uso de los mismos, desde un
punto de vista enclavado en el Privacy by Design. Por otro lado en cuanto al uso de la
tecnologa en el tratamiento de datos las empresas debern tener en consideracin,
aquellos usos, estudios o tratamientos que recurran al Big Data porque este ser uno de
los sectores donde ms aplicar y tendr incidencia estas normas del Reglamento.
Otro punto a destacar para las empresas deriva del ahorro de costes que supone la
eliminacin de parte de la burocracia, puesto que el coste por notificacin y relacin
administrativa con la autoridad de control desaparece, siendo un ahorro nada despreciable
para las empresas.
Por ultimo voy a concluir una definicin del concepto de Privacy by Design, para situar
mejor estas conclusiones, inicio las mismas dejando constancia que no existe una definicin
limitada tanto en la normativa como en la cultura social, parar mi es la siguiente: La Privacy
by Design es aquella configuracin predeterminada o por diseo, que acta en la
totalidad de la funcionalidad del servicio o bien prestado con datos personales, que
garantiza la seguridad de los datos durante todo el proceso del tratamiento, de forma
transparente, de cara a los derechos del usuario y siempre se realiza de forma proactiva
y preventiva para evitar las posibles violaciones de seguridad sobre esos datos
personales.
24.
Bibliografa y Referencias
UE, Editor: ISMS Forum Spain and Data Privaccy Institute. Madrid 2012.
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal
Maxwell, Joseph A.: Qualitative research design. An interactive approach. Editor: Sage
1144-2007, Publicacin:
Lex Nova. Valladolid 2007.
Rallo Lombarte, Artemi: Hacia un nuevo derecho europeo de proteccin de datos:
VA
towards a new european data protection regime. Editor: Tirant Lo Blanch. Castelln
2015.
Reglamento del Parlamento Europeo y del Consejo relativo a la proteccin de las
personas fsicas en lo que respecta al tratamiento de datos personales y a la libre
30/11/2000.
Sentencia TJUE de 6 de Octubre de 2015 / Asunto C-362/14.
Sempere Samaniego, Fco. Javier: Comentarios prcticos a la Propuesta de Reglamento de
Proteccin de Datos de la Unin Europea. Madrid 2013.