El nuevo marco europeo de protección de datos

Las faltas de asistencia al trabajo pueden ser la causa del despido de un trabajador, y ello tanto si las faltas de asistencia son justificadas, como en el caso de ser injustificadas, en el primer caso el despido ha de ser un despido objetivo, en el segundo será un despido disciplinario.

Introducción

Al cumplirse 30 años desde la fecha de adopción del Convenio 108para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, en el año 2012, el Consejo de Europa aprobó una hoja de ruta para emprender una profunda reforma de la normativa europea en materia de protección de datos que estaba constituida, en esa fecha, por:

  • La Directiva 95/46/CE3, adoptada en 1995 con un doble objetivo: defender el derecho fundamental a la protección de datos y garantizar la libre circulación de estos datos entre los Estados miembros.
  • Y la Decisión Marco 2008/977/JAI, en su calidad de instrumento general a escala de la Unión para la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal

Los motivos de esta voluntad de reformar la normativa europea de protección de datos fueron, por una parte, el rápido avance tecnológico. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de desarrollar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. En suma, pues, la tecnología ha transformado tanto la economía como la vida social

Y, por otra parte, la falta de confianza en el entorno en línea, que hace que los consumidores vacilen a la hora de adquirir productos en línea y adoptar nuevos servicios, con lo que se corre el riesgo de que se ralentice el desarrollo de usos innovadores de las nuevas tecnologías. La protección de datos personales desempeña, por tanto, una función esencial en la Agenda Digital para Europa y más concretamente en la Estrategia Europa 2026.

Así pues, si bien el marco jurídico existente era adecuado por lo que respecta a sus objetivos y principios, no ha evitado, sin embargo, la fragmentación en cómo se aplica en la Unión la protección de datos de carácter personal, la inseguridad jurídica y la percepción generalizada de la opinión pública de que existen riesgos significativos, especialmente por lo que se refiere a la actividad en línea, motivos todos estos que aconsejaban su modificación.

Para ello se estudiaron diversas opciones y, finalmente, se optó por:

  • Un nuevo Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), y
  • una propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las autoridades competentes a efectos de la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y a la libre circulación de estos datos

Se considera que un Reglamento es el instrumento jurídico más apropiado para definir el marco de la protección de datos personales en la Unión. La aplicabilidad directa de un reglamento, reducirá la fragmentación jurídica y ofrecerá una mayor seguridad jurídica merced a la introducción de un conjunto armonizado de normas básicas, la mejora de la protección de los derechos fundamentales de las personas y la contribución al funcionamiento del mercado interior.

Se espera que este nuevo marco normativo conlleve, entre otras cosas: mejoras considerables en materia de seguridad jurídica para los responsables del tratamiento de datos y los ciudadanos, la reducción de la carga administrativa, la coherencia en la aplicación de la protección de datos en la Unión, la posibilidad efectiva para las personas físicas de ejercer sus derechos de protección de los datos de carácter personal y la eficiencia de la supervisión y la aplicación de la protección de datos

PRINCIPALES NOVEDADES DEL REGLAMENTO GENERAL DE PROTECCION DE DATOS
Actualiza las definiciones y los principios relativos al tratamiento de datos personales y su licitud, ampliando del concepto de dato personal para adaptarlo a la nueva era digital.Trata las condiciones relativas al consentimiento y, en particular, al consentimiento del niño;Recoge los derechos del interesado, incluyendo el derecho al olvido y a la portabilidad de los datosEstablece las obligaciones de los responsables y encargados del tratamiento de los datos, sustituyendo algunas de las obligaciones existentes, por procedimientos y mecanismos más eficaces a fin de aumentar la transparencia;Incluye la figura del delegado de protección de datos;Trata los códigos de conducta y la certificación, como instrumentos eficaces de autorregulaciónActualiza el régimen de las transferencias de datos personales a terceros países u organizaciones internacionales,Refuerza el marco de las autoridades de control y del Grupo de Trabajo del Artículo 29 que es sustituido por el Comité europeo de protección de datosY pretende establecer un régimen sancionador más uniforme a nivel europeo

Definiciones y principios

Definiciones

Si bien algunas definiciones proceden de la Directiva 95/46/CE, otras se modifican, complementadas con elementos adicionales, o se introducen por vez primera. En este sentido merece destacar la ampliación del concepto de dato personal, al incluirse los datos genéticos que son los datos relacionados con características genéticas, heredadas o adquiridas (análisis cromosómico, análisis de ADN o de ARN o análisis de cualquier otro elemento que permita obtener información equivalente).

Entre los datos personales relativos a la salud se incluyen todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental como la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal o cualquier información relativa a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado.

Principios

Los principios de protección de datos deben aplicarse a toda información relativa a una persona física identificada o identificable. Estos principios son:

Licitud de tratamiento: tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

Limitación de la finalidad: recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;

Minimización de datos: adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

Exactitud: exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan;

Limitación del plazo de conservación: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado;

Integridad y confidencialidad: tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Responsabilidad proactiva: El responsable del tratamiento será responsable del cumplimiento de los anteriores principios y capaz de demostrarlo.

El consentimiento

El consentimiento para el tratamiento de los datos deberá ser “libre, específico, informado e inequívoco” y el responsable del tratamiento de los datos deberá poder probar que el titular “consintió el tratamiento de sus datos”. Por tanto, en virtud del principio de responsabilidad, el responsable del tratamiento aplicará las medidas adecuadas para poder demostrar que ese consentimiento se prestó en la forma adecuada.

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

Los niños merecen una protección específica de sus datos personales, ya que pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos concernientes al tratamiento de datos personales. Dicha protección específica debe aplicarse en particular, a la utilización de datos personales de niños con fines de mercadotecnia o elaboración de perfiles de personalidad o de usuario, y a la obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos directamente a un niño.

Se considerará lícito el consentimiento de los menores cuando tengan como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

El responsable del tratamiento hará esfuerzos razonables para verificar en tales casos que el consentimiento fue dado o autorizado por el titular de la patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología disponible

Derechos de los afectados

Los derechos que se reconocer a los afectados en esta nueva norma son:

  • El derecho a la Información y acceso a los datos personales
  • El derecho a la rectificación y a la a la portabilidad de los datos –incluyendo el importante Derecho de supresión («el derecho al olvido»);
  • Y el Derecho de oposición y decisiones individuales automatizadas incluida la elaboración de perfiles

Obligaciones de los responsables y encargados de tratamiento

La nueva regulación se base en el principio de la protección de datos desde el diseño y por defecto:

Protección de datos desde el diseño: El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados.

  • Hay garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad

Se introduce, como novedad, la obligación de notificara la autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, cualquier violación de la seguridad de los datos personales.

Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Asimismo, se impone el deber de consultar a la autoridad de control antes de proceder al tratamiento cuando la evaluación de impacto relativa a la protección de los datos muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo.

Por último, se introduce la obligación de llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, en lugar de una notificación general a la autoridad de control exigida por el artículo 18, apartado 1, y el artículo 19, de la Directiva 95/46/CE. Esta obligación no será de aplicación a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados.

En suma, pues, se suprime la obligación de inscripción de ficheros pero se introducen nuevas obligaciones como la de notifica a la autoridad competente cualquier violación de la seguridad de los datos personales, la de realizar obligaciones de impacto, o incluso consulta previa a la autoridad de control, antes de realizar operaciones de tratamiento que entrañen riesgo y la obligación de llevar un registro de las actividades de tratamiento.

El delegado de protección de datos

El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  • Cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • Cuando las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  • Cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10

Un grupo empresarial podrá nombrar un único delegado de protección de datos siempre que sea fácilmente accesible desde cada establecimiento y cuando el responsable o el encargado del tratamiento sea una autoridad u organismo público, se podrá designar un único delegado de protección de datos para varias de estas autoridades u organismos, teniendo en cuenta su estructura organizativa y tamaño.

El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos. Podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.

El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Además, deberán respaldar al delegado de protección de datos en el desempeño de sus funciones, facilitando los recursos necesarios para el desempeño y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados. Por último, deben garantizar que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones.

Códigos de conducta y certificación

Por una parte, la nueva normativa pretende incitar a las asociaciones u otros organismos que representen a categorías de responsables o encargados a que elaboren códigos de conducta, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores y las necesidades específicas de las microempresas y las pequeñas y medianas empresas. Dichos códigos de conducta podrían en particular establecer las obligaciones de los responsables y encargados, teniendo en cuenta el riesgo probable para los derechos y libertades de las personas físicas que se derive del tratamiento.

Por otra parte, se fomentan también el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes

Transferencias internacionales

Se parte del mismo principio vigente hasta la fecha de que podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado.

Dicha transferencia no requerirá ninguna autorización específica.

Entre los criterios que deberán tenerse en cuenta para que la Comisión evalúe si existe o no un nivel adecuado de protección se incluyen expresamente el Estado de Derecho, el recurso jurisdiccional y la supervisión independiente.

El Reglamento confirma ahora explícitamente la posibilidad de que la Comisión evalúe el nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país.

Para las transferencias a terceros países en relación con las cuales la Comisión no haya adoptado ninguna decisión de adecuación, se requiere que se aporten las garantías apropiadas, especialmente cláusulas tipo de protección de datos, normas corporativas vinculantes y cláusulas contractuales

La posibilidad de hacer uso de cláusulas tipo de protección de datos de la Comisión se basa en el artículo 26, apartado 4, de la Directiva 95/46/CE. Como novedad, ahora estas cláusulas tipo de protección de datos también pueden ser adoptadas ahora por una autoridad de control y ser declaradas generalmente válidas por la Comisión.

Las normas corporativas vinculantes se mencionan ahora específicamente en el texto jurídico. La opción de las cláusulas contractuales ofrece cierta flexibilidad al responsable o al encargado del tratamiento, aunque está sujeta a la autorización previa por parte de las autoridades de control.

Autoridades de control y comité europeo de protección de datos

Cada estado miembro establecerá que sea competencia de una o varias autoridades públicas independientes, supervisar la aplicación del presente Reglamento con el fin de proteger los derechos y las libertades de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.

Será el encargado de coordinar la actuación de las diferentes autoridades nacionales de control. Es un organismo autónomo de la Unión Europea, que tiene personalidad jurídica propia
El Consejo Europeo de Protección de Datos sustituye al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado con arreglo al artículo 29 de la Directiva 95/46/CE.

Se aclara que la Comisión no es miembro del Consejo Europeo de Protección de Datos, aunque tiene derecho a participar en sus actividades y a estar representada en el mismo.

El Supervisor Europeo de Protección de Datos llevará a cabo las tareas de secretaría del Consejo Europeo de Protección de Datos y especifica dichas tareas

Recursos judiciales, responsabilidad y sanciones

Se reconoce el derecho de cualquier interesado a presentar una reclamación ante una autoridad de control. Asimismo, especifica que los organismos, organizaciones o asociaciones que pueden presentar una reclamación en nombre del interesado o, en caso de violación de los datos personales, con independencia de la reclamación de un interesado.

También se prevé un recurso judicial por el que se obliga a la autoridad de control a actuar a raíz de una reclamación y aclara la competencia de los órganos jurisdiccionales del Estado miembro en que esté establecida la autoridad de control. Se ofrece la posibilidad de que la autoridad de control del Estado miembro en el que resida el interesado, ejercite, en nombre del interesado, una acción ante los órganos jurisdiccionales de otro Estado miembro en el que esté establecida la autoridad de control competente.

De mismo modo, se reconoce el derecho de los interesados a percibir una indemnización.

Por último, se obliga a los Estados miembros a establecer normas en materia de sanciones, imponiendo multas hasta un importe máximo del 4% de la cifra de negocios, atendiendo a las circunstancias específicas de cada caso.

A MODO DE CONCLUSIÓN

La reforma de la normativa europea de protección de datos introduce un conjunto único de normas sobre protección de datos válido para toda la UE. El nuevo Reglamento General de Protección de datos, como todo reglamento de la Unión y según establece su frase final, “será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro”.

Pese a que está en vigor desde el pasado día 24 de mayo, establece un período transitorio de de dos años, modo que no será de aplicación hasta el día 25 de mayo de 2018.

Y pese a que el Reglamento supone la derogación expresa de la Directiva 95/46/CE, no está derogada en cambio la normativa española de protección de datos (la LOPD y su reglamento de desarrollo); por lo que la pervivencia de estas dos normas suscita dudas acerca de su convivencia en materias tales como la obligatoriedad o no de seguir inscribiendo los ficheros, el papel que tiene que desempeñar la AEPD, etc.

Facebook
Twitter
LinkedIn
Email