Introducción al nuevo Reglamento 2016/679 sobre protección de datos de carácter personal
La presente entrada identifica y resume varios
de los principales aspectos del Reglamento 2016/679 relativo a la protección de
las personas físicas en lo que respecta al tratamiento de datos personales y a
la libre circulación de éstos. Este Reglamento deroga la anterior
Directiva 95/46/CE dedicada a la misma materia.
Este Reglamento supone un cambio
relevante tanto por las modificaciones sustanciales que incorpora como por
pasar de una normativa que requería el desarrollo normativo de cada Estado miembro,
provocando diferencias entre las normativas internas, a una norma de aplicación
directa (Reglamento). Por lo tanto, será necesario que los Estados miembro
reformen su normativa interna para adaptarla al Reglamento. En este sentido,
cabe destacar que el Reglamento entra en vigor a los 20 días de su publicación,
pero no será aplicable hasta el 25 de mayo de 2018, dando tiempo a los Estados
miembro y las partes afectadas, para adaptarse a los cambios introducidos.
Se modifica el ámbito de
aplicación territorial con el fin de extender el alcance de la normativa y
garantizar que todo tratamiento de datos de personas de la Unión Europea cumple
determinados requisitos mínimos. En este sentido el art. 3 del Reglamento
establece lo siguiente como ámbito de aplicación:
“1. El presente Reglamento se
aplica al tratamiento de datos personales en el contexto de las actividades de
un establecimiento del responsable o del encargado en la Unión,
independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se
aplica al tratamiento de datos personales de interesados que residan en la
Unión por parte de un responsable o encargado no establecido en la Unión,
cuando las actividades de tratamiento estén relacionadas con: a) la oferta de
bienes o servicios a dichos interesados en la Unión, independientemente de si a
estos se les requiere su pago, o b) el control de su comportamiento, en la
medida en que este tenga lugar en la Unión.
3. El presente Reglamento se
aplica al tratamiento de datos personales por parte de un responsable que no
esté establecido en la Unión sino en un lugar en que el Derecho de los Estados
miembros sea de aplicación en virtud del Derecho internacional público.”
El Reglamento contempla
expresamente que los Estados miembro puedan desarrollar normativa interna más
específica respecto a las disposiciones contempladas en éste. Este desarrollo
debe estar dirigido a precisar los requisitos y medidas de garantía para el
tratamiento lícito y equitativo de los datos personales.
El Reglamento mantiene el mismo
enfoque respecto a las condiciones para la licitud del tratamiento de datos
personales, permitiendo éste, por ejemplo, cuando es necesario para la ejecución
de un contrato en el que la parte afectada es firmante. El Reglamento mantiene
el listado de cinco condiciones en virtud de las cuales el tratamiento es
lícito, pero modificando ligeramente su redactado. Por ejemplo, en el caso de
recabar el consentimiento del interesado, se añade que este debe estar dirigido
al tratamiento de datos personales permitido para fines específicos. Las cinco
condiciones son:
- El interesado prestó su consentimiento al tratamiento.
- El tratamiento es necesario para la ejecución de un contrato o precontrato en el que el interesado es parte.
- El tratamiento es necesario para el cumplimiento de una obligación legal del responsable de los datos.
- El tratamiento es necesario para proteger intereses vitales del interesado u otra persona física.
- El tratamiento es necesario para el cumplimiento de un fin de interés público conferido al responsable de los datos.
- El tratamiento es necesario para satisfacer intereses legítimos del responsable o un tercero, siempre y cuando no prevalezcan los intereses o derechos fundamentales del interesado.
El art. 7.1 del Reglamento
contempla que la carga de la prueba respecto a la existencia de consentimiento
al tratamiento es del responsable de los datos, tal y como ya se contemplaba en
el art. 12.3 del RD 1720/2007, de 21 de diciembre, por el que se desarrolla la
Ley Orgánica de protección de datos de carácter personal.
Artículo 8 contempla una edad
límite a partir del cual los Estados miembro no podrán prestar su
consentimiento para el tratamiento de sus datos personales. De este modo se
fija un límite común a toda la Unión Europea, requiriendo siempre, en estos
casos, el consentimiento del titular de la patria potestad o tutela del menor.
Sin embargo, se permite a los Estados miembro rebajar la edad límite hasta 13
años (algo que no parecería muy razonable).
El Reglamento crea la figura del
Delegado de Protección de Datos, con el fin de que las compañías tengan una
persona al cargo de supervisar el cumplimiento de la normativa sobre protección
de datos, así como cooperar con la autoridad de control. Esta figura se regula
en los artículos 37 a 39 del Reglamento.
El Delegado de Protección de
Datos tiene como funciones, básicamente, informar y asesorar al responsable y
al encargado de los datos personales, supervisar el cumplimiento normativo y
cooperar con la autoridad de control. El Reglamento permite expresamente que
esta persona no tenga como únicas funciones las propias del Delegado de
Protección de Datos, pero debe ser independiente en su cargo y no hallarse en
conflicto de interés. No toda empresa está obligada a nombrar a alguien para
dicho cargo, sólo administraciones públicas (no incluidas las judiciales en el
ejercicio de sus funciones) y empresas que requieran una observancia de forma
habitual y sistemática de interesados a gran escala. Es decir, la mayoría de
empresas no están obligadas a nombrar un Delegado de Protección de Datos.
A los derechos ya contemplados de
acceso, rectificación, cancelación y oposición, se añaden los derechos de
supresión (derecho al olvido) y portabilidad.
Respecto al derecho de supresión,
el art. 17 contempla varias circunstancias de las cuales debe darse al menos
una, para obligar al responsable a suprimir los datos, como que: los datos ya no
sean necesarios para su fi, se retire el consentimiento, se ejerza oposición,
hayan sido tratados ilícitamente, deban suprimirse para el cumplimiento de una
obligación legal o se hayan obtenido de niños en relación con una oferta de
servicios de la sociedad de la información, conforme al art. 8.1 del
Reglamento.
El mismo art. 17 contempla casos
en los que no cabe imponer el derecho de supresión, esto es, cuando el
tratamiento es necesario para: ejercer el derecho de libertad de expresión o
información, cumplir con una obligación legal, por razones de interés público,
para investigación científica o histórica, o para la formulación, ejercicio y
defensa de reclamaciones.
Respecto al derecho a la
portabilidad, el art. 20 permite al interesado a recibir del responsable sus
datos y transmitirlos a otro responsable cuando: su obtención provenga del
consentimiento prestado el interesado (art. 6.1 a y 9.2 a) o en cumplimiento de
un contrato, o el tratamiento se efectúe por medios automatizados.
Comentarios
Publicar un comentario