Etiquetas
Publicado por

Introducción al nuevo Reglamento 2016/679 sobre protección de datos de carácter personal

La presente entrada identifica y resume varios de los principales aspectos del Reglamento 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de éstos. Este Reglamento deroga la anterior Directiva 95/46/CE dedicada a la misma materia.

Este Reglamento supone un cambio relevante tanto por las modificaciones sustanciales que incorpora como por pasar de una normativa que requería el desarrollo normativo de cada Estado miembro, provocando diferencias entre las normativas internas, a una norma de aplicación directa (Reglamento). Por lo tanto, será necesario que los Estados miembro reformen su normativa interna para adaptarla al Reglamento. En este sentido, cabe destacar que el Reglamento entra en vigor a los 20 días de su publicación, pero no será aplicable hasta el 25 de mayo de 2018, dando tiempo a los Estados miembro y las partes afectadas, para adaptarse a los cambios introducidos.

Se modifica el ámbito de aplicación territorial con el fin de extender el alcance de la normativa y garantizar que todo tratamiento de datos de personas de la Unión Europea cumple determinados requisitos mínimos. En este sentido el art. 3 del Reglamento establece lo siguiente como ámbito de aplicación:

1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

El Reglamento contempla expresamente que los Estados miembro puedan desarrollar normativa interna más específica respecto a las disposiciones contempladas en éste. Este desarrollo debe estar dirigido a precisar los requisitos y medidas de garantía para el tratamiento lícito y equitativo de los datos personales.

El Reglamento mantiene el mismo enfoque respecto a las condiciones para la licitud del tratamiento de datos personales, permitiendo éste, por ejemplo, cuando es necesario para la ejecución de un contrato en el que la parte afectada es firmante. El Reglamento mantiene el listado de cinco condiciones en virtud de las cuales el tratamiento es lícito, pero modificando ligeramente su redactado. Por ejemplo, en el caso de recabar el consentimiento del interesado, se añade que este debe estar dirigido al tratamiento de datos personales permitido para fines específicos. Las cinco condiciones son:
  1. El interesado prestó su consentimiento al tratamiento.
  2. El tratamiento es necesario para la ejecución de un contrato o precontrato en el que el interesado es parte.
  3. El tratamiento es necesario para el cumplimiento de una obligación legal del responsable de los datos.
  4. El tratamiento es necesario para proteger intereses vitales del interesado u otra persona física.
  5. El tratamiento es necesario para el cumplimiento de un fin de interés público conferido al responsable de los datos.
  6. El tratamiento es necesario para satisfacer intereses legítimos del responsable o un tercero, siempre y cuando no prevalezcan los intereses o derechos fundamentales del interesado.
El art. 7.1 del Reglamento contempla que la carga de la prueba respecto a la existencia de consentimiento al tratamiento es del responsable de los datos, tal y como ya se contemplaba en el art. 12.3 del RD 1720/2007, de 21 de diciembre, por el que se desarrolla la Ley Orgánica de protección de datos de carácter personal.

Artículo 8 contempla una edad límite a partir del cual los Estados miembro no podrán prestar su consentimiento para el tratamiento de sus datos personales. De este modo se fija un límite común a toda la Unión Europea, requiriendo siempre, en estos casos, el consentimiento del titular de la patria potestad o tutela del menor. Sin embargo, se permite a los Estados miembro rebajar la edad límite hasta 13 años (algo que no parecería muy razonable).

El Reglamento crea la figura del Delegado de Protección de Datos, con el fin de que las compañías tengan una persona al cargo de supervisar el cumplimiento de la normativa sobre protección de datos, así como cooperar con la autoridad de control. Esta figura se regula en los artículos 37 a 39 del Reglamento.

El Delegado de Protección de Datos tiene como funciones, básicamente, informar y asesorar al responsable y al encargado de los datos personales, supervisar el cumplimiento normativo y cooperar con la autoridad de control. El Reglamento permite expresamente que esta persona no tenga como únicas funciones las propias del Delegado de Protección de Datos, pero debe ser independiente en su cargo y no hallarse en conflicto de interés. No toda empresa está obligada a nombrar a alguien para dicho cargo, sólo administraciones públicas (no incluidas las judiciales en el ejercicio de sus funciones) y empresas que requieran una observancia de forma habitual y sistemática de interesados a gran escala. Es decir, la mayoría de empresas no están obligadas a nombrar un Delegado de Protección de Datos.

A los derechos ya contemplados de acceso, rectificación, cancelación y oposición, se añaden los derechos de supresión (derecho al olvido) y portabilidad.

Respecto al derecho de supresión, el art. 17 contempla varias circunstancias de las cuales debe darse al menos una, para obligar al responsable a suprimir los datos, como que: los datos ya no sean necesarios para su fi, se retire el consentimiento, se ejerza oposición, hayan sido tratados ilícitamente, deban suprimirse para el cumplimiento de una obligación legal o se hayan obtenido de niños en relación con una oferta de servicios de la sociedad de la información, conforme al art. 8.1 del Reglamento.

El mismo art. 17 contempla casos en los que no cabe imponer el derecho de supresión, esto es, cuando el tratamiento es necesario para: ejercer el derecho de libertad de expresión o información, cumplir con una obligación legal, por razones de interés público, para investigación científica o histórica, o para la formulación, ejercicio y defensa de reclamaciones.

Respecto al derecho a la portabilidad, el art. 20 permite al interesado a recibir del responsable sus datos y transmitirlos a otro responsable cuando: su obtención provenga del consentimiento prestado el interesado (art. 6.1 a y 9.2 a) o en cumplimiento de un contrato, o el tratamiento se efectúe por medios automatizados.
Enviar entrada por correo electrónico
Etiquetas:
Mergers and Acquisitions (M&A), Private Equity, Venture Capital, Private Funds and Sustainability Lawyer, Manager at PwC. Degree in Law awarded by Pompeu Fabra University (UPF), Master of Laws with honors at the Instituto Superior de Derecho y Economía (ISDE) and Master in International Business Law at ESADE. My main areas of practice are: M&A, corporate, venture capital, private equity, restructuring, SRI and banking and finance. For more information and contact me click on my name. You can also find me on LinkedIn.

Comentarios

Publicar un comentario