12 curiosidades del RGPD (Reglamento General de Protección de Datos)
Uno de los primeros documentos elaborados por la Agencia Española de Protección de Datos (AEPD) sobre el RGPD contemplaba 12 preguntas-respuestas, entre las que se incluía, por ejemplo, que implica la responsabilidad activa o cuál es la forma de obtener el consentimiento.
En homenaje a dicho documento, y utilizando también esa cifra, estas son las 12 curiosidades del RGPD.
1º El 4 de mayo
Ese día de 2016 se publicó el RGPD en el Diario Oficial de la Unión Europea. Pero ¿Qué ocurrió un 4 de mayo en otros años anteriores?
Pues el 4 de mayo de 1964 nació el actor (porno) Rocco Siffredi.
2º El 25 de mayo
Seguimos con el calendario. Dicho día de 2018 empezó a aplicarse el RGPD.
El 25 de mayo de 1939 nació el actor Ian McKellen que hizo de Gandalf en la trilogía de “los que siempre estaban andando”.
¿Es el RGPD un anillo para dominarlos a todos?
Por cierto, también encarnó a Magneto en X-Men. Queda claro que sobrevuela un ansia de poder sobre el RGPD. Anillos e hierro.
3º La protección de datos sirve a la humanidad
Así aparece en el considerando 4: “El tratamiento de datos personales debe estar concebido para servir a la humanidad”.
Buen apunte de @leoplus con ocasión de un debate en twitter sobre si el algoritmo de Iberia para repartir asientos separadamente, en el caso de no pagar por la elección, es una decisión automatizada que trata datos personales con efectos jurídicos o no. Al menos, nos cabrea mucho.
4º El consentimiento no ha muerto
Ya sabemos que el RGPD cambia el concepto de regla general del consentimiento y excepciones, a 7 bases de legitimación del tratamiento al mismo nivel que regula su artículo 6.
Pero ¿Realmente ha pasado a otra vida el consentimiento?
Al menos, en términos estadísticos, la respuesta debe ser negativa.
He aquí la clasificación final del número de veces que el texto del RGPD menciona las citadas 7 bases:
Consentimiento 68
Interés público 50 (69)
Poderes públicos 16
Interés legítimo 14
Obligación legal 12
Ejecución de un contrato 8
Intereses vitales 5
Pero…¿Qué es el “69” en el caso de interés público? Es el verdadero resultado, pero como bastantes se refieren al ámbito de archivo o científico, aplicamos “cocina estadística” y finalmente son “50”.
5º Frases molonas
Que el RGPD utiliza bastantes términos indeterminados está fuera de toda duda. Utilizando el hastag que alguna vez aparece en twitter de #abogadosmolones, destacamos estas tres #frases molonas:
Top 1
Respecto a la designación obligatoria de delegado de protección de datos “Actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”.
El impacto de este galimatías se mide en que el CEPD (antes WP29) ha tenido que interpretar que se entiende por “actividad principal”, “observación habitual”, “sistemática” y “gran escala”.
Habría que canonizar a quien inventó tal parrafada.
Top 2
Todo el relato del artículo 60 sobre “Cooperación entre la autoridad de control principal y las demás autoridades de control interesadas”. Más cercano a un “entramado societario” que a su verdadero fin.
Privacidad Lógica está valorando la posibilidad de abrir un concurso, eso sí, sin ningún tipo de premio para el ganador, al mejor artículo que desentrañe el significado del citado precepto. Se aceptarán esquemas y guía-burros.
Top 3
Aprovechamos para rendir pleitesía a una de las versiones del RGPD cuando era propuesta, concretamente la de junio de 2015, que contiene la frase más gloriosa e impactante (y farragosa) de todas las versiones de la norma europea.
Dicha frase decía así:
El interesado tendrá derecho a oponerse en cualquier momento, por motivos relacionados con su situación particular, a que datos personales que le conciernan sean objeto de un tratamiento basado en el artículo 6, apartado 1, letras e) o f), en la primera frase del artículo 6, apartado 4 leída conjuntamente con el artículo 6, apartado 1, letra e) o en la segunda frase del artículo 6, apartado 4.
¿Se imaginan a un delegado de protección de datos contestando esto ante una pregunta de un ciudadano sobre cuándo puede ejercer el derecho de oposición?
6º El artículo inaplicable
Se encuentra en el apartado 5 del artículo 30. Sí, ese de que no exista registro de actividades de tratamiento para las empresas de menos de 250 trabajadores. ¿Y eso? Pues porque requiere que se de alguno de sus condicionantes, entre ellos, no entrañe riesgo el tratamiento o sea ocasional, cuestión que no se da en la práctica. Y lo dice también el CEPD.
Así que, tanto este precepto como la última parte del considerando 13 (“Con objeto de tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, el presente Reglamento incluye una serie de excepciones en la materia de llevanza de registros para organizaciones con menos de 250 empleados”), se pueden enviar directamente a la “papelera de reciclaje”.
7º Decisiones automatizadas: “Contradiction is balance”
Resulta que según el considerando 70, al final del mismo, sobre las decisiones automatizadas, las garantías apropiadas serán “incluir información específica al interesado”, “derecho a obtener la intervención humana”, “a expresar su punto de vista”, “a recibir una explicación de la decisión tomada después de tal evaluación” y “a impugnar su decisión”.
Resulta que según el artículo 22.3, el responsable adoptará como mínimo….”el derecho a obtener la intervención humana”, “a expresar su punto de vista” y “a impugnar la decisión”. Teniendo en cuenta, que la información va por el artículo 13 del RGPD.
En resumen, lo de “recibir la explicación de la decisión tomada…”, se ha quedado por el camino, o a alguien le ha hecho una mala pasada el “copiar y pegar” del considerando al artículo 22.3.
Gracias a @EgilGlez por el apunte.
8º Delegado protección de datos: ¿Conocimientos del Derecho o de Derecho/normativa de protección de datos?
Dice el artículo 37.5 que el delegado “será designado…atendiendo a sus cualidades profesionales y, en particular a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos”.
Lo cual se puede interpretar como:
Conocimientos en Derecho + práctica en materia de protección de datos (interpretación masivamente aceptada)
Conocimiento en Derecho-normativa/práctica en materia de protección de datos
El caso es que si nos vamos a la versión en inglés, lo que se dice es lo siguiente:
“The data protection officer shall be designated on the basis of professional qualities and, in particular, expert knowledge of data protection law and practices and the ability to fulfil the tasks referred to in Article 39”.
Acudimos a otras fuentes –versiones de otros países del RGPD- para poder utilizar otra serie de factores que muestren más clarividencia (usando el traductor del Google):
Versión “Kubala” del RGPD:
El responsable de protección de datos está cualificado profesionalmente y, en particular, es experto en la legislación y la práctica de la protección de datos, y la capacidad de realizar las tareas mencionadas en el artículo 39.
Versión “Popescu” del RGPD:
El responsable de la protección de datos se designa sobre la base de las cualidades profesionales y, en particular, del conocimiento de un especialista en leyes y prácticas de protección de datos, y en la capacidad para realizar tareas contemplado en el artículo 39.
Que cada uno juzgue lo que estime conveniente.
Ciertamente, lo que le falta a este precepto del RPGD, para dotarlo de mayor realidad, es “deberá ser una persona con mucha paciencia”, ya que recibirá comentarios del tipo “Hay que consultar con el freak de los datos”, “Ya viene el de los datos a dar por culo”, “Es que siempre se ha hecho así”, “Esto es una empresa para ganar dinero y no una ONG para garantizar derechos”.
9º Dinamarca y Estonia
Ambos comparten el honor de tener un considerando dedicado, el 151. Razón: parece ser que no pueden imponer multas administrativas (económicas), y hay que pasar para ello por sus respectivos tribunales.
10º Existen al menos cuatro tipo de autoridades de control
Por ahora hemos encontrado 4 diferentes. No descartamos que aparezcan más, ya que cuanto más se leen los considerandos, más cositas surgen.
El listado de convocados es el siguiente:
– Las que controlan el tratamiento de datos en los órganos judiciales (considerando 20)
– Las de toda la vida: nacional y regionales (artículo 51)
– Las de iglesias y asociaciones religiosas (artículo 91.2)
Porque alguien me dijo, alguna vez, en alguna reunión, que existía una de este último tipo, más o menos situada por el norte de Europa.
Sigo buscando, y algún día la encontraré: sonando I’m still haven’t found what i’m looking for de U2.
11º Del 21-0 al 2-0
El RGPD contiene 99 artículos. La nueva LOPD 97. Resultado: 2-0. Gracias a la inclusión de los derechos digitales, que si no sería más propio de un partido de rugby que uno de fútbol: 21-0.
El orgullo patrio remontando.
Y la vuelta nos la llevamos: en cuanto aparezcan los desarrollos reglamentarios de las reclamaciones, estatuto de la Agencia y Códigos de Conducta, nos llevamos la eliminatoria.
*Podríamos haber computado para superar al RGPD las disposiciones adicionales y finales, pero claro, si el Imperio contrataca con sus considerandos, la derrota sería histórica. Mejor no despertar a la bestia. Incluso dudamos que con los refuerzos reglamentarios se cosechase la victoria.
12º Europa no olvida su triste Historia
Y en el RGPD está presente. De forma precisa en el considerando 158, segunda parte, cuando se menciona “Los Estados miembros también deben estar autorizados a establecer el tratamiento ulterior de datos personales con fines de archivo, por ejemplo, a fin de ofrecer información específica relacionada con el comportamiento político bajo antiguos regímenes de Estados totalitarios, el genocidio, los crímenes contra la humanidad, en particular el Holocausto, o los crímenes de guerra”.
BONUS TRACK:
¿Qué tienen en común más de 20 comunidades de propietarios, 2 empresas de azulejos, 4 de ferreterías, un restaurante japonés y otro chino, y dos fontanerías?
Pues que según el registro de delegados de protección de datos, han designado a uno.