Autoridades Europeas de Protección de Datos expresan su opinión sobre la futura reforma. Dictamen del Grupo del Artículo 29 de octubre de 2012.
El llamado Grupo del Artículo 29, en el cual están representadas las Autoridades de Control a nivel europeo, ha aprobado recientemente el Dictamen 8/2012 en el cual expresan su parecer sobre la reforma del marco normativo de protección de datos.
Esta reforma, como muchos ya sabrán, supondrá la sustitución de la vigente Directiva 95/46 por un Reglamento de aplicación directa en todos los Estados miembros. En otras palabras, se trata de que cada país no tenga una regulación diferente, además de adecuar la normativa a los últimos avances tecnológicos así como la introducción en un texto legal de “herramientas”, como pueden ser los “PIA” o los “Sellos de calidad y certificación”.
Este nuevo Dictamen comienza con una introducción sobre las actividades que paralelamente están realizando el Parlamento Europeo y la Comisión. Respecto al primero, en el seno del Comité de Libertades Civiles, Justicia y Asuntos de Interior se han realizado diversos estudios que han supuesto la elaboración de un documento de trabajo en el que se ha señalado aquellos puntos que deben ser clarificados.
Entre ellos, podemos citar, el papel de la Comisión respecto a la ejecución de actos delegados que le concede el proyecto de Reglamento; las nociones de “interés legítimo”, “interés público” y “seguridad pública”; así como las posibilidades para fomentar la privacidad por diseño y por defecto.
En cuanto a la Comisión, también se han llevado a cabo los respectivos estudios a través del grupo DAPIX, resaltando que no debe haber una diferenciación a la hora de aplicar la normativa entre el sector público y privado, si bien respecto al primero debe haber algún grado de flexibilidad (esto suena a que no se pongan sanciones económicas en caso de incumplimiento), así como si los requisitos formales deben adaptarse en relación a la capacidad de las empresas (o responsable), el volumen de datos tratados o los riesgos que dicho tratamiento pueda sufrir.
Por lo que se refiere ya al punto de vista del Grupo del Artículo 29, al igual que en su anterior Dictamen 1/2012, se enfoca principalmente en las definiciones de dato de carácter personal y consentimiento.
Sobre la definición de dato de carácter personal, propone que se introduzca en el considerando 23 y en el artículo 4 la referencia a “cualquier información que permita identificar a una persona y se tratada de forma diferente”.
Su justificación se muestra con el siguiente ejemplo: cuando se trate de un grupo de personas y se pueda distinguir a cada uno de sus miembros, y de esta forma, realizar ese trato diferente.
Además, y en relación con el considerando 24 en virtud del cual, en la redacción actual algunos datos como los de geolocalización pueden no ser datos de carácter personal en todas las circunstancias, podría restringir mucho tal consideración, de manera que algunos datos, como la IP o ID de las cookies no tendría tal carácter. Por ello, se debería introducir en el mencionado considerando 24 que como regla general, los mencionados datos deben considerarse como personales.
En cuanto al consentimiento, se hace referencia al Dictamen 15/2011 del Grupo, que insiste en la necesidad de asegurar que el consentimiento se utilice de forma adecuada, es decir, reforzarlo, de manera de que cuando se solicite para el tratamiento de los datos se haga de forma clara.
En este sentido, que el artículo 4 contemple la palabra “explícito”, de manera que estemos ante un consentimiento expreso y no tácito, no hace más que proteger al titular de los datos, especialmente el ejercicio de sus derechos a través de Internet.
Además, la combinación del mencionado artículo 4 con el 7 (excepciones en las que no es necesaria la regla del consentimiento) permite asegurar un adecuado régimen del consentimiento en diferentes situaciones. Recuerda el Grupo que respecto al consentimiento de las cookies se ha mostrado flexible (ver excepción en el Dictamen 4/2012).
Por otra parte, y como era de esperar, el Grupo critica las amplias facultades que el texto otorga a la Comisión para dictar actos ejecutivos o que desarrollen determinados preceptos del texto del proyecto de Reglamento. El Grupo haciendo uso de que la finalidad del mismo que no es otra que interpretar las normas de aplicación en el ámbito europeo considera que debería ser consultado en la adaptación de estos actos. Recordemos que con la nueva norma el Grupo pasa a denominarse “European Data Protection Board”.
Por último, el Dictamen tiene un Anexo en el que se hacen algunas precisiones de otros artículos de la propuesta sobre si es necesario algún tipo de acto normativo que los desarrolle o no. Entre ellas podemos destacar las siguientes:
– Derecho al olvido: puesto que no se pueden recoger todas las situaciones relevantes debe existir algún instrumento para asegurar la aplicación de este derecho, que a su vez de seguridad jurídica a los titulares de los datos y a los responsables.
– Delegado de protección de datos: también se recomienda un desarrollo en el que se especifique sus funciones, certificación y poderes. En ella podría colaborar vía asesoramiento el “European Data Protection Board”.
– Cuantía de las sanciones económicas: otro supuesto para desarrollar, si bien en este caso sería para actualizar las cuantías de las mismas.
Descarga de este Dictamen 8/2012 (en inglés): aquí.