Detalles del Reglamento Europeo P.Datos (versión Consejo junio 2015)

Miniatura noticia

Ya advertíamos en un post anterior sobre el texto actual de la reforma europea de Protección de Datos, el conocido como “Reglamento”, de las sugerencias del Grupo del Artículo 29 sobre el citado texto.

En este post, vamos a tratar de ir un paso más adelante, comentando algunas novedades, de esas que suelen pasar desapercibidas, calificadas como “curiosas”, así como algunos temas más que pueden provocar dificultades de aplicación práctica. Para cambiar la rutina tradicional de comentar una norma desde el principio hasta su final, empezamos justo al revés:

Con la iglesia hemos topado

En algún lugar de Europa, existe una autoridad de protección de datos cuya competencia es únicamente una iglesia o confesión. A esta conclusión llegamos de la lectura del párrafo 2 del artículo 85:

“Las iglesias y las asociaciones religiosas que apliquen normas generales de conformidad con el apartado 1 estarán sujetas al control de una autoridad de supervisión independiente que podrá ser específica, siempre que cumpla las condiciones establecidas en el Capítulo VI del presente Reglamento”.

Habrá que investigar, porque la posible existencia de una Autoridad de Control dedica exclusivamente a controlar los datos de una confesión o religión, da para un único post J

Sin tecnología pero con DNI

Una de las cuestiones más sorprendentes del texto de la futura norma Europea, es que no aparezca citada casi ninguna tecnología. Texto tras texto, ya sea de la Comisión, Parlamento o Consejo, está claro que nunca van convocados “Big Data”, “Internet de las Cosas”, “APPs” o “Drones”.

Es decir, sin que exista una regulación específica para los citados, se echa en falta un párrafo del tipo:

“Especial consideración deberán tener los responsables o encargados cuando realicen tratamiento de datos basados en el Big Data, Internet de las Cosas….etc”.

En este sentido, el Reglamento siempre se ha pronunciado como “neutral” desde el punto de vista tecnológico”, pero sí aparece citada una tecnología, concretamente en los PIAs, artículo 32.2.c):

“el seguimiento a gran escala de zonas de acceso público, en particular cuando se utilicen dispositivos optoelectrónicos”.

En resumen, ausencia de tecnologías, pero sí hay espacio para nuestro querido DNI, con la introducción del artículo 80 ter:

Los Estados miembros podrán determinar las condiciones específicas para el tratamiento de un número nacional de identificación o cualquier otro medio de identificación de carácter general. En este caso, el número nacional de identificación o cualquier otro medio de identificación de carácter general se utilizará únicamente con las garantías adecuadas para los derechos y las libertades del interesado con arreglo al presente Reglamento.

El Consejo modifica el régimen sancionador

En una primera lectura del nuevo texto del Consejo, es posible que no te des cuenta. Incluso en una segunda o tercera, porque dicha modificación se encuentra “casi-oculta”.

Seguramente pensarás al leer esto, “pues me voy al apartado de sanciones y ahí encontraré las modificaciones”. Pues no, porque se encuentra en el artículo 53 relativo a los poderes de las Autoridades de Control.

Como si de “hermanos gemelos” se tratasen, demos la bienvenida a “la advertencia” y la “amonestación”.

En este sentido, según el citado artículo 53.1.ter apartados a) y b), Cada Estado miembro dispondrá por ley que su autoridad de control tenga, como mínimo, los siguientes poderes correctivos:

formular a todo responsable o encargado del tratamiento una advertencia cuando las operaciones de tratamiento previstas puedan infringir disposiciones del presente Reglamento;

formular a todo responsable o encargado del tratamiento una amonestación cuando las operaciones de tratamiento previstas hayan infringido disposiciones del presente Reglamento;

Si bien la amonestación (también aparecía en la versión del Consejo) podemos compararla con el apercibimiento actual de la LOPD, no así la advertencia, cuya redacción da a entender su aplicación ante la mera sospecha de incumplimiento, ya que el precepto indica “puedan infringir”: o se infringe una norma, o no, y para ello hay que tramitar el correspondiente expediente.

El caos con el “One stop shop”

Vamos a tratar de explicar la famosa “ventanilla única”. Dado que el texto del Consejo es bastante farragoso, advertimos que podemos habernos equivocado. No obstante, esto es lo que hemos entendido:

Manolo decide poner una denuncia contra una empresa en la AEPD, por presunta venta de sus datos personales. Registrada la denuncia, la AEPD debe verificar si esa empresa tiene su matriz (donde se toman sus decisiones) en España o en otro país de la UE. Resulta que la citada empresa, tiene delegación en Sevilla, pero la matriz está en Holanda.

Entonces, la AEPD debe dirigirse a la Autoridad de Protección de Datos de Holanda, para que ésta, decida si tramita el asunto o bien se lo vuelve a remitir a la AEPD para que lo tramite ella.

Pongamos que los holandeses deciden tramitar el asunto, por lo que se abre el rimbombante “Mecanismo de coherencia”, consistente en que, decidirán los holandeses pero con participación de la AEPD.

A todo esto, Manolo sigue sin entender, porqué su denuncia tiene que tramitarla la Autoridad de Holanda, y se pregunta dónde ha quedado el “principio de subsidiariedad” de la Unión Europea, aquel que decía que los centro de decisión que afecten a los ciudadanos deben situarse lo más próximo a los mismos, y no a cientos de kilómetros de su casa.

Una norma tremendamente farragosa

Nos hemos ido al artículo 22 que regula las obligaciones del responsable del tratamiento, la famosa “Accountability” (aunque esta palabra únicamente aparecía en la versión del Parlamento).

Según el apartado 1 del mencionado artículo 22:

Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como la probabilidad y gravedad del riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento (…) aplicará las medidas apropiadas y podrá demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el presente Reglamento.

Hasta aquí todo normal, la sorpresa llega en el nuevo artículo 22.2 bis:

Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas medidas de protección de datos.

Para empezar, el artículo 22.1 no menciona ninguna medida, sino que únicamente se refiere a “medidas apropiadas”. Luego tenemos la coletilla de “oportunas medidas de protección de datos”, que obviamente, si es un Reglamento de Protección de Datos, no vamos a implementar medidas de otro tipo. Y por cierto, a eso ya se refiere el artículo 22.1. Totalmente redundante. ¿De verdad que este artículo 22.2. bis aporta algo?

Fuentes accesibles al público: ¡no te vas enterar!

El nuevo artículo 14 bis regula “el derecho de información cuando los datos no hayan sido obtenidos del interesado”.

En cumplimiento del citado precepto deberá informar, por ejemplo, las categorías de datos, el interés legítimo (en caso de aplicación del mismo), y las fuentes de la que procedan los datos personales, salvo que los datos procedan de fuentes accesibles al público.

¿Y si proceden de dichas fuentes cómo puedo enterarme? La única forma es ejercitando el derecho de acceso, ya que el artículo 15.1.g) obliga “cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen”.

Encargados de tratamiento de fuera de la UE no deben cumplir la norma. ¿O sí?

Resulta que según el artículo 3.2 “El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable del tratamiento no establecido en la Unión, cuando las actividades…”

En la versión del Parlamento se incluyó “responsable del tratamiento y encargados del tratamiento no establecido…”, pero en la versión actual, el “encargado del tratamiento” se ha caído. El Grupo del Artículo 29, es su misiva dirigida a los trílogos (las reuniones finales del texto entre Comisión, Consejo y Parlamento) ha advertido que se incluya también a los encargados.

Es decir, por ahora, los encargados que no sean de la UE quedan fuera del ámbito de aplicación. Sencillo, ¿Verdad?

Pues no, no lo es cuando según el artículo 26: “El responsable del tratamiento recurrirá únicamente a encargados del tratamiento que ofrezcan garantías suficientes de que aplicarán medidas (…) técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con las disposiciones del presente Reglamento”.

Entonces, ¿Cómo contrata un responsable un encargado que no sea de la Unión Europea, al que no se le aplica el Reglamento pero que debe realizar el tratamiento conforme al mismo?

Y es que lo vemos venir…

”Pensemos que se aprueba el Reglamento tal y como está. Pasan un par de años. Y un ciudadano denuncia a un encargado que no es de la Unión Europea por vulnerar su privacidad. La Autoridad de Control, en base a un informe del Consejo Europeo de Protección de Datos, en virtud del cual, realizando una interpretación conjunta así como del espíritu del Reglamento, considera que sí se le aplica el mismo, por lo que le impone una multa económica (bastante elevada, por cierto). El encargado recurre a la autoridad judicial correspondiente, y ésta plantea una cuestión de prejudicial sobre la interpretación de los artículos citados. En resumen, estamos en el año 2024, y todavía no tenemos claro el ámbito de aplicación de la norma”.

Moraleja: incluyan también al encargado.

La protección de datos y la libertad de empresa

No se pierdan la parrafada del artículo 3.bis), que contempla que la protección de datos no es un derecho absoluto (hasta ahí llegamos). Asimismo, se enumera una serie de derechos fundamentales que respeta el Reglamento, entre ellos la vida privada, las comunicaciones, libertad de expresión…y la libertad de empresa. ¿Cómo? ¡Pero si en nuestra Constitución es un principio económico y social! Ocurre que la libertad de empresa figura en la Carta de Derechos Fundamentales.


2 comentarios

  1. Participación de Firma-e en el III Congreso Nacional de Privacidad APEP | Blog firma-eBlog firma-e
    13 de julio de 2015 @ 17:48

    […] Por último, D. Javier Sempere, bloguero especializado desde “Privacidad lógica” y actualmente Técnico Superior de Administración General aportó con el ingenio que le caracteriza, un profundo análisis de la última versión del reglamento publicada planteando a la audiencia sus dudas sobre la redacción definitiva y las expectativas que se pueden tener de este nuevo marco normativo que en el proceso de tramitación va perdiendo algunas de las cuestiones más relevantes para garantizar la protección de este derecho fundamental dentro del marco europeo. El análisis extensivo del nuevo texto ha sido objeto del post “Detalles del Reglamento Europeo P.Datos (versión Consejo junio 2015). […]

    Responder

  2. sopitas
    25 de septiembre de 2015 @ 21:25

    Hola, como ves que puede afectar esto a la contratación de servicios en la nube tipo office365, google apps, salesforce, etc.. tanto por empresas privadas europeas como gobierno
    Sobre todo me interesa por que el correo electrónico es el almacén de archivo para todo y por lo tanto hay información confidencial

    gracias

    Responder

Enviar una respuesta

Protección de datos de carácter personal: con el envío del comentario, el usuario admite haber leído y aceptado la información en materia de protección de datos de carácter personal que se incluye en la información legal existente en esta página, al que se accede a través de pestaña bajo ese título, "Información legal" , situada en la parte superior de la página de inicio de este blog, y donde se informa de los titulares del blog, de las finalidades para las que se utilizarán los datos personales comunicados, así como la dirección para el ejercicio de los derechos reconocidos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Los datos marcados con asterisco, son de obligado cumplimiento para aceptar la publicación del comentario. Si tales datos no fuesen facilitados, el comentario enviado será eliminado sin proceder a su publicación.

*