El Parlamento Europeo dio el visto bueno definitivo el pasado 14 de abril de 2016, a la normativa de protección de datos europea, tras un largo proceso legislativo de más de cuatro años. Con la aprobación del RGPD se establecen nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión Europea en materia de protección de datos.

La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos, supone que el mismo será de aplicación directa a todos los Estados Miembros de la Unión Europea sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la protección de datos de la Unión Europea, que se constituye como un pilar básico de las garantías y libertades en Europa.

A través del principio de responsabilidad proactiva o “Accountability” que introduce el RGPD, los responsables de tratamiento y los encargados deberán implantar medidas que garanticen y permitan demostrar el cumplimiento del RGPD a través de políticas adaptadas a las necesidades de la organización.

Desde DPO&ilaw, hemos estudiado y analizado las implicaciones que supone dicha normativa de protección de datos, y a través de distintas entregas iremos publicando en el nuestro Blog las distintas claves para una correcta interpretación y aplicación.

Como primera entrega ponemos a vuestra disposición

 

1. INTRODUCCIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS Rgto. (UE) 2016/679, ENTRADA EN VIGOR, OBJETO Y ÁMBITO DE APLICACIÓN

INTRODUCCIÓN:

El derecho a la protección de datos personales deriva directamente del derecho fundamental a la intimidad, recogido en el artículo 18.4 de la Constitución Española, y reconocido por el Tribunal Constitucional en la STC 292/2000.

El fundamento quinto de dicha sentencia confirma la interpretación conforme a la cual el art. 18.4 de la CE incorpora un nuevo derecho fundamental a la protección de datos.

“Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos, cuya concreta regulación debe establecer la ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran”.

Siguiendo la sentencia 292/2000 en su fundamento jurídico sexto, el objeto de protección del derecho a la protección de datos alcanza:

cualquier tipo de dato personal, sea o no íntimo, cuyo conocimiento o empleo por terceros pueda afectar a sus derechos, sean o no fundamentales, porque su objeto no es sólo la intimidad individual, que para ello está la Protección que el art. 18.1 CE otorga, sino los datos de carácter personal. Por consiguiente, también alcanza a aquellos datos personales públicos, que, por el hecho de serlo, de ser accesibles al conocimiento de cualquiera, no escapan al poder de disposición del afectado porque así́ lo garantiza su derecho a la Protección de datos. También por ello, el que los datos sean de carácter personal no significa que sólo tengan Protección los relativos a la vida privada o íntima de la persona, sino que los datos amparados son todos aquellos que identifiquen o permitan la identificación de la persona, pudiendo servir para la confección de su perfil ideológico, racial, sexual, económico o de cualquier otra índole, o que sirvan para cualquier otra utilidad que en determinadas circunstancias constituya una amenaza para el individuo”.

Estamos por tanto ante un derecho fundamental recogido por nuestra Constitución Española y reconocido por nuestro más alto Tribunal, que es desarrollado por la legislación española en la LO 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD) y en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la mencionada Ley Orgánica (en adelante RLOPD).

Asimismo, el marco legislativo europeo también reconoce este derecho a la protección de datos y obliga a todos los Estados miembros a garantizarlo a sus ciudadanos. El artículo 8, de la Carta de los Derechos Fundamentales de la Unión Europea en sus apartados 1 y 2 establece:

  1. Toda persona tiene derecho a la protección de los datos de carácter personal que la conciernan.
  2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.

Por otro lado, el artículo 16 del Tratado de Funcionamiento de la Unión Europea en sus apartados 1 y 2 establece:

  1. Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.
  2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes.

Se trata por tanto de un derecho que tiene toda persona, sin importar la nacionalidad o residencia, a la protección de los datos de carácter personal que la conciernan.

Por su parte la Unión Europea ha desarrollado este derecho a la protección de datos a través de diversas directivas[1] como la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. A través de la misma, se pretendió armonizar la protección de los derechos y las libertades fundamentales de las personas físicas en relación con las actividades de tratamiento de datos de carácter personal, y garantizar la libre circulación de estos datos entre los Estados miembros. Sin embargo, la transposición por los Estados miembros de la Directiva 95/46/CE en el territorio de la Unión se hizo de manera fragmentada, con diferencias en el nivel de protección de los derechos y libertades de las personas físicas, y en particular del derecho a la protección de los datos de carácter personal, impidiendo la libre circulación de los datos de carácter personal en la Unión. Estas diferencias, han constituido un obstáculo al ejercicio de las actividades económicas dentro de la Unión, pudiendo falsear la competencia e impedir que las Autoridades competentes cumplan las funciones que les incumben en virtud del Derecho de la Unión.

Estas divergencias, así como la obsolescencia tecnológica de la Directiva 95/46 provocan que en el año 2012 la Comisión Europea presente un proyecto de propuesta de Reglamento de Protección de Datos General, confirmando así la necesidad de una reforma a gran escala de la normativa de protección de datos. A raíz de las numerosas enmiendas al proyecto de la Comisión propuestas por el Parlamento Europeo en el año 2014, se pasó la propuesta al Consejo de la UE y se inició durante el año 2015 entre la Comisión, el Parlamento y el Consejo un proceso de negociación conocido como el diálogo a tres bandas, para finalmente obtener una versión final del Reglamento a finales de 2015. Finalmente, el pasado 14 de abril de 2016 el Parlamento Europeo dio el visto bueno definitivo a la normativa europea de protección de datos tras un largo proceso legislativo de más de cuatro años, que concluye con la aprobación del REGLAMENTO (UE) 2016/ 679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD).

Se reforma por tanto con el RGPD la normativa de protección de datos europea, estableciendo nuevas reglas que sustituyen el antiguo marco regulatorio de la Unión Europea en materia de protección de datos.

La técnica legislativa del Reglamento utilizada por la UE para regular la protección de datos supone una aplicación directa del mismo a todos los Estados Miembros de la UE sin necesidad de que sea transpuesto por las normas nacionales de los Estados. Por tanto, el RGPD deroga y sustituye a la Directiva 95/46/CE reforzando el derecho de la protección de datos de la Unión Europea, que se constituye como un pilar básico de las garantías y libertades en Europa.

A través del RGPD se consigue armonizar en todos los Estados miembros de la UE la dispersión normativa existente hasta entonces en materia de protección de datos. El RGPD por tanto es una norma única de aplicación directa a todos los Estados cuyo objetivo principal es otorgar un mayor control a los ciudadanos europeos sobre su información privada, y permitir una aplicación uniforme en toda la Unión Europea con el objetivo de alcanzar un nivel de protección de datos razonable en todo el territorio de la UE que evite la aplicación las diferentes normativas de cada Estado miembro.

  • El derecho a la protección de datos es un derecho fundamental recogido en la Constitución Española en el art.18.4 y reconocido por el Tribunal Constitucional.
  • Se trata de un derecho a la protección de los datos de carácter personal que le conciernan.
  • El RGPD es de aplicación directa sin necesidad de que sea transpuesto por las normas nacionales de los Estados.

 

1. ENTRADA EN VIGOR

Conforme el art. 99 del RGPD el mismo entrará en vigor a los 20 días de su publicación en el Diario Oficial de la Unión Europea, es decir el 24 de mayo de 2016, sin embargo sólo será directamente aplicable y obligatorio en todos sus elementos en cada Estado Miembros a partir del 25 de mayo de 2018, disponiendo por tanto los Estados Miembros y sus respectivas Autoridades de Control de un periodo de 2 años para su maduración, preparación, aplicación e interpretación de los distintos derechos y obligaciones que establece. Esto supone, que las leyes nacionales de protección de datos dejarán de ser aplicables en la medida en que se opongan al contenido del Reglamento.

Hasta entonces, tanto la Directiva 95/46 como la normativa española (LOPD y el RLOPD) serán plenamente válidas y aplicables.

Por otro lado, en la medida en que el RGPD establezca que sus normas deben ser especificadas o restringidas por el Derecho de los Estados miembros, será necesario la incorporación al Derecho nacional de diversos elementos del RGPD para que las disposiciones nacionales sean comprensibles para todos los ciudadanos de la Unión.

Siguiendo estas directrices marcadas por el RGPD, el Ministerio de Justicia ha encargado a la Sección Tercera de la Comisión General de Codificación, presidida por José Luis Piñar Mañas, el estudio o redacción del borrador de Ley Orgánica de Protección de Datos en España, de tal forma que la misma sea modificada en la medida en que se oponga al contenido del Reglamento e introduzca aquellos elementos necesarios del RGPD que permita una mejor comprensión para los ciudadanos españoles. Así mismo, el RGPD está siendo estudiado por la Agencia Española de Protección de Datos en conjunto con diversas Asociaciones y Operadores sectoriales para la elaboración de guías de trabajo que faciliten la aplicación y comprensión del RGPD en España. En esta misma tarea se encuentra el Grupo de Trabajo 29, de tal manera que determinados conceptos que hayan podido quedar indeterminados o de difícil interpretación podrán ser abordados y estudiados durante estos dos años para su correcta aplicación e implantación en la Unión Europea.

  • El RGPD entra en vigor el 24 de mayo de 2016 pero es de aplicación obligatoria para todos los Estados miembros el 25 de mayo de 2018.
  • Hasta la aplicación obligatoria tanto la Directiva europea 95/46, como la LOPD y el RLOPD de la normativa española son plenamente válidas y aplicables.

 

2. OBJETO Y ÁMBITO DE APLICACIÓN

2.1 OBJETO

El objeto del RGPD es la protección de los derechos y libertades fundamentales de las personas físicas, y la libre circulación de datos personales en territorio de la UE, no pudiendo ser restringida ni prohibida.

La protección se otorga a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.

¿Qué ocurre entonces con la excepción establecida por nuestro RLOPD en su artículo 2.2 para los ficheros de contactos profesionales?

Artículo 2.2. (RLOPD)

Este reglamento no será aplicable a los tratamientos de datos referidos a personas jurídicas, ni a los ficheros que se limiten a incorporar los datos de las personas físicas que presten sus servicios en aquéllas, consistentes únicamente en su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales

Por el momento todo apunta a que dicha excepción no operará con el RGPD, ya que el mismo establece, no será de aplicación a las personas jurídicas y en particular a las empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto (considerando 14 del RGPD). Por tanto, todo apunta a que el mismo también será aplicable a las personas físicas que presten servicios en aquellas, ya que la excepción únicamente opera sobre nombre y la forma y los datos de contacto.

Por tanto, si el RGPD no establece esta distinción en el objeto o ámbito de aplicación debemos entender que hasta tanto en cuanto exista un pronunciamiento del Comité o la Comisión los datos personales de los contactos profesionales quedarán dentro del ámbito de aplicación del RGPD.

 

2.2. ÁMBITO DE APLICACIÓN MATERIAL

El ámbito de aplicación Material se encuentra regulado en el art. 2, y en los considerandos 14 a 21 y 27.

Artículo 2: Ámbito de aplicación material

  1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.
  2. El presente Reglamento no se aplica al tratamiento de datos personales:
    1. en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión;
    2. por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TUE;
    3. efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;
    4. por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

Al igual que en la normativa española el RGPD será aplicable tanto al tratamiento automatizado como al tratamiento manual, siempre y cuando estos últimos estén estructurados con arreglo a unos criterios específicos de organización.

Por otro lado, también se mantienen las mismas actividades de exclusión que en la normativa española como las actividades domésticas o las destinadas a la seguridad nacional. A este respecto merece especial atención el considerando 18 del RGPD que establece como actividades personales o domésticas la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades domésticas.

Asimismo, al igual que nuestra normativa, en el considerando 27 se excluye del ámbito de aplicación a las personas fallecidas.

 

2.3. ÁMBITO DE APLICACIÓN TERRITORIAL

El ámbito de aplicación Territorial se encuentra regulado en el art. 3, y en los considerandos 22 a 25.

Artículo 3: Ámbito territorial

  1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no.
  2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con:
    1. la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o
    2. el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
  3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

Con el fin de garantizar que las organizaciones no europeas puedan evitar la aplicación de la normativa de protección de datos simplemente por encontrarse fuera de la UE, el RGPD introduce una nueva disposición para considerar aplicable el mismo a las organizaciones o empresas extranjeras que ofrezcan productos o servicios a ciudadanos europeos. De esta manera se reemplaza el criterio de medios por el de servicios.

Recientemente tribunales y reguladores de la Unión Europea han manifestado su apoyo a una interpretación amplia de la norma relativa a la aplicabilidad de la ley europea que incorpora el RGPD. En efecto, el Tribunal de Justicia de la Unión Europea (TJUE) en su decisión de mayo de 2014 (conocido como el caso “Costeja” de Google España o el derecho al olvido) estableció la aplicación de la Directiva 95/46 pese a que el negocio del buscador no se encontraba ubicado en España, debido a que el tratamiento de datos en cuestión se encontraba relacionado con dicho negocio de búsqueda para venta de espacios publicitarios por Google España. Del mismo modo, la Autoridad de control de privacidad Belga (mayo de 2015) emitió una recomendación en la que aclaró que la legislación belga aplica a las actividades de Facebook en Bélgica sin tener en cuenta los argumentos de Facebook acerca del tratamiento de los datos realizado en suelo Irlandés.  Igualmente, en octubre de 2015 el TJUE dictaminó en el caso “Weltimmo” que el concepto de establecimiento en virtud de la actual Directiva sobre Protección de Datos debe interpretarse en sentido amplio, de tal forma que las actividades mínimas en un Estado miembro pueden producir la aplicación de la ley local de dicho Estado miembro.

De esta manera si una organización no establecida en la UE está procesando los datos personales de ciudadanos de la UE en actividades relacionadas con la oferta de productos o servicios a dichas personas, o realizando un seguimiento, monitorización y estudio del comportamiento (como por ejemplo el seguimiento a través de Cookies) deberá cumplir plenamente con el contenido del RGPD.

Analizando los elementos de aplicación del Derecho de la Unión, nos encontramos que el considerando 23 del RGPD relativo a las ofertas de productos y servicios establece lo siguiente:

“si dicho responsable o encargado ofrece bienes o servicios a interesados que residan en la Unión, debe determinarse si es evidente que el responsable o el encargado proyecta ofrecer servicios a interesados en uno o varios de los Estados miembros de la Unión. Si bien la mera accesibilidad del sitio web del responsable o encargado o de un intermediario en la Unión, de una dirección de correo electrónico u otros datos de contacto, o el uso de una lengua generalmente utilizada en el tercer país donde resida el responsable del tratamiento, no basta para determinar dicha intención, hay factores, como el uso de una lengua o una moneda utilizada generalmente en uno o varios Estados miembros con la posibilidad de encargar bienes y servicios en esa otra lengua, o la mención de clientes o usuarios que residen en la Unión, que pueden revelar que el responsable del tratamiento proyecta ofrecer bienes o servicios a interesados en la Unión”.

Por otro lado, para determinar si existe monitorización o seguimiento del comportamiento de la persona el considerando 23 del RGPD establece lo siguiente:

“debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”. La redacción parece por tanto estar diseñada principalmente para incluir al sector del marketing digital o comportamental (aunque habrá otros servicios a los que podrá ser aplicable) los cuales crean perfiles de acuerdo con el comportamiento que se produce por un dispositivo utilizado por persona física para el envío de publicidad personalizada.”

Será por tanto aplicable el RGPD a toda empresa extranjera que, aunque no tenga “equipos informáticos o medios” situados en la UE (como se requiere en virtud de la Directiva de protección de datos), realiza una actividad real orientada de forma deliberada a personas o ciudadanos ubicados en la UE.

Finalmente, como veremos más adelante, para estos casos será necesario designar un representante en la Unión Europea que atienda las cuestiones relacionadas con la Protección de Datos de los titulares de los datos o interesados europeos, así como cualquier requerimiento de las Autoridades de Control.

 

CONCLUSIONES

  • Es aplicable a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia, y en relación con el tratamiento de sus datos personales.
  • No aplica a las Personas jurídicas, pero sí a las personas físicas que presten servicios en aquellas.
  • Tampoco se aplica a las actividades personales o domésticas, ni a las personas fallecidas.
  • Las organizaciones no establecidas en la UE que ofrecen bienes o servicios a ciudadanos EU, o que vigilan su comportamiento se encuentran dentro del ámbito de aplicación del RGPD.

 

[1] Directiva 97/66/CE del Parlamento Europeo y del Consejo, de 15 de diciembre de 1997, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las telecomunicaciones, la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas o directiva sobre la privacidad y las comunicaciones electrónicas y la Directiva 2006/ 24/CE sobre conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones

Comments are closed.