Novedades e implicaciones prácticas del nuevo Reglamento General de Protección de Datos Personales de la UE .

El pasado 18 de enero la Fundación Hay Derecho organizó en el Colegio de Abogados de Madrid una mesa redonda sobre las novedades que introduce el Reglamento General de Protección de Datos (RGPD) que ha entrado en vigor 25 de mayo de 2016 y será de obligado cumplimiento en toda la UE el 25 de mayo de 2018.

La UE ha profundizado en la protección de la privacidad desde una regulación general y el instrumento normativo ahora es un Reglamento (a diferencia de la Directiva de Protección de datos de 24 de octubre 1995) que, por lo tanto, resulta de aplicación directa, aunque también deja cierto margen al derecho local.

Sin duda, el RGPD es actualmente una de las normas más importantes de la legislación europea, puesto que se trata de una norma transversal, que afecta a todos los ámbitos. Por eso esta materia interesa a todos, ciudadanos, juristas, empresarios y a todos aquellos que manejen datos personales.

Los cambios que introduce la nueva regulación son de enorme calado, pudiéndose hablar de un “nuevo modelo europeo de protección de datos”.

Las novedades afectan a cuestiones tan relevantes como los deberes de información, la forma en la que debe prestar el consentimiento el titular de los datos que debe ser siempre “explícito”. Se introducen nuevas herramientas para el control de los datos como el derecho al olvido o la portabilidad de los datos. Las empresas y organismos deberán introducir muchos cambios en su forma de actuar, adoptando medidas en materia de prevención, de forma que puedan demostrar que están condiciones de cumplir las normas que el Reglamento establece.

¿Cómo debe adaptarse la legislación española al nuevo Reglamento? ¿Cómo puede el titular de los datos utilizar las nuevas herramientas de control de sus datos? ¿Cómo afecta la regulación a los ficheros de solvencia patrimonial (conocidos como “ficheros de morosos”)? Se trata de cuestiones relevantes que van a afectar al día a día de los ciudadanos. Por eso, desde la Fundación Hay Derecho decidimos organizar este evento, moderado por la coeditora Matilde Cuena,  en el que intervinieron ponentes de reconocido prestigio, especializados en la materia con los que pudimos aprender y debatir.

Para don Juan Antonio Hernández Corchete (Profesor Titular de Derecho Administrativo. Universidad de Vigo. Letrado del Tribunal Constitucional. Experto ante el Consejo Asesor de Google sobre Derecho al olvido), el RGPD supone un gran paso adelante porque reduce la disparidad normativa, con lo que fomenta un mercado digital único. Esa uniformidad tiene como inconveniente que los conceptos genéricos como el de interés legítimo como base legal de tratamiento no puede ser precisado normativamente por los Estados Miembros, pues solo así se evita la vuelta a la disparidad. También reduce la disparidad en la ejecución, a través de la regla de one stop shop (ventanilla única) y del mecanismo de coherencia atribuido al Comité Europeo de Protección de Datos.

Respecto a cómo impacta el RGPD en la normativa nacional, don Antonio Troncoso (Catedrático de Derecho Administrativo. Universidad de Cádiz. Exdirector de la Agencia de Protección de Datos de la Comunidad de Madrid) señaló que el RGPD desplaza la normativa nacional que sea incompatible con el Reglamento europeo. Por ello, se deben inaplicar los preceptos de la Ley Orgánica de Protección de Datos Personales (LOPD) y Reglamento español de Protección de Datos Personales (RPDP) que sean incompatibles con el RGPD. Le corresponde al legislador y al Gobierno derogar esas normas para garantizar la seguridad jurídica. Hay que tener en cuenta que la primacía del derecho comunitario no es supremacía y no afecta a la validez de las normas internas. El RGPD, si bien ha reducido el núcleo decisorio de capacidad normativa de cada Estado, establece algunas excepciones permitiendo previsiones normativas de los Estados miembros, en algunas materias como la definición del interés público por Ley de cada Estado, el ámbito sanitario, las relaciones laborales o el consentimiento de los menores de edad.

En relación a las implicaciones del RGPD en el ámbito sanitario se pueden subrayar algunas cuestiones: el RGPD define el dato de salud, tomando en gran medida la definición del RPDP, añadiendo el pago de una prestación sanitaria; mantiene la tipología de datos especialmente protegidos, incluyendo los datos biométricos y los datos genéticos, que se diferencian de los datos de salud; añade la medicina preventiva o laboral y la evaluación de la actividad laboral del trabajador, la calidad y la seguridad de los medicamentos y la garantía del régimen del seguro de enfermedad como finalidades legítimas para el tratamiento de datos especialmente protegidos sin consentimiento del interesado; lleva la investigación sanitaria al régimen general de la investigación histórica, estadística y científica, exigiendo el principio de minimización de los datos personales y la seudonimización, pero no avanza en los criterios de legitimación de estos tratamientos –consentimiento o ley-.

Uno de los aspectos más novedosos del RGPD es el nuevo tratamiento del consentimiento del titular de los datos. A esta cuestión se refirió don Lorenzo Prats Albentosa (Catedrático de Derecho Civil. Universidad Autónoma de Barcelona).

La Carta de los Derechos Fundamentales de la Unión Europea reconoce que ” Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan” (Art. 8). Y lo hace diferenciándolo del derecho fundamental al respecto de la vida privada y familiar (Art. 7), dándole un tratamiento autónomo.

Los datos personales, como objeto de este derecho fundamental, son concebidos como bienes patrimoniales de la persona. Pero, en tanto que son el bien en el que el derecho se materializa (se “cosifica”), la Carta delimita la facultad de disponer de la persona y establece bajo qué actos puede realizar y bajo qué presupuestos ha de realizarlos y, en todo caso, subraya la revocabilidad del acto de disposición por su titular. Así, se dispone en la Carta que ” Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento expreso de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley” y, a continuación se dice “Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.”

El RGPD desarrolla este derecho fundamental europeo y regula, sobre la base del consentimiento expreso del titular de los datos, todo acto de cesión a terceros para su tratamiento. De modo que todo acto de tratamiento sin previo consentimiento lesiona el derecho fundamental (es ilícito, Art. 6), salvo que se encuentre dentro de aquellos casos en los que, excepcional y restrictivamente, el Reglamento admite un tratamiento de datos sin previo consentimiento. No obstante, al responsable del tratamiento se le impone la carga de demostrar la licitud del mismo (art.7) y, en su caso, las consecuencias de la ilicitud. A este efecto, dice el Art. 8 de la Carta “. El respeto de estas normas quedará sujeto al control de una autoridad independiente.” Pero, además, el titular del dato siempre podrá obtener la reparación que proceda como consecuencia del daño padecido por su tratamiento ilícito”.

 ¿Están los datos de solvencia patrimonial necesariamente sujetos al régimen del consentimiento del afectado? A esta relevante cuestión se refirió don Pablo Pascual (Director de la Asesoría Jurídica de Experian España). A su juicio, “el cambio que implica el RGPD no estriba tanto en el contenido material de las normas, pues se mantienen con matices los principios generales de protección de datos que ya conocíamos, sino en el espíritu que anima este contenido y subyace tras la aprobación del Reglamento. La novedad está en el principio de “responsabilidad proactiva” (traducción libre del término inglés “accountability”) que lleva la exigencia en todos los niveles de la organización de los responsables del tratamiento, de un cumplimiento mucho más riguroso de las normas de protección de datos, para lo que se establecen figuras, procedimientos, controles y garantías adicionales. Pero al mismo tiempo el Reglamento es una norma enormemente genérica, que se mueve en el nivel de los principios, y que no desciende normalmente al nivel de las reglas concretas. Esto supone un claro deterioro de la seguridad jurídica, sobre todo en el contexto del estilo de supervisión que se ha realizado tradicionalmente en España.

El Reglamento no contiene referencia alguna, directa o indirecta, a los servicios de información sobre solvencia patrimonial y crédito (ficheros de solvencia), por lo que, salvo que el legislador español lo remedie, se produciría la circunstancia de que este sector tan importante de tratamiento automatizado de datos carecería por primera vez de regulación específica de detalle. En todo caso, se puede afirmar ya que, en lo que respecta al aspecto más importante de la protección de datos, el suministro de información crediticia, tanto de carácter positivo como negativo, encaja perfectamente en el concepto de interés legítimo del art. 6.f) del Reglamento, ya que se trata de un tratamiento de datos necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, que con las garantías adecuadas respeta los intereses o los derechos y libertades fundamentales del interesado”.

Un tratamiento general para todo tipo de datos es lo que brinda el RGPD, sin que se atienda a la naturaleza específica de los mismos, a diferencia del modelo anglosajón que establece un régimen ad hoc en función de los datos de que se trate. Lo que nos quedó claro en la jornada es que son muchos cambios que se avecinan y una tarea compleja de adaptación del Derecho nacional, que ya veremos qué consecuencias tiene en la práctica.

Desde la Fundación Hay Derecho agradecemos a los ponentes su participación en este acto, a los asistentes su presencia y al Colegio de Abogados de Madrid, la generosidad de cedernos su magnífica sede para celebrar el acto.

1 comentario
  1. Manu Oquendo
    Manu Oquendo Dice:

    Muchas gracias por la información.

    La normativa sobre el asunto en cuestión es tema bastante poliédrico y no conozco el detalle de la que ahora nos impone la UE para que a renglón seguido nuestros Parlamentos Nacionales y Autonómicos Re-Legislen permanentemente.
    Este proceso supongo que chirría a todos los que se tienen por ciudadanos y demócratas pero es lo que nos toca.

    Imagino que una de las preguntas que surgirían durante el coloquio es si se va a desmantelar algún Órgano de Vigilancia nuevo. De momento ya tenemos Tres……….. más todas las marañas procedimentales internas de cada compañía. Y no incluyo ayuntamientos podemistas que seguro que se lo han planteado.

    Esto hablando de externalidades no contempladas.

    También me gustaría saber si Telefónica estuvo presente porque es una de las grandes Telcos mundiales y además está ultimando su estrategia global en relación a todo ese Ecosistema que vive precisamente de Buitrear todos nuestra huella electrónica.

    Su plan consiste en que cada cliente establezca con el “carrier” qué datos quiere que sean utilizados (directamente o como big data) por los “gugles”, los “amazonos” los “guotaps”, los tuites” que hoy se los llevan crudos y sin pagarnos.

    Iniciativa atractiva y valiente porque ataca directamente el corazón del Poder que bulle tras las Corporaciones Globales de Redes Sociales. Monopolios de Facto y dueños en realidad de todos los países que las aplauden de un modo bastante irresponsable al modo de ver de unos cuantos generalmente bien informados.

    Un dato es que Google ha sido –por dos vías diferentes– el Lobby con más presencia en la Comisión Europea los dos últimos años. Asuntos para discutir no les faltan por lo que veo. Ni una sola entidad ha dedicado más tiempo a cultivar esta relación. Así que imaginemos los resultados.

    Una última cuestión sobre esto de la privacidad de datos es la siguiente.

    Supongamos una Asociación como un Ateneo cualquiera, la de Antiguos Alumnos de una universidad, un Colegio Profesional o un club de golf. A todas ellas hay elecciones periódicas para preparar las cuales es imprescindible dirigirse a los socios o miembros, conocer su problemática en directo y que te conozcan.

    Todas estas asociaciones se proclaman democráticas, todas disponen de los correos electrónicos de sus miembros y todas, sin excepción, se refugian en la Ley De Protección de Datos para que los que aspiran a competir no puedan saber a quién dirigirse a pesar de que todos autorizamos a su uso para motivos propios de la asociación.

    El resultado es que las estructuras asociativas de gestión control son bastante predecibles y siempre van asociadas al poder político local.

    ¿Es posible abrir esto un poquito? ¿Lo abre el nuevo reglamento?

    Saludos y muchas gracias

    Responder

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *