Novedades e implicaciones prácticas del nuevo Reglamento General de Protección de Datos Personales de la UE .

El pasado 18 de enero la Fundación Hay Derecho organizó en el Colegio de Abogados de Madrid una mesa redonda sobre las novedades que introduce el Reglamento General de Protección de Datos (RGPD) que ha entrado en vigor 25 de mayo de 2016 y será de obligado cumplimiento en toda la UE el 25 de mayo de 2018.

La UE ha profundizado en la protección de la privacidad desde una regulación general y el instrumento normativo ahora es un Reglamento (a diferencia de la Directiva de Protección de datos de 24 de octubre 1995) que, por lo tanto, resulta de aplicación directa, aunque también deja cierto margen al derecho local.

Sin duda, el RGPD es actualmente una de las normas más importantes de la legislación europea, puesto que se trata de una norma transversal, que afecta a todos los ámbitos. Por eso esta materia interesa a todos, ciudadanos, juristas, empresarios y a todos aquellos que manejen datos personales.

Los cambios que introduce la nueva regulación son de enorme calado, pudiéndose hablar de un “nuevo modelo europeo de protección de datos”.

Las novedades afectan a cuestiones tan relevantes como los deberes de información, la forma en la que debe prestar el consentimiento el titular de los datos que debe ser siempre “explícito”. Se introducen nuevas herramientas para el control de los datos como el derecho al olvido o la portabilidad de los datos. Las empresas y organismos deberán introducir muchos cambios en su forma de actuar, adoptando medidas en materia de prevención, de forma que puedan demostrar que están condiciones de cumplir las normas que el Reglamento establece.

¿Cómo debe adaptarse la legislación española al nuevo Reglamento? ¿Cómo puede el titular de los datos utilizar las nuevas herramientas de control de sus datos? ¿Cómo afecta la regulación a los ficheros de solvencia patrimonial (conocidos como “ficheros de morosos”)? Se trata de cuestiones relevantes que van a afectar al día a día de los ciudadanos. Por eso, desde la Fundación Hay Derecho decidimos organizar este evento, moderado por la coeditora Matilde Cuena,  en el que intervinieron ponentes de reconocido prestigio, especializados en la materia con los que pudimos aprender y debatir.

Para don Juan Antonio Hernández Corchete (Profesor Titular de Derecho Administrativo. Universidad de Vigo. Letrado del Tribunal Constitucional. Experto ante el Consejo Asesor de Google sobre Derecho al olvido), el RGPD supone un gran paso adelante porque reduce la disparidad normativa, con lo que fomenta un mercado digital único. Esa uniformidad tiene como inconveniente que los conceptos genéricos como el de interés legítimo como base legal de tratamiento no puede ser precisado normativamente por los Estados Miembros, pues solo así se evita la vuelta a la disparidad. También reduce la disparidad en la ejecución, a través de la regla de one stop shop (ventanilla única) y del mecanismo de coherencia atribuido al Comité Europeo de Protección de Datos.

Respecto a cómo impacta el RGPD en la normativa nacional, don Antonio Troncoso (Catedrático de Derecho Administrativo. Universidad de Cádiz. Exdirector de la Agencia de Protección de Datos de la Comunidad de Madrid) señaló que el RGPD desplaza la normativa nacional que sea incompatible con el Reglamento europeo. Por ello, se deben inaplicar los preceptos de la Ley Orgánica de Protección de Datos Personales (LOPD) y Reglamento español de Protección de Datos Personales (RPDP) que sean incompatibles con el RGPD. Le corresponde al legislador y al Gobierno derogar esas normas para garantizar la seguridad jurídica. Hay que tener en cuenta que la primacía del derecho comunitario no es supremacía y no afecta a la validez de las normas internas. El RGPD, si bien ha reducido el núcleo decisorio de capacidad normativa de cada Estado, establece algunas excepciones permitiendo previsiones normativas de los Estados miembros, en algunas materias como la definición del interés público por Ley de cada Estado, el ámbito sanitario, las relaciones laborales o el consentimiento de los menores de edad.

En relación a las implicaciones del RGPD en el ámbito sanitario se pueden subrayar algunas cuestiones: el RGPD define el dato de salud, tomando en gran medida la definición del RPDP, añadiendo el pago de una prestación sanitaria; mantiene la tipología de datos especialmente protegidos, incluyendo los datos biométricos y los datos genéticos, que se diferencian de los datos de salud; añade la medicina preventiva o laboral y la evaluación de la actividad laboral del trabajador, la calidad y la seguridad de los medicamentos y la garantía del régimen del seguro de enfermedad como finalidades legítimas para el tratamiento de datos especialmente protegidos sin consentimiento del interesado; lleva la investigación sanitaria al régimen general de la investigación histórica, estadística y científica, exigiendo el principio de minimización de los datos personales y la seudonimización, pero no avanza en los criterios de legitimación de estos tratamientos –consentimiento o ley-.

Uno de los aspectos más novedosos del RGPD es el nuevo tratamiento del consentimiento del titular de los datos. A esta cuestión se refirió don Lorenzo Prats Albentosa (Catedrático de Derecho Civil. Universidad Autónoma de Barcelona).

La Carta de los Derechos Fundamentales de la Unión Europea reconoce que ” Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan” (Art. 8). Y lo hace diferenciándolo del derecho fundamental al respecto de la vida privada y familiar (Art. 7), dándole un tratamiento autónomo.

Los datos personales, como objeto de este derecho fundamental, son concebidos como bienes patrimoniales de la persona. Pero, en tanto que son el bien en el que el derecho se materializa (se “cosifica”), la Carta delimita la facultad de disponer de la persona y establece bajo qué actos puede realizar y bajo qué presupuestos ha de realizarlos y, en todo caso, subraya la revocabilidad del acto de disposición por su titular. Así, se dispone en la Carta que ” Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento expreso de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley” y, a continuación se dice “Toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a su rectificación.”

El RGPD desarrolla este derecho fundamental europeo y regula, sobre la base del consentimiento expreso del titular de los datos, todo acto de cesión a terceros para su tratamiento. De modo que todo acto de tratamiento sin previo consentimiento lesiona el derecho fundamental (es ilícito, Art. 6), salvo que se encuentre dentro de aquellos casos en los que, excepcional y restrictivamente, el Reglamento admite un tratamiento de datos sin previo consentimiento. No obstante, al responsable del tratamiento se le impone la carga de demostrar la licitud del mismo (art.7) y, en su caso, las consecuencias de la ilicitud. A este efecto, dice el Art. 8 de la Carta “. El respeto de estas normas quedará sujeto al control de una autoridad independiente.” Pero, además, el titular del dato siempre podrá obtener la reparación que proceda como consecuencia del daño padecido por su tratamiento ilícito”.

 ¿Están los datos de solvencia patrimonial necesariamente sujetos al régimen del consentimiento del afectado? A esta relevante cuestión se refirió don Pablo Pascual (Director de la Asesoría Jurídica de Experian España). A su juicio, “el cambio que implica el RGPD no estriba tanto en el contenido material de las normas, pues se mantienen con matices los principios generales de protección de datos que ya conocíamos, sino en el espíritu que anima este contenido y subyace tras la aprobación del Reglamento. La novedad está en el principio de “responsabilidad proactiva” (traducción libre del término inglés “accountability”) que lleva la exigencia en todos los niveles de la organización de los responsables del tratamiento, de un cumplimiento mucho más riguroso de las normas de protección de datos, para lo que se establecen figuras, procedimientos, controles y garantías adicionales. Pero al mismo tiempo el Reglamento es una norma enormemente genérica, que se mueve en el nivel de los principios, y que no desciende normalmente al nivel de las reglas concretas. Esto supone un claro deterioro de la seguridad jurídica, sobre todo en el contexto del estilo de supervisión que se ha realizado tradicionalmente en España.

El Reglamento no contiene referencia alguna, directa o indirecta, a los servicios de información sobre solvencia patrimonial y crédito (ficheros de solvencia), por lo que, salvo que el legislador español lo remedie, se produciría la circunstancia de que este sector tan importante de tratamiento automatizado de datos carecería por primera vez de regulación específica de detalle. En todo caso, se puede afirmar ya que, en lo que respecta al aspecto más importante de la protección de datos, el suministro de información crediticia, tanto de carácter positivo como negativo, encaja perfectamente en el concepto de interés legítimo del art. 6.f) del Reglamento, ya que se trata de un tratamiento de datos necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, que con las garantías adecuadas respeta los intereses o los derechos y libertades fundamentales del interesado”.

Un tratamiento general para todo tipo de datos es lo que brinda el RGPD, sin que se atienda a la naturaleza específica de los mismos, a diferencia del modelo anglosajón que establece un régimen ad hoc en función de los datos de que se trate. Lo que nos quedó claro en la jornada es que son muchos cambios que se avecinan y una tarea compleja de adaptación del Derecho nacional, que ya veremos qué consecuencias tiene en la práctica.

Desde la Fundación Hay Derecho agradecemos a los ponentes su participación en este acto, a los asistentes su presencia y al Colegio de Abogados de Madrid, la generosidad de cedernos su magnífica sede para celebrar el acto.