Transcom Legal Services http://www.transcomlegal.com
El Reglamento General de Protección de Datos Personales de la UE (y III)
DOUE de 4 de mayo de 2016
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, DE 27 DE ABRIL DE 2016, RELATIVO A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y LA LIBRE CIRCULACIÓN DE ESTOS DATOS Y POR EL QUE SE DEROGA LA DIRECTIVA 95/46/CE
Rebeca Alonso Galván
Servicio de Información Legislativa y Documental
I. INTRODUCCIÓN
En esta última nota de las que hemos venido dedicando a la exposición del nuevo Reglamento europeo relativo a la protección de los datos personales, (al que seguiremos refiriéndonos, en su forma abreviada, como R
2016/679), abordaremos de forma muy resumida, en primer lugar, las nuevas formas de garantía, en concreto, y haciendo uso de la terminología anglosajona, «accountability & privacy», así como al régimen orgánico e
institucional de control independiente, integrado por la «Autoridad de Control» y el «Comité Europeo de Protección de Datos».
De estos dos organismos, este último, quizá sea de especial interés por tratarse de una entidad de nueva creación, que viene a sustituir al Grupo de Trabajo contemplado en el artículo 29 de la Directiva 95/46/CE que ahora se deroga.
Dedicaremos los siguientes epígrafes a los mecanismos previstos de autorregulación y de certificación, a la transferencia internacional de datos, al mecanismo europeo de coherencia y medidas provisionales, así como al régimen de responsabilidad, incluidas cuestiones procesales y de procedimiento y el régimen coercitivo y sancionador.
II. NUEVAS FORMAS DE GARANTÍA: «ACCOUNTABILITY & PRIVACY»
El responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y de poder demostrar que el tratamiento es conforme con las disposiciones del R 2016/679; medidas que se revisarán y actualizarán cuando resulte necesario, y entre las que se incluyen la aplicación por el responsables de políticas de protección de datos proporcionadas a las actividades del tratamiento.
Además de las medidas técnicas y organizativas indicadas anteriormente, según se especifica en la parte expositiva de la norma, el responsable debe adoptar políticas internas y aplicar medidas que cumplan, en particular, principios de privacidad de los datos, tanto desde el diseño como por defecto.
Dichas medidas podrían consistir, entre otras, en la máxima reducción del tratamiento de datos personales, en la pronta seudonimización de los mismos, en dar transparencia a las funciones y al tratamiento de datos personales;
permitiendo a los interesados su supervisión y al responsable la creación y mejora de los elementos de seguridad.
Precisamente, de conformidad con el artículo 25, el responsable aplicará todas estas medidas al tiempo de determinar los mecanismos de tratamiento y en el propio momento del tratamiento, a fin de dar cumplimiento a los requerimientos del nuevo Reglamento y de proteger los derechos de los interesados.
Del mismo modo, también los utilizará para garantizar que por defecto solo sean objeto de tratamiento los datos personales que resulten necesarios para cada uno de los fines específicos del mismo. En particular, se refiere el nuevo Reglamento a que, por defecto, los datos personales no sean accesibles a un número indeterminado de personas físicas sin la intervención de la persona interesada.
III. REGIMEN ORGÁNICO DE CONTROL INDEPENDIENTE
A) Autoridad de control.
La supervisión de la aplicación del R 2016/679 se encomienda a una o varias autoridades públicas independientes en cada Estado miembro de la UE (en adelante, autoridad de control).
Para conseguir su aplicación coherente y homogénea en todo el territorio de la UE, las distintas autoridades de control deberán cooperar entre sí y con la Comisión. A tal efecto, los Estados miembros notificarán a la Comisión las disposiciones normativas que adopten, a más tardar el 25 de mayo de 2018, así como cualquier modificación posterior de las mismas.
La autoridad de control actuará con total independencia, absteniéndose de realizar cualquier acción o actividad profesional que resulte incompatible con sus funciones, sea o no remunerada, mientras dure su mandato.
Se admite expresamente la posibilidad de que los Estados miembros nombren a una o a varias autoridades de control; si bien, en este último caso, deberán designar a una de ellas como representante de las demás en el Comité Europeo de Protección de Datos, así como establecer los medios que garanticen el cumplimiento de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63.
Por otro lado, el R 2016/679 establece las condiciones generales aplicables a los miembros de la autoridad de control y las normas relativas a su establecimiento. También especifica la competencia, funciones y los poderes de la autoridad de control; competencia que se extenderá al desempeño de las funciones que se le asignen y al ejercicio de los poderes que le confieran en el territorio del Estado miembro de que se trate. Queda expresamente excluido el control de las operaciones de tratamiento efectuadas por los tribunales en el ejercicio de su función judicial.
Para el desempeño de sus funciones, que se detallan en el artículo 58 del Reglamento, cada autoridad de control estará investida de los poderes de investigación, coercitivos, de autorización y consultivos que expresamente se indican en el artículo 57. El ejercicio de los mismos estará sujeto a cautelas adecuadas, incluidas la tutela judicial efectiva y el respeto a las garantías procesales, previstas en el Derecho de la UE y de los Estados miembros.
Finalmente, conviene señalar que cada autoridad de control elaborará un informe anual de sus actividades que podrá incluir, entre otros, un listado de los tipos de infracciones notificadas y de las medidas adoptadas al
respecto. Estos informes se transmitirán a las Instituciones administrativas competentes en cada Estado miembro, y se pondrán a disposición del público, de la Comisión y del Comité.
B) Cooperación y asistencia mutua.
La autoridad de control principal cooperará con las demás autoridades de control interesadas, intercambiándose toda la información que resulte pertinente, a fin de lograr un consenso y una aplicación coherente del R 2016/679.
En este sentido, la autoridad de control principal podrá solicitar, en cualquier momento, al resto de autoridades interesadas que presten asistencia mutua en los términos y condiciones de los artículos 60 a 62 del nuevo
Reglamento, pudiendo llevar operaciones conjuntas, entre otras, de supervisión e investigación. En estos casos, la principal deberá comunicar a las demás autoridades interesadas la información pertinente, y transmitir los
proyectos de decisión para someter a su dictamen, que tendrá debidamente en cuenta.
C) Comité Europeo de Protección de Datos.
Como novedad, se crea el Comité Europeo de Protección de Datos (en adelante, el Comité) como organismo de la UE que gozará de personalidad jurídica, estará representado por su Presidente, compuesto por el Director de una autoridad de control de cada Estado miembro y por el Supervisor Europeo de Protección de Datos, o sus
respectivos representantes. Existiendo varias autoridades de control en un Estado miembro, se designará un representante común de conformidad con el Derecho interno de ese Estado.
El Presidente será elegido por el Comité, por mayoría simple de entre sus miembros, al igual que dos vicepresidentes cuyos mandatos serán de cinco años de duración que podrán renovarse una vez. Asimismo, contará con una Secretaría, de la que se hará cargo el Supervisor Europeo de Protección de Datos. Las funciones de todos ellos se especifican, respectivamente, en los artículos 70, 74 y 75.
El Comité garantizará la aplicación coherente del R 2016/679 en toda la UE, y actuará con total independencia en el desempeño de sus funciones o en el ejercicio de sus competencias, que expresamente se indican en el extenso artículo 71. Entre las funciones encomendadas, se encuentra la elaboración de un informe anual en materia de protección de las personas físicas en lo que respecta al tratamiento de sus datos personales en la UE y, si procede, en terceros países y por organizaciones internacionales.
Este informe, que se hará público y se transmitirá al Parlamento Europeo, al Consejo y a la Comisión, incluirá un examen de la aplicación práctica de las directrices, recomendaciones y buenas prácticas indicadas en el artículo 70.1.l), así como de las decisiones vinculantes.
El Comité tomará sus decisiones por mayoría simple de sus miembros, salvo que se disponga otra cosa en alguno de los preceptos del R 2016/679; adoptará su reglamento interno por mayoría de dos tercios y organizará sus disposiciones de funcionamiento.
IV. AUTORREGULACIÓN Y CERTIFICACIÓN
Desde el ámbito institucional, los Estados miembros promoverán la elaboración de códigos de conducta específicos, según los sectores de tratamiento, que tendrán en cuenta las necesidades particulares de microempresas y PYMES.
Las asociaciones y organismos representativos de categorías de responsables o encargados del tratamiento, a los que resulte de aplicación el R 2016/679, podrán también elaborar códigos de conducta, modificar o ampliar los ya existentes, a los efectos específicos previstos en el artículo 40. En estos casos, deberán presentar el proyecto de código, de la modificación o ampliación a la autoridad de control competente. Los responsables o encargados no vinculados por las disposiciones del nuevo Reglamento podrán igualmente adherirse a estos códigos, en las circunstancias y en los casos previstos en el citado precepto.
En caso de aprobación, si el código de conducta no se refiere a actividades de tratamiento en varios Estados miembros, la autoridad de control lo registrará y publicará. Por el contrario, de guardar relación con varios Estados miembros, la autoridad de control competente, en virtud del artículo 55, lo someterá a dictamen del Comité.
El Comité archivará todos los códigos de conducta, modificaciones y ampliaciones que se aprueben en un registro, y los pondrá a disposición del público por cualquier medio que resulte apropiado.
Por otro lado, se contempla la creación, a nivel de la UE, de mecanismos de certificación, sellos o marcas de protección de datos acreditativos del cumplimiento de las disposiciones del R 2016/679.
Dicha certificación, que será voluntaria y estará disponible a través de un procedimiento transparente, será
expedida por los organismos de certificación que hayan sido acreditadas por la autoridad de control competente, o por el organismo nacional de acreditación designado de conformidad con el R 2008/765, con arreglo a la norma UNE-EN ISO/IEC 17065:2012 y a los requisitos adicionales establecidos por la autoridad de control competente o por el Comité, en el marco del mecanismo de coherencia previsto en la Sección 2 del R 2016/679. Cuando los criterios sean aprobados por el Comité, se podrá obtener una certificación común denominada «Sello Europeo de Protección de Datos».
Finalmente, y de conformidad con el artículo 24.3 del R 2016/679, la adhesión a estos códigos de conducta o a algún mecanismo de certificación de los aprobados en virtud del artículo 42, podrá utilizarse como elemento probatorio del cumplimiento de las obligaciones por parte del responsable del tratamiento.
V. TRANSFERENCIA INTERNACIONAL DE DATOS
A) Principio general.
A fin de asegurar el nivel de protección de las personas físicas en lo que respecta a sus datos personales, sólo podrán realizarse transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transmisión a un tercer Estado o a una organización internacional; siempre que el responsable y el encargado del tratamiento cumplan las condiciones que se especifican en el R 2016/679, incluidas las relativas a las
transferencias ulteriores del tercer Estado u organización internacional a otro tercer Estado u organización internacional.
B) Transferencias basadas en una decisión de adecuación.
Podrá efectuarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión haya decidido que el País, territorio u organización internacional de destino garanticen un nivel de protección adecuado, aunque dicha transferencia no requerirá autorización específica.
En la evaluación de la adecuación, la Comisión tendrá, particularmente, en cuenta el Estado de Derecho, el respeto a los derechos humanos y a las libertades fundamentales, la existencia y funcionamiento efectivo de una o varias autoridades de control independiente y los compromisos internacionales asumidos por el tercer País u organismo internacional de que se trate.
Tras la evaluación, la Comisión asumirá funciones de control, supervisión y revisión de la adecuación del nivel de protección pudiendo adoptar actos de ejecución, incluso inmediatamente aplicables por razones imperiosas de urgencia, en virtud de las disposiciones de procedimiento del artículo 93.
Las decisiones adoptadas por la Comisión en virtud del artículo 25.6 de la Directiva 95/46/CE, permanecerán en vigor hasta que sean modificadas, sustituidas o derogadas por una decisión de la Comisión adoptada de
conformidad con los apartados 3 o 5 del artículo 45.
C) Transferencias mediante ofrecimiento de garantías adecuadas.
A falta de decisión de la Comisión sobre la adecuación del tercer país, territorio u organismo internacional, el responsable o el encargado del tratamiento sólo podrá transmitir datos personales si ofrece garantías adecuadas, y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
Dichas garantías serán aportadas en los términos y por los mecanismos indicados en el artículo 46.2; entre otros, por un instrumento jurídicamente vinculante, por normas corporativas vinculantes y cláusulas tipos de protección de datos adoptadas, bien por una autoridad de control y aprobadas por la Comisión, o bien directamente, por la Comisión, de conformidad con las nuevas disposiciones reglamentarias.
Respecto de las normas corporativas vinculantes referidas en el párrafo anterior, serán aprobadas por la autoridad de control competente de conformidad con el mecanismo de coherencia, que veremos más adelante, siempre que cumplan las condiciones, requisitos y contenido mínimo que se especifican en el artículo 47.
D) Transferencias o comunicaciones no autorizadas por la UE.
Las sentencias judiciales o decisiones administrativas de un tercer país que exijan a un responsable o encargado del tratamiento la transferencia o comunicación de datos personales, únicamente será reconocible o ejecutable en base a un acuerdo internacional de asistencia jurídica mutua vigente entre el país tercero y la UE o un Estado miembro.
E) Régimen de excepciones.
En ausencia de decisión de la Comisión sobre la adecuación del tercer país, territorio u organismo internacional y de garantías adecuadas, incluidas las normas corporativas vinculantes, una transferencia o un conjunto de transferencias de datos personales a un tercer país u organismo internacional únicamente podrá realizarse si se cumple alguna de las condiciones que se indican en el artículo 49.
No obstante, no existiendo decisión de adecuación, el Derecho de la UE o de los Estados miembros podrá, por razones importantes de interés público, establecer límites a la transferencia de categorías específicas de datos a un tercer país u organización internacional. Los Estados miembros notificarán a la Comisión dichas disposiciones.
F) Cooperación Internacional.
En relación con los terceros países y las organizaciones internacionales, la Comisión y las autoridades de control tomarán medidas apropiadas para crear mecanismos de cooperación internacional que faciliten la aplicación de la legislación relativa a la protección de datos, prestarse mutua asistencia a escala internacional, asociar a partes interesadas en la materia a debates y actividades destinados a reforzar la cooperación internacional, así como promover el intercambio de documentación legislativas y prácticas en la materia, inclusive sobre conflictos de jurisdicción con terceros países.
VI. MECANISMO EUROPEO DE COHERENCIA Y MEDIDAS PROVISIONALES
A) Marco del mecanismo europeo de coherencia.
Como ya hemos indicado previamente, a fin de favorecer una aplicación análoga del R 2016/679 en todo el territorio de la UE, las autoridades de control cooperarán entre sí y, en su caso, con la Comisión, en el marco del mecanismo de coherencia previsto en el Reglamento.
En este marco de coherencia, siempre que una autoridad de control competente proyecte adoptar una decisión sobre alguna de las medidas señaladas en el artículo 64.1, deberá comunicar el proyecto al Comité. Asimismo, cuando se trate de un asunto de aplicación general o afecte a más de un Estado miembro de la UE podrá solicitarse que sea examinado por el Comité, en particular, cuando una autoridad de control incumpla sus
obligaciones de asistencia mutua y de operaciones conjuntas previstas, respectivamente, en los artículos 61 y 62.
El Comité emitirá dictamen por mayoría simple de sus miembros en el plazo de ocho semanas aunque podrá prorrogarse seis semanas más en función de la complejidad del caso.
La autoridad de control tendrá en cuenta el dictamen del Comité y, en el plazo de dos semanas desde su
recepción, comunicará por medios electrónicos al Presidente del Comité, su intención de mantener o modificar su proyecto de decisión y, en su caso, el proyecto modificado a través de un formato normalizado. En el caso de que la autoridad de control interesada tome la decisión, que será motivada, de no seguir este dictamen, el Comité adoptará una decisión vinculante que, como medida de resolución de conflictos, adoptará expresamente en los casos indicados en el artículo 65.1.
En cualquiera de las situaciones indicadas en el párrafo anterior, el Comité tomará la decisión vinculante en el
plazo de un mes a contar desde la remisión del asunto, por mayoría de dos tercios de sus miembros, aunque podrá prorrogarse un mes más según las dificultades que presente el caso.
B) Procedimiento de urgencia.
En circunstancias de excepcionalidad y urgencia, la autoridad de control interesada podrá adoptar, con carácter inmediato, medidas provisionales destinadas a producir efectos jurídicos en su territorio por un periodo máximo de tres meses; debiendo comunicar dichas medidas, de forma motivada, a las demás autoridades de control
interesadas, al Comité y a la Comisión. Cuando considere que la medida provisional deba ser adoptada con celeridad y definitivamente, podrá solicitar un dictamen o decisión vinculante urgente del Comité, motivando dicha solicitud.
No obstante, cualquier autoridad de control podrá solicitar motivadamente un dictamen urgente o decisión
vinculante urgente del Comité, cuando la autoridad de control competente no haya adoptado medidas apropiadas ante una situación en la que sea urgente intervenir a fin de proteger los derechos y las libertades de los
interesados.
En cualquiera de los casos expuestos previamente, el dictamen urgente o la decisión vinculante urgente se adoptará en el plazo de dos semanas, por mayoría simple de los miembros del Comité.
VII. RÉGIMEN DE RESPONSABILIDAD
A) Cuestiones procesales y de procedimiento.
Se reconoce el derecho de todo interesado a presentar una reclamación ante una autoridad de control, en particular, en el Estado miembro en el que tenga su residencia habitual, lugar de trabajo o en el de la comisión de la supuesta infracción.
Podrá ejercer tal derecho el interesado cuando considere que el tratamiento de sus datos personales infringe las disposiciones del R 2016/679; todo ello, sin perjuicio de cualquier recurso administrativo o acción judicial que pudiera corresponder.
No obstante lo anterior, toda persona física o jurídica tendrá derecho a la tutela judicial efectiva contra una decisión jurídicamente vinculante de la autoridad de control, cuando dicha autoridad no dé curso a una
reclamación o no informe al interesado sobre el curso o resultado de la reclamación presentada en el plazo de tres meses. Las acciones judiciales se ejercitarán ante los tribunales del Estado miembro en el que se encuentre establecida la autoridad de control.
Asimismo, los interesados tendrán derecho a la tutela judicial efectiva cuando estimen que sus derechos reconocidos por el nuevo Reglamento han sido vulnerados por el tratamiento de sus datos personales. Estas acciones deberán iniciarse ante los órganos jurisdiccionales del Estado miembro en que el interesado tenga su residencia habitual, con las salvedades que se indican en el R 2016/679.
B) Régimen coercitivo y sancionador.
El R 2016/679 incluye un exhaustivo régimen de indemnizaciones, multas administrativas y sanciones.
Toda persona que haya sufrido daños y perjuicios, materiales o inmateriales, por la comisión de una infracción del nuevo Reglamento tendrá derecho a percibir una indemnización del responsable o del encargado del tratamiento.
En estos casos, mientras que el responsable sólo responderá de los daños y perjuicios causados en caso de que la operación no cumpla las disposiciones del Reglamento; el encargado únicamente lo hará en caso de
incumplimiento de sus obligaciones reglamentarias, o cuando actúe al margen o en contra de las instrucciones del responsable. Ambos quedarán exentos de responsabilidad si demuestran no ser responsables del hecho causante del daño o perjuicio.
Cuando más de un responsable o encargado, o un responsable y un encargado, hayan participado en la misma
operación de tratamiento, cada uno de ellos será considerado responsable de todos los daños y perjuicios, a fin de garantizar la efectiva indemnización del interesado; sin perjuicio del derecho que ambos tienen a repercutir al otro la indemnización correspondiente a su parte de responsabilidad.
Respecto de la imposición de multas, cada autoridad de control garantizará que sean individualmente efectivas, proporcionadas y disuasorias; de forma tal que, se tendrán en cuenta las circunstancias individuales, las condiciones generales y las cuantías que expresamente se indican en el artículo 83.
Por último, los Estados miembros establecerán normas en materia sancionadora aplicables a las infracciones del R 2016/679, en particular, a las que no resulten objeto de multas administrativas en virtud del citado artículo 83, y adoptarán todas las medidas necesarias a fin de garantizar su observancia. Dichas sanciones serán también efectivas, proporcionadas y disuasorias.
Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte al respecto, a más tardar el día 25 de mayo de 2018, así como cualquier modificación posterior.
