Resumen: El DPI (Data Privacy Institute) dentro
de ISMS Forum Spain, ha elaborado un documento que tiene como objetivo
principal ser un análisis de la propuesta de nueva regulación (en concreto del
borrador publicado el 25 de enero de 2012 por la Comisión Europea), de modo que
permita conocer en detalle los aspectos regulados en esta normativa, el
resultado de su comparación con la normativa española vigente, y el posible
impacto que tendrá sobre las entidades públicas o privadas.
En este Estudio han colaborado
|
Coordinadores
|
|
Adrián
Agudo Fernández
Edgar
Ansola Munuera
CDPP Miguel Ángel Ballesteros
CDPP Noemí Brito Izquierdo
Ignacio
Bruna López Polín
Fernando
Campo Guardiola
CDPP Francisco Javier Carbayo
CDPP Concepción Cordón Fuentes
José
Martín Dacal Romero
Sara
Degli Esposti
Flora
Egea Torrón
Roberto
Carlos García Oliva
David
González Calleja
CDPP Francesc Flores González
Héctor
E. Guzmán Rodríguez
CDPP Ana Iparraguirre Jiménez
CDPP María José Lacunza González
CDPP Gustavo Lozano García
Miguel
Ángel Lubian
Luis
Salvador Montero
CDPP Nathaly Rey Arenas
CDPP Soledad Romero Jiménez
CDPP Carlos Alberto Saiz Peña
María
Teresa Torres Cardona
CDPP Rafael Velázquez Bautista
CDPP Eva Vidal Fernández
|
CDPP Francisco Javier Carbayo
CDPP Nathaly Rey Arenas
CDPP Miguel Ángel Ballesteros
CDPP Carlos Alberto Saiz Peña
|
|
Actualizado
|
7 de Enero de 2012
|
|
ÍNDICE
1. CARTA DE
PRESENTACIÓN
2. RESUMEN EJECUTIVO 3. INTRODUCCIÓN
4. ALCANCE Y OBJETIVOS
5. METODOLOGÍA
6. ESTUDIO DE LOS 90 ARTÍCULOS DE LA PROPUESTA
7. CONCLUSIONES
8. COPYRIGHT Y DERECHOS
1. CARTA DE PRESENTACIÓN
Queridos amigos:
Como sabéis, ISMS
Forum Spain (Asociación Española para el Fomento de la Seguridad de la
Información) es una gran red activa y abierta, un punto de encuentro, de debate
e intercambio de experiencias para empresas, profesionales y expertos del
sector, que permite aportar valor a una sociedad cada vez más interconectada y,
por tanto, expuesta a mayores riesgos.
Dentro de la Asociación,
el Data Privacy Institute (DPI) aglutina a todas las personas y organizaciones
que tienen responsabilidades e interés en el cumplimiento de la normativa sobre
Privacidad y Protección de Datos de carácter personal.
Es por ello que,
tanto desde ISMS Forum Spain como desde el DPI, estamos permanentemente atentos
a las regulaciones en ciernes que pueden afectar al Cumplimiento normativo y
Seguridad de la Información.
En consecuencia,
venimos trabajando desde hace tiempo, en el estudio de la nueva regulación
europea sobre Protección de Datos que está en proceso de elaboración.
Como uno de los
resultados de estos trabajos, queremos presentar el “Estudio de impacto y GAP
con la normativa española de la propuesta de Reglamento General de Protección de
Datos de la Unión Europea”, un documento que tiene como objetivo principal ser
un análisis de la propuesta de nueva regulación (en concreto del borrador
publicado el 25 de enero de 2012 por la Comisión), de modo que podáis conocer
en detalle los aspectos regulados en esta normativa, el resultado de su
comparación con la normativa española vigente, y el posible impacto que tendrá
sobre las entidades públicas o privadas.
Esperamos que el
Estudio os resulte de interés y utilidad, pues esas son sus principales finalidades.
Por último, os
animamos, como siempre, a ser partícipes de las iniciativas y acciones de ISMS
Forum Spain y el DPI, puesto que la participación de todos es clave para un resultado
mayor y mejor.
Atentamente,
Gianluca D’Antonio Carlos Alberto Saiz Peña
(Presidente) (Secretario y Vicepresidente)
2. RESUMEN
EJECUTIVO
El proceso
legislativo se ha iniciado recientemente y es previsible que este íter llegue hasta
2014.
Una de las
principales virtudes de este futuro Reglamento es que tendría una aplicación directa
sobre todas las organizaciones europeas que tienen que cumplir con la
normativa, logrando una armonización inexistente hoy en día.
Uno de los grandes
retos es que tendrá que ser interpretado con la normativa nacional de los
Estados miembros, donde se regulen aspectos tangenciales al tratamiento de datos.
España es un país donde ya existe una cultura y conocimiento de la protección
de datos gracias a las normas publicadas desde el año 1992 (LORTAD, LOPD, RMS Y
RLOPD principalmente), pero hay novedades en el borrador de la Propuesta de
Reglamento que llevarán bastante trabajo absorber y cambiar en las
organizaciones que tratan datos.
Los conceptos como
Accountability, Privacy by Design, Privacy by Default y Privacy Impact
Assessment implican la necesidad de implantar unos criterios de Gobierno
interno y operativos más
enfocados a la gestión de riesgos y el compliance, y de considerar los aspectos
de privacidad más alineados al negocio y a los procesos de las organizaciones, teniéndolos
en cuenta desde su concepción.
Asimismo, hay que
prestar especial atención a aspectos novedosos como la incorporación de la
figura del Delegado de Protección de Datos; la aparición de mecanismos y procedimientos
como las consultas previas, certificaciones orientadas a privacidad y notificación
de violaciones de seguridad; el establecimiento de los derechos al olvido y a
la portabilidad de datos; y los cambios sustanciales que se producen en el
ámbito de aplicación de la norma y los criterios sancionadores.
En esta primera
edición del Estudio hemos apostado por hacer una revisión general de todos los
artículos. Nuestro deseo es realizar más ediciones en adelante, en las que se desarrolle un
análisis más profundo en algunos de los puntos más controvertidos, a la vez que
estaremos atentos a la publicación de futuras versiones de borrador.
3. INTRODUCCIÓN
Desde el Data Privacy
Institute (DPI) de ISMS Forum Spain hemos recogido la sensibilidad de muchos de
nuestros socios y su interés por profundizar en cómo va a influir en España la
futura normativa europea en materia de Protección de Datos, que vendrá a
sustituir a la Directiva 95/46/CE.
De esta manera, hemos
desarrollado con mucha ilusión un estudio sobre la Propuesta de “Reglamento del
Parlamento Europeo y del Consejo relativo a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre circulación
de estos datos (Reglamento General de Protección de Datos)”, en su versión publicada
en enero de este año.
Este estudio ha
contado con el apoyo, la reflexión y el conocimiento de un grupo de expertos de primer
nivel, que no sólo querían exponer su opinión, sino que antes bien querían
compartir su conocimiento y experiencia con el resto de socios y con la
Sociedad en general.
Sirva ya esta
introducción para mostrar el agradecimiento de ISMS Forum Spain y el DPI a los
participantes en el Estudio por su enorme interés, por su implicación, por el
uso e inversión de tiempo libre que sabemos han realizado, por su disposición
permanente, y por el magnífico nivel de los resultados alcanzados.
4. ALCANCE
Y OBJETIVOS
El Alcance definido
para esta iniciativa es únicamente la Propuesta de “Reglamento del Parlamento
Europeo y del Consejo relativo a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de estos
datos” (Reglamento General de Protección de Datos).
En cuanto a los
Objetivos de la iniciativa, han sido principalmente:
• Proponer un estudio de la propuesta de
nueva regulación, de cara a determinar, entre otros aspectos, qué regula, cómo
lo regula, qué supone y cuáles pueden ser las directrices generales para su
cumplimiento.
• Realizar un análisis diferencial entre la
propuesta de nueva regulación y la actual regulación en España, y de modo
principal con relación a la Ley Orgánica 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal (en adelante LOPD) y su Reglamento de
desarrollo, el Real Decreto 1720/2007, de 21 de diciembre, por el que se
aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de carácter personal (en adelante RLOPD o Real Decreto 1720/2007).
• Evaluar la posición, competencias y
funciones de las Autoridades Europeas de Protección de Datos, y en particular
de la Agencia Española de Protección de Datos (en adelante AEPD).
• Mostrar no sólo el interés del DPI sobre el
proceso de creación normativa, sino su voluntad de crear una opinión propia y
experta sobre la evolución de tal proceso y sobre la regulación que se pretenda
aprobar.
• Aportar medios y herramientas no sólo a los
miembros de ISMS Forum Spain y del DPI, sino a la Sociedad en general, para
comprender la nueva regulación, sus conceptos y requisitos, y sobre todo sus
consecuencias y el modo de superar las diferencias que marque con el actual
marco regulatorio.
5. METODOLOGÍA
Para el desarrollo de
un Estudio de esta envergadura, era necesario adoptar una metodología de
análisis y presentación de resultados homogénea, clara y práctica. Y ello no
sólo por el número de personas que han invertido tiempo y esfuerzo personal en
su elaboración, sino también por los destinatarios y lectores del mismo.
En este sentido,
todos los implicados en este Estudio hemos buscado desde el primer momento un
resultado útil y de fácil uso, que aportara un valor efectivo a los receptores del
documento respecto al conocimiento del contenido e impacto del Reglamento UE.
Se debe tener en
cuenta que este Estudio no se ha centrado o reducido a aspectos específicos o
concretos del Reglamento UE, ni ha querido quedarse únicamente en los aspectos
que han causado mayor sorpresa, preocupación, debate, etc. Antes bien, el Estudio
se realiza sobre todos y cada uno de los Artículos de la Propuesta publicada en
enero de 2012, sin discriminar ni eliminar de su alcance a ninguno de ellos.
Creemos que si
realmente queremos tener una aproximación a la regulación en ciernes, tal
aproximación debe ser integral, en el sentido de la evaluación, reflexión y
opinión sobre cada una de las partes que configuran el todo del Reglamento UE.
Lógicamente, se
trataba de una opción ambiciosa que, sin embargo, hemos afrontado con la
intención de promover y publicar un Estudio tan integral como relevante.
Para poder manejar la
elaboración del documento en unos términos razonables, ordenados y estables, se
desarrolló una metodología de trabajo específica, bajo las siguientes pautas:
• Desde la Coordinación de la iniciativa se
parametrizaron con el máximo detalle posible las tareas a realizar, procurando
comunicar directrices claras y precisas para su elaboración.
• Se diseñaron tareas delimitadas y
concretas, que habían de elaborarse tomando en consideración las pautas
emitidas desde Coordinación, en las que se fijaba la estructura, extensión y
pautas de elaboración de cada aportación individual.
• A tal fin se elaboraron por la Coordinación
plantillas y ejemplos, que reflejaban las directrices de desarrollo del
documento.
• Se revisaron todas las aportaciones para
verificar el mantenimiento de las pautas de homogeneidad, claridad y precisión
que debían regir todo el resultado.
• Finalmente, se trasladaron todas las
aportaciones individuales a un documento único, que constituye el núcleo
central de este Estudio.
6.
ESTUDIO DE LOS 90 ARTÍCULOS DE LA PROPUESTA.
A continuación se
recoge el estudio individualizado de todos y cada uno de los artículos de la
Propuesta, bajo la siguiente estructura en todos los casos:
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN EUROPEA
Artículo
0
En este apartado se recoge el artículo a analizar y el título del mismo.
ARTÍCULO/S LOPD Y/O RLOPD
En este apartado se
recoge/n el/los artículo/s de la LOPD o el RLOPD que se considera que
podrían tener relación, correspondencia o se verían afectados por el artículo
correspondiente del Reglamento UE.
GAP CON LA NORMATIVA ESPAÑOLA
En este apartado se
recoge el análisis diferencial entre el artículo
del Reglamento UE y el/los artículo/s de la LOPD y el RLOPD.
EVALUACIÓN DEL IMPACTO
En este apartado se
expondrá la opinión sobre qué impacto tiene para las entidades privadas y
públicas en España la nueva regulación
NOTA
DEL EDITOR: Para facilitar la consulta de un
artículo determinado, añadimos al documento original un índice con los 90
artículos de que consta la propuesta de Reglamento General de Protección de
Datos de la Unión Europea.
Puede consultarse el borrador del Reglamento en el
enlace que sigue:
Artículo 2: Ámbito de aplicación material.
Artículo 3: Ámbito de aplicación territorial.
Artículo 4: Definiciones.
Artículo 5: Principios relativos al tratamiento de datos personales.
Artículo 6: Licitud del tratamiento de datos.
Artículo 7: Condiciones para el consentimiento.
Artículo 8: Tratamiento de los datos personales relativos a los niños.
Artículo 9: Tratamiento de categorías especiales de datos personales.
Artículo 10: Tratamiento que no permite identificación.
Artículo 11: Transparencia de la información y la comunicación.
Artículo 12: Procedimientos y mecanismos para el ejercicio de los derechos de los interesados.
Artículo 13: Derechos en relación con los destinatarios.
Artículo 14: Información al interesado.
Artículo 15: Derecho de acceso del interesado.
Artículo 16: Derecho de rectificación y cancelación.
Artículo 17: Derecho al olvido y a la supresión.
Artículo 18: Derecho a la portabilidad de los datos.
Artículo 19: Derecho de oposición.
Artículo 20: Medidas basadas en la elaboración de perfiles.
Artículo 21: Limitaciones.
Artículo 22: Obligaciones del responsable del tratamiento.
Artículo 23: Protección de datos desde el diseño y por defecto.
Artículo 24: Corresponsables del tratamiento.
Artículo 25: Representantes de los responsables del tratamiento no establecidos en la Unión.
Artículo 26: Encargado de tratamiento.
Artículo 27: Tratamiento bajo la autoridad del responsable y del encargado del tratamiento.
Artículo 28: Documentación.
Artículo 29: Cooperación con la autoridad de control.
Artículo 30: Seguridad del tratamiento.
Artículo 31: Notificación de una violación de datos personales a la autoridad de control.
Artículo 32: Comunicación de una violación de datos personales al interesado.
Artículo 33: Evaluación del impacto relativa a la protección de datos.
Artículo 34: Autorización y consultas previas.
Artículo 35: Designación del Delegado de Protección de Datos.
Artículo 36: Función de Delegado de Protección de Datos.
Artículo 37: Tareas del Delegado de Protección de Datos.
Artículo 38: Códigos de conducta.
Artículo 39: Certificación.
Artículo 40: Principio general de las transferencias.
Artículo 41: Transferencias con una decisión de adecuación.
Artículo 42: Transferencias mediante garantías apropiadas.
Artículo 43: Transferencias mediante normas corporativas vinculantes.
Artículo 44: Excepciones.
Artículo 45: Cooperación internacional en el ámbito de la protección de datos personales.
Artículo 46: Autoridad de control.
Artículo 47: Independencia.
Artículo 48: Condiciones generales aplicables a los miembros de la autoridad de control.
Artículo 49: Normas relativas al establecimiento de la autoridad de control.
Artículo 50: Secreto profesional.
Artículo 51: Competencia.
Artículo 52: Funciones.
Artículo 53: Poderes.
Artículo 54: Informe de actividad.
Artículo 55: Asistencia mutua.
Artículo 56: Operaciones conjuntas de las autoridades de control.
Artículo 57: Mecanismo de coherencia.
Artículo 58: Dictamen del Consejo Europeo de Protección de Datos.
Artículo 59: Dictamen de la Comisión.
Artículo 60: Suspensión de un proyecto de medida.
Artículo 61: Procedimiento de urgencia.
Artículo 62: Actos de ejecución.
Artículo 63: Ejecución.
Artículo 64: Consejo Europeo de Protección de Datos (CEPD).
Artículo 65: Independencia.
Artículo 66: Tareas del Consejo Europeo de Protección de Datos.
Artículo 67: Informes.
Artículo 68: Procedimiento.
Artículo 69: Presidente.
Artículo 70: Tareas del Presidente.
Artículo 71: Secretaría.
Artículo 72: Confidencialidad.
Artículo 73: Derecho a presentar una reclamación ante una autoridad de control.
Artículo 74: Derecho a un recurso judicial contra una autoridad de control.
Artículo 75: Derecho a un recurso judicial contra un responsable o encargado.
Artículo 76: Normas comunes para los procedimientos judiciales.
Artículo 77: Derecho a indemnización y responsabilidad.
Artículo 78: Sanciones.
Artículo 79: Sanciones administrativas.
Artículo 80: Tratamiento de datos personales y libertad de expresión.
Artículo 81: Tratamiento de datos personales relativos a la salud.
Artículo 82: Tratamiento en el ámbito laboral.
Artículo 83: Tratamiento para fines de investigación histórica, estadística o científica.
Artículo 84: Obligaciones de secreto.
Artículo 85: Normas vigentes sobre protección de datos de las iglesias y asociaciones religiosas.
Artículo 86: Ejercicio de la delegación.
Artículo 87: Procedimiento de Comité.
Artículo 88: Derogación de la Directiva 95/46/CE.
Artículo 89: Relación con la Directiva 2002/58/CE y modificación de la misma.
Artículo 90: Evaluación.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN EUROPEA
Artículo
1
Objeto y objetivos
ARTÍCULO/S LOPD Y/O RLOPD
LOPD: Artículo 1. Objeto.
RLOPD: Artículo 1. Objeto.
En aplicación de lo dispuesto en el Artículo 1º.2 del RLOPD, tener en
cuenta también lo dispuesto en el Capítulo III. Procedimientos Relativos al
Ejercicio de la Potestad Sancionadora (Artículos 120 y siguientes RLOPD).
GAP CON LA NORMATIVA ESPAÑOLA
Se debe aprovechar la posible reforma legislativa para introducir y citar
de forma explícita el derecho fundamental a la protección de datos personales (como
ya hace el Reglamento UE), así como el derecho fundamental a la autodeterminación
informativa.
Al respecto, el Reglamento UE habla de la necesidad de que los individuos
tomen el “control sobre sus datos” [véase su exposición de motivos y los objetivos
estratégicos asociados a la ficha financiera legislativa (punto 1.4.3)].
Estas aportaciones, además de ser coherentes con el nuevo texto
normativo, también lo serían con la Carta Europea de Derechos Fundamentales
(Artículo 8): http://www.europarl.europa.eu/charter/pdf/text_es.pdf.
EVALUACIÓN DEL IMPACTO
El Artículo 1º del Reglamento UE no hace más que reforzar la protección
de los datos personales de las personas físicas en el ámbito de la UE, bajo una
perspectiva más integradora y más coherente motivado, entre otras cuestiones, por
lo dispuesto en la propia exposición de motivos del nuevo texto comunitario.
Es importante resaltar que el Reglamento UE también insiste en la
consolidación del principio de la libre circulación de los datos personales
entre los Estados miembros, evitando que ésta se restrinja o prohíba por
motivos relacionados con la protección y el tratamiento de los datos
personales. Ambas situaciones, tienen una clara incidencia en las entidades
públicas y privadas españolas que deberán garantizar de forma plena ambos
principios y normas.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 2
Ámbito de aplicación material.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 2. Ámbito
de aplicación.
RLOPD:
Artículo 2. Ámbito
objetivo de aplicación.
Artículo
4. Ficheros
o tratamientos excluidos.
GAP CON LA NORMATIVA ESPAÑOLA
Inclusión
de la expresión “sin interés lucrativo” en la exclusión relativa al tratamiento
de datos por personas físicas en ejercicio de actividades personales o
domésticas.
Falta
de “generalización” de la ley española respecto a la exclusión europea de
tratamientos por autoridades con fines de prevención, investigación o enjuiciamiento
de infracciones penales o de ejecución de sanciones penales.
Falta
de mención específica a la exclusión relativa al tratamiento de datos por parte
de instituciones, órganos u organismos de la Unión.
Falta
de mención específica de la exclusión de los tratamientos realizados por los
Estados miembros cuando llevan a cabo actividades comprendidas en el ámbito del
capítulo 2 del Tratado de la Unión Europea.
EVALUACIÓN DEL IMPACTO
Una
mayor concreción de los supuestos de aplicación y, en su caso, de exclusión a
la que apunta el Reglamento UE implica la determinación de un nuevo marco legal
de tratamientos de datos personales sujetos o no al ámbito de aplicación del Reglamento
UE y, por ende, a la normativa nacional aplicable que corresponda en este
ámbito y ello, afecta, y mucho, a todas las entidades o personas, públicas o privadas,
que traten o manejen datos personales en ejercicio de sus actividades y
competencias específicas.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 3
Ámbito de aplicación territorial.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 2. Ámbito
de aplicación.
RLOPD:
Artículo 3. Ámbito
territorial de aplicación.
GAP CON LA NORMATIVA ESPAÑOLA
Mención
específica a encargados del tratamiento establecidos en la Unión.
La
nueva normativa determina también su aplicabilidad a los responsables de tratamiento
no establecidos en la UE bastando, y ésta es la novedad principal, que éstos
traten datos personales de interesados residentes en la UE en ejercicio de
actividades relacionadas con la oferta de bienes o servicios a tales interesados
o el control de su conducta. Se desvincula la aplicación territorial de esta
normativa europea, en estos casos, del hecho de que dichos responsables utilicen
para tales tratamientos medios que estén situados en la UE (sean o no de
tránsito).
EVALUACIÓN DEL IMPACTO
La
nueva regulación difiere, en parte, de la existente en España derivada de la
propia normativa 95/46/CE y, claramente, redunda en favor de la mayor aplicación
territorial de la normativa europea de Protección de Datos personales, particular,
en el caso de responsables de tratamiento no establecidos en la UE.
Ello
se traduce, a la postre, en la potenciación y refuerzo de la protección de los derechos
fundamentales de los residentes en la UE en el ámbito de la protección de los
datos personales.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 4
Definiciones.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 3. Definiciones.
RLOPD:
Artículo 5. Definiciones.
GAP CON LA NORMATIVA ESPAÑOLA
Introduce
las siguientes definiciones:
·
violación
de los datos personales;
·
datos
genéticos;
·
datos
biométricos;
·
datos
relativos a salud;
·
establecimiento
principal;
·
representante;
·
empresa;
·
grupo
de empresas;
·
normas
corporativas vinculantes;
·
niño;
·
autoridad
de control.
Añade
el matiz de consentimiento explícito.
Amplía
la definición de datos relativos a salud, a la información de asistencia prestada
por los servicios de salud.
Diferencia
de edad entre un menor, ya que el RLOPD lo fija en 14 años y en Reglamento UE
en 13 años.
EVALUACIÓN DEL IMPACTO
Respecto
a las definiciones sobre datos genéticos, datos biométricos y niños y según el
Artículo 33.2.d del Reglamento UE, que exige una evaluación del impacto,
implica dotar de mayor protección, por lo que las medidas de seguridad a
aplicar podrían variar, lo cual podría afectar a las excepciones del Artículo 81.5.b
RLOPD.
Con
la ampliación del consentimiento, de definición de datos de salud, además, se
deberían revisar todos los ficheros y tratamientos que contengan la nueva definición
(ejemplo: número de la Seguridad Social, facturas de especialistas...)
Problema
con la edad de menores.
Revisiones
de consentimientos recibidos.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 5
Principios relativos al tratamiento de
datos personales.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 4. Calidad
de los datos.
RLOPD:
Artículo 8. Principios
relativos a la calidad de los datos.
Artículo
9. Tratamiento
con fines estadísticos, históricos o científicos.
GAP CON LA NORMATIVA ESPAÑOLA
Introduce
matices adicionales como:
·
principio
de transparencia;
·
principio
de minimización de los datos;
·
responsabilidad
general del responsable del tratamiento.
No
especifica la consideración de “exactitud” de los datos según de dónde se recaben
los mismos, ni establece nada sobre plazos que el RLOPD especifica en el
Artículo 8.5.
EVALUACIÓN DEL IMPACTO
El
responsable deberá tener mayor documentación que acredite la diligencia en el
tratamiento de datos, y el cumplimiento de la normativa aplicable.
Necesidad
de implantación de una política robusta de gestión de la información.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 6
Licitud del tratamiento de datos.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 6. Consentimiento
del afectado.
RLOPD:
Artículo 10. Supuestos
que legitiman el tratamiento o cesión de los datos.
Artículo
12. Principios
generales.
GAP CON LA NORMATIVA ESPAÑOLA
La
principal diferencia estriba en la inclusión, en la línea de la Directiva, del interés
legítimo como supuesto legitimador para el tratamiento de datos, que en la LOPD
se acoge con el requisito adicional de que los datos figuren en Fuentes
Accesibles
al Público. Pese a la anulación del Artículo 10.2.b del RLOPD, el requisito
sigue existiendo en la LOPD, pero habrá de interpretarse conforme a la conocida
Sentencia del Tribunal de Justicia de la UE en relación con lo dispuesto en la
Directiva. Interesante es que la Comisión podrá adoptar actos delegados para
especificar las condiciones de este tratamiento.
EVALUACIÓN DEL IMPACTO
Además
de la interpretación que vaya haciendo la AEPD sobre el tratamiento basado en
la satisfacción del interés legítimo, habrá que estar pendientes de las
decisiones de la Comisión a este respecto. Las resoluciones de la AEPD y los
actos de la Comisión irán suponiendo novedades a la hora de permitir el tratamiento
de datos sin necesidad de consentimiento del afectado, lo cual supone un cambio
trascendental en la aplicación práctica de la normativa.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 7
Condiciones para el consentimiento.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 6. Consentimiento
del afectado.
RLOPD:
Artículo 9. Tratamiento
con fines estadísticos, históricos o científicos.
Artículo
12. Principios
generales.
Artículo
15. Solicitud
del consentimiento en el marco de una relación contractual para fines no
relacionados directamente con la misma.
Artículo
17. Revocación
del consentimiento.
GAP CON LA NORMATIVA ESPAÑOLA
Se
considera que no es válido el consentimiento para el tratamiento si hay un desequilibrio
claro entre la posición del responsable y la del interesado.
EVALUACIÓN DEL IMPACTO
La
novedad detallada sobre el desequilibrio entre la posición del interesado y el responsable
podrá tener trascendencia práctica, aunque se trata de un concepto que deberá
ser interpretado. Si se considera que existe este desequilibrio, por ejemplo,
en los contratos de adhesión, habrá consecuencias importantes en cuanto a la
forma de recabar el consentimiento.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 8
Tratamiento de los datos personales
relativos a los niños.
ARTÍCULO/S LOPD Y/O RLOPD
RLOPD:
Artículo 13. Consentimiento
para el tratamiento de datos de menores de edad.
GAP CON LA NORMATIVA ESPAÑOLA
El
Reglamento UE se refiere al consentimiento de menores pero sólo en lo relativo
a la oferta de servicios de la sociedad de la información, en el RLOPD no se
limita a este sector. Además se considera válido el consentimiento del menor a
partir de los 13 años, mientras que en el RLOPD es a partir de los 14 años.
Además
la Comisión podrá adoptar actos delegados para especificar criterios y condiciones
aplicables a los métodos de obtención del consentimiento, y establecer
formularios normalizados.
EVALUACIÓN DEL IMPACTO
Podrán
tratarse datos de menores de edad a partir de los 13 años sin necesidad de
consentimiento de sus padres o tutores, en la oferta directa de servicios de la
sociedad de la información. Para la obtención del consentimiento verificable, se
dispondrá de criterios y condiciones, así como formularios normalizados, que podrá
adoptar y establecer la Comisión.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 9
Tratamiento de categorías especiales
de datos
personales.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 7. Datos
especialmente protegidos.
RLOPD:
Artículo 8. Principios
de calidad de los datos.
GAP CON LA NORMATIVA ESPAÑOLA
Se
explicitan los datos genéticos como datos especiales.
No
se exige que el consentimiento sea expreso, o expreso y por escrito, para el tratamiento
de datos especialmente protegidos.
Se
permite el tratamiento de datos especiales cuando el interesado los haya hecho
manifiestamente públicos.
EVALUACIÓN DEL IMPACTO
Aunque
no se exija que el consentimiento sea expreso, o expreso y por escrito, la
trascendencia práctica es pequeña, dado que el responsable debe probar en todo
caso la existencia del consentimiento.
Será
necesario interpretar la autorización que da el Reglamento UE al tratamiento de
estos datos cuando se han hecho públicos, puesto que no se entiende esta excepción
para este tipo de datos cuando no figura para el tratamiento de datos que no
son especiales.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 10
Tratamiento
que no permite identificación.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
cabe análisis diferencial.
EVALUACIÓN DEL IMPACTO
La
exposición de motivos de la propuesta de Reglamento UE al abordar el Artículo
10, aclara que el responsable del tratamiento no está obligado a obtener información
adicional para identificar al interesado con el único fin de cumplir las
disposiciones del Reglamento UE.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 11
Transparencia de la información y la
comunicación.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 5. Derecho de información en la recogida de datos.
Artículo
15.2. Derecho de acceso.
RLOPD:
Artículo 13.3. Consentimiento para el tratamiento de datos de menores de
edad.
Artículo
24.2. Condiciones generales para el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición.
GAP CON LA NORMATIVA ESPAÑOLA
No
se recoge específicamente en la normativa española.
El
Artículo 11 de la Propuesta de Reglamento UE legisla sobre la necesidad que las
autoridades de control, legisladores, usuarios, y mercado ya habían detectado y
que resultaba necesaria. El motivo es la gran opacidad, exceso de terminología legal,
longitud y dificultad de comprensión de la información ofrecida por algunas
corporaciones en sus políticas de tratamiento (generalmente en sus páginas web,
“parcheando” la política de datos) en los últimos años. El asunto es
especialmente grave en la información ofrecida para tratamiento de datos de niños.
EVALUACIÓN DEL IMPACTO
Muchas
de las grandes empresas ya han avanzado, invirtiendo en la adopción de políticas
en tal sentido, aunque deberán revisarlas a la luz de la nueva normativa, a la
espera de su valoración por las autoridades de control.
Esta
obligación es especialmente importante en todas aquellas organizaciones cuyo
objetivo sea el tratamiento de datos de niños.
Por
lo expuesto, el coste para la empresa española de esta medida está justificado
porque socialmente se demanda esta adaptación y el legislador se ha limitado a
adoptarla.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 12
Procedimientos y mecanismos para el
ejercicio de los derechos de los interesados.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 5. Derecho
de información en la recogida de datos.
Artículo
15. Derecho
de acceso.
RLOPD:
Artículos 23 al
36.
GAP CON LA NORMATIVA ESPAÑOLA
La
normativa española contiene una regulación exhaustiva sobre la materia.
Las
novedades son:
I)
extensión de los mecanismos para ejercer el derecho al olvido y portabilidad;
II)
el ejercicio de los derechos ARCO quedaría afectado por:
·
La
vía electrónica.
·
Plazo
común un mes para su ejercicio y prorroga de un mes para caso específico.
·
Necesidad
de denegación motivada por los derechos ARCO, olvido y portabilidad.
·
Introducción
del concepto “solicitudes manifiestamente excesivas”.
·
Comisión
facultada para establecer formularios y procedimientos normalizados para respuestas.
EVALUACIÓN DEL IMPACTO
La
unificación del plazo de un mes para los derechos ARCO facilitará la gestión a
las organizaciones.
Es
bienvenida la vía electrónica y responde a la adaptación a los tiempos.
La
denegación motivada de los derechos ARCO, olvido y portabilidad pese a ser una
obligación para las empresas es adecuada.
Puede
plantear problemas la introducción del concepto de “solicitudes manifiestamente
excesivas”, respecto al derecho de acceso porque hoy se permite el ejercicio
del derecho de acceso sólo a intervalos de doce meses.
La
Comisión debe aclarar qué son dichas solicitudes y establecer formularios y procedimientos
normalizados.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 13
Derechos en relación con los
destinatarios.
ARTÍCULO/S LOPD Y/O RLOPD
RLOPD:
Artículo 31.3. Derechos
de rectificación y cancelación.
GAP CON LA NORMATIVA ESPAÑOLA
La
exposición de motivos de la propuesta de Reglamento UE manifiesta que el
Artículo 13 establece derechos a favor de los destinatarios, basados en el Artículo
12.c) de la Directiva 95/46/CE y ampliados a “todos” los destinatarios, incluyendo
“corresponsables y coencargados”.
Introduce
la salvedad de que el responsable comunique la rectificación y supresión realizada
“salvo que sea imposible o exija un esfuerzo desproporcionado” respecto al
Artículo 31.3 del RLOPD, limitando razonablemente la comunicación.
También
introduce la necesidad de comunicación respecto del derecho al olvido, con la
misma salvedad.
EVALUACIÓN DEL IMPACTO
Será
bien acogida la salvedad respecto del texto español vigente por lo razonable que
resulta, sin embargo la ampliación de los destinatarios de la comunicación a corresponsables
y coencargados es problemático por aumentar los destinatarios y, en especial,
por tratarse de categorías confusas por su indeterminación. Esto es un problema
para la empresa española si quiere aplicar correctamente la norma.
La
inclusión de la necesidad de comunicación respecto al derecho al olvido parece
coherente en la aplicación del derecho, no obstante crea nuevas obligaciones
para las empresas y tendrá costes asociados.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 14
Información al interesado.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 5. Derecho
de información en la recogida de datos.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 14 del Reglamento UE contiene una relación de derechos mínimos que
determina la obligación de completar la información al interesado añadiendo a
la requerida por el Artículo 5 LOPD, algunos aspectos como el plazo de
conservación de los datos, la intención del responsable de efectuar una
transferencia internacional, el nivel de protección ofrecido y cualquier otra información
necesaria para garantizar un tratamiento de datos leal.
La
Comisión está facultada para adoptar actos delegados para especificar criterios
aplicables de cumplimiento de los principios y para establecer formularios.
EVALUACIÓN DEL IMPACTO
El
nuevo Artículo 14 exige este derecho de modo más completo y específico según el
tratamiento. Se convierte esta en una obligación más garantista y protectora.
Para
las entidades públicas y privadas, implicará un esfuerzo de análisis y síntesis
de la información al interesado. Las actuales cláusulas deberán ser revisadas y
completadas.
Las
microempresas y las pequeñas y medianas empresas deberán atenerse a las medidas
que la Comisión adopte a través de actos delegados, por lo que en ningún caso
quedarán exentas del cumplimiento de este derecho de información al interesado.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 15
Derecho de acceso del interesado.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 15. Derecho
de acceso.
RLOPD:
Artículos 24 a
30.
GAP CON LA NORMATIVA ESPAÑOLA
La
propuesta amplía la condición de “gratuidad” a todos los derechos.
Se
incluye la enumeración detallada de toda la información que el responsable del
tratamiento está obligado a dar, en el derecho de acceso.
Desaparece
la restricción del ejercicio del derecho a plazos no inferiores a doce meses.
No
se requiere que se especifique sobre cuáles de los ficheros se quiere ejercitar
el derecho de acceso.
Se
incluye la posibilidad de utilización de varios canales para hacer la solicitud
de ejercicio del derecho, y la obligatoriedad de que el responsable del tratamiento
conteste a través del mismo canal por el que se hizo la solicitud si así lo
quiere el interesado.
EVALUACIÓN DEL IMPACTO
Cambios
cuyo impacto no es fácil determinar:
a)
Que se comunique cualquier información posible sobre el origen de los datos.
b)
Que en principio no se fije un límite o plazo concreto y específico para
delimitar el número de veces que se realice la solicitud.
Los
responsables de tratamientos deberán cambiar todos los textos informativos, en
todos los canales.
La
homogeneización o normalización, supondrá la modificación de procesos y aplicaciones
diseñados para dar soporte a los derechos ARCO.
La
habilitación de diferentes canales para la respuesta a las solicitudes.
Cambios
en la política de retención de la información.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 16
Derecho de rectificación y
cancelación.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 16. Derecho
de rectificación y cancelación.
RLOPD:
Artículos 31 a
33.
GAP CON LA NORMATIVA ESPAÑOLA
En
la propuesta de la UE el derecho a la supresión se regula en el Artículo 16 y se
crea un concepto nuevo en el Artículo 17, el derecho al olvido y a la
supresión.
En
la normativa española, la consecuencia final del derecho de cancelación es la supresión
de los datos, si bien antes los datos pueden ser bloqueados.
Por
lo que:
-
Desaparece el plazo de diez días para hacer efectivo el derecho.
-
No aparece mención alguna a obligación de conservación.
-
La obligación de informar de la rectificación a otros a los que previamente se hubieran
comunicado los datos, se pasa a un Artículo específico (Artículo 13).
-
Se introduce el concepto de declaración rectificativa adicional.
EVALUACIÓN DEL IMPACTO
La
supresión del plazo de diez días para que el responsable del tratamiento responda
a una solicitud de rectificación. Esto supondrá:
-
modificar los procesos de derechos ARCO implantados,
-
modificar las aplicaciones o sistemas de información que den soporte automatizado
a esos procesos (por ejemplo, las alertas o alarmas que vigilen el cumplimiento
de plazos de las solicitudes);
-
Modificar los textos informativos en el caso de que recogiesen este plazo.
La
desaparición del concepto bloqueo de los datos, tiene más que ver con la supresión
que con la rectificación, por lo que se analizará en los comentarios relativos
al Artículo 17.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 17
Derecho al olvido y a la supresión.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 16. Derecho
de rectificación y cancelación.
RLOPD:
Artículos 31 a
33.
GAP CON LA NORMATIVA ESPAÑOLA
Se
elimina el concepto “bloqueo” aunque sí se mantiene la obligación de conservación
de los datos.
Se
elimina el plazo de diez días para resolver la solicitud de supresión.
Se
incluye un concepto nuevo, el de “limitar el tratamiento” en determinadas circunstancias.
Se
amplían y especifican las circunstancias para:
·
La
supresión de los datos,
·
La
limitación del tratamiento y
·
La
supresión no inmediata.
Se
incluye la indicación expresa de que el responsable del tratamiento se abstenga
de dar difusión a los datos cancelados. Limitación del tratamiento relacionada
con el derecho a la portabilidad de los datos (nuevo).
EVALUACIÓN DEL IMPACTO
Cobra
relevancia la inclusión de los requisitos de cumplimiento, en el Information Lifecycle
Management, planteando dónde comienza y acaba el tratamiento.
Aplicación
del derecho de supresión.
·
Suprimir
proactivamente los datos cuando finalice el tratamiento o imponer una “fecha de
caducidad”.
·
Implantar
límites bajo determinadas causas.
·
Se
pueden conservar datos (por una obligación legal) pero con “marcadores”.
Aplicación
del derecho al olvido.
El
mayor impacto podría venir del hecho de que, una vez publicado un dato en
Internet, se indexe y aparezca en los buscadores, su presencia se haya extendido,
etc. Es necesario reflexionar sobre hasta dónde estaría el límite de la responsabilidad
del responsable del tratamiento.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 18
Derecho a la portabilidad de los
datos.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
Existe
un precedente en el ámbito de las telecomunicaciones. La Ley 32/2003 en su
Artículo 38 establece el derecho a la portabilidad, que tras su última reforma se
debe hacer efectiva en el plazo de un día laborable.
EVALUACIÓN DEL IMPACTO
Se
amplían derechos de los interesados, que tendrán mayor control sobre sus datos,
mientras que las organizaciones tendrán que implantar medidas técnicas y
organizativas que permitan hacer efectivo este derecho por parte de los interesados.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 19
Derecho de oposición.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 17. Procedimiento
de oposición, acceso, rectificación o cancelación.
GAP CON LA NORMATIVA ESPAÑOLA
El
Reglamento UE conserva el marco general de derechos existente ampliando dos
derechos más, el derecho al olvido y el derecho a la portabilidad de datos.
Incorpora
la novedad del ejercicio de derechos mediante canales electrónicos, regulado ya
en España por medio de la Ley de Impulso de la Sociedad de la Información.
Amplía
y generaliza el plazo para contestar a los ciudadanos a treinta días, criterio
diferente al actual en España.
EVALUACIÓN DEL IMPACTO
No
agrega gran novedad para la gestión de derechos en la empresa, sino que recalca
la obligatoriedad del derecho, y la gratuidad del procedimiento agrupándolo de
forma centralizada y mejorando el actual marco español.
Será
un catalizador para extender la gestión de derechos en formato electrónico allá
donde no se haya establecido todavía.
La
ampliación de los plazos previstos para el ejercicio de derechos beneficia claramente
a las empresas.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 20
Medidas basadas en la elaboración de
perfiles.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 13. Impugnación
de valoraciones.
Artículo
14. Derecho
de consulta al Registro General de Protección de Datos.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 20 de medidas basadas en la elaboración de perfiles refleja de igual forma
lo contemplado en el Artículo 13 de la LOPD aunque agregan aclaraciones sobre
los supuestos en los que se permiten dichas medidas; Ej: Ejecución de un contrato.
EVALUACIÓN DEL IMPACTO
Este
Artículo otorga más claridad y garantías a las organizaciones, ya que se detallan
las casuísticas exactas que habilitan el tratamiento.
Implicará
la realización de una revisión e identificación de los tratamientos existentes.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 21
Limitaciones.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 2. Ámbito
de aplicación.
RLOPD:
Artículo 2. Ámbito
objetivo de aplicación.
Artículo
4. Ficheros
o tratamientos excluidos.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 21 del Reglamento UE, refiere la potestad de limitación del Derecho de
la Unión o de un Estado miembro.
En
nuestra normativa, tanto el Artículo 2 LOPD como los Artículos 2 y 4 RLOPD, vienen
a implementar las limitaciones y exclusiones específicas que el legislador español
ha definido en materia de protección de datos.
Esta
posibilidad se plantea a través de medidas legislativas, que deberán contener
disposiciones específicas relacionadas con distintos aspectos y objetivos.
EVALUACIÓN DEL IMPACTO
El
Derecho de la Unión o el de un Estado miembro podrá plantear estas limitaciones
del Artículo 21, cuando constituyan una “medida necesaria y proporcional en una
sociedad democrática”.
Esto
obliga a una prueba de equilibrio de intereses que podría quebrar el marco de
armonización normativo ya que el legislador europeo o español, deberá valorar
la conveniencia de aplicar limitaciones frente a las garantías de protección
del interesado, con el riesgo añadido de las divergencias en función de la
interpretación que haga el poder legislativo de cada Estado miembro.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 22
Obligaciones del responsable del
tratamiento.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 26 LOPD. Notificación
e inscripción registral.
RLOPD:
Artículo 70. Transferencias
sujetas a autorización del Director de la AEPD.
Artículo
88. El
documento de seguridad.
Artículo
95. Responsable
de seguridad.
Artículo
96. Auditoría.
GAP CON LA NORMATIVA ESPAÑOLA
Se
establece al responsable del tratamiento, la obligación de implementar medidas
adecuadas que permitan demostrar su cumplimiento. En particular, se establecen
medidas dirigidas a acreditar:
-
La conservación de la documentación sobre los tratamientos que se realizan;
-
La implementación de medidas de seguridad;
-
La realización de evaluaciones de impacto en la protección de datos;
-
La designación del delegado de protección de datos;
-
La realización de auditorías independientes, cuando procedan;
-
La tramitación de autorizaciones y consultas previas a la autoridad de control,
cuando precedan.
EVALUACIÓN DEL IMPACTO
Las
entidades deberán, como mínimo:
-
Generar toda la documentación sobre los tratamientos que realizan. El contenido
de las notificaciones realizadas (Artículo 26 LOPD) podrá servir como punto de
partida.
-
Realizar un análisis de riesgos de seguridad de la información, que les permita
determinar las medias adecuadas para proteger los datos. En su caso,
implementarlas y documentarlas.
-
Establecer procedimientos y estándares para articular el cumplimiento, por medios
que permitan su acreditación posterior, de las distintas obligaciones (evaluaciones
de impacto, designación del delegado de protección de datos, auditorías
independientes, etc.).
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 23
Protección de datos desde el diseño y
por defecto.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 4. Calidad
de los datos.
Artículo
9. Seguridad
de los datos.
RLOPD:
Artículo 8. Principios
de calidad de los datos.
Título
VIII. De
las medidas de seguridad en el tratamiento de datos de carácter personal.
GAP CON LA NORMATIVA ESPAÑOLA
Se
introducen como novedad los conceptos de privacidad desde el diseño y privacidad
por defecto, defendidos desde hace varios años por la Doctrina.
Este
artículo refuerza el principio de calidad de los datos, establecido en el
Artículo 4 LOPD y desarrollado por el Artículo 8 RLOPD, estableciendo al responsable
la obligación de garantizar que el tratamiento de datos sea mínimo, tanto por
lo que respecta a la cantidad de los datos, como a su conservación.
EVALUACIÓN DEL IMPACTO
En
virtud de esta disposición, las entidades deberán diseñar e implantar controles
que garanticen que la normativa de protección de datos, sea tenida en cuenta, desde
el momento en que se decide la puesta en marcha de un tratamiento de datos
personales, es decir, desde el inicio de cualquier proyecto, sea cual fuera, que
conlleve el tratamiento de datos personales.
Asimismo,
por defecto, las entidades responsables del tratamiento, deberán diseñar e
implantar controles dirigidos a garantizar que los datos personales no sean
accesibles a un número indeterminado de personas.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 24
Corresponsables del tratamiento.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 3.d. Definiciones.
RLOPD:
Artículo 5.q. Definiciones.
GAP CON LA NORMATIVA ESPAÑOLA
Se
introduce una nueva figura de corresponsabilidad del tratamiento, que opera en
caso de que exista más de una entidad que pueda decidir sobre la finalidad, contenido
y uso del tratamiento.
EVALUACIÓN DEL IMPACTO
Las
entidades deberán identificar aquellos tratamientos que se enmarcan en este
supuesto. En su caso, deberán establecer con el/los corresponsable/s un
acuerdo, por escrito, que delimite sus responsabilidades respectivas en el
cumplimiento de las obligaciones de protección de datos, en particular, en relación
con los procedimientos para el ejercicio de derechos de los interesados.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 25
Representantes de los responsables del
tratamiento no establecidos en la Unión.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 2. Ámbito
de aplicación.
RLOPD:
Artículo 3. Ámbito
territorial de aplicación.
Artículo
5. Definiciones.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 3 RLOPD no refleja excepciones al cumplimiento de la obligación de designar
un representante del responsable del tratamiento en España. Por su parte, los
Artículos 2 LOPD y 5 RLOPD no incluyen en sus definiciones la figura de
representante, cuestión que sí realiza el Artículo 4.14 del Reglamento UE que sí
facilita su definición.
EVALUACIÓN DEL IMPACTO
Nuestra
actual normativa española es más restrictiva que la posible futura legislación,
ya que obliga siempre a tener un representante cuando el responsable de
tratamiento no esté establecido en la UE, por lo que al menos las empresas que
tengan un nivel de protección adecuado a la UE, aquellas de menos de 250
trabajadores y operen ocasionalmente en España, podrán dejar de tener la figura
de representante.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 26
Encargado de tratamiento.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 12. Acceso
a los datos por cuenta de terceros.
RLOPD:
Artículo 20. Relaciones
entre el responsable y el encargado del tratamiento.
Artículo
21. Posibilidad
de subcontratación de los servicios.
Artículo
22. Conservación
de los datos por el encargado del tratamiento.
GAP CON LA NORMATIVA ESPAÑOLA
Este
Artículo 26 en su apartado 2, prevé la exigencia formal de realización de un
contrato o cualquier otro acto jurídico que vincule a ambos, responsable y encargado
de tratamiento.
Obliga
a las partes a documentar las instrucciones del responsable y las obligaciones
del encargado. Además recoge la potestad de la Comisión para adoptar, tanto
actos delegados que permitan especificar los criterios y requisitos aplicables
a las responsabilidades, funciones y tareas del encargado del tratamiento, como
condiciones en un grupo de empresas a efectos de control y presentación de
informes.
EVALUACIÓN DEL IMPACTO
Esta
norma sienta unas bases estrictas en la relación con el encargado del tratamiento.
Establece la necesidad de colaboración exigiendo que a través del contrato se
regule la conservación de documentación relativa a las operaciones, la
cooperación con la autoridad de control, la evaluación de riesgos junto al responsable
o la alerta sobre violaciones de datos, entre otras obligaciones.
La
Administración deberá adoptar medidas en la contratación pública que implicarán
la modificación de los pliegos técnicos y administrativos en función de la
complejidad de los servicios contratados.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 27
Tratamiento bajo la autoridad del
responsable y del encargado del tratamiento.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 12.2. Acceso
a los datos por cuenta de terceros.
RLOPD:
Artículo 21.2 b) y c). Posibilidad de subcontratación de los servicios.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 12 LOPD ya establece que el encargado de tratamiento tratará los datos
conforme a las instrucciones del responsable del tratamiento. Asimismo, el
Artículo 21.2 b) y c) RLOPD también establecen que cualquier persona que actúe
bajo la autoridad del encargado seguirá las instrucciones del responsable de
tratamiento. El precepto de la UE establece la excepción de que exista obligación
de hacerlo por el Derecho de la UE o del Estado miembro.
EVALUACIÓN DEL IMPACTO
Este
precepto no tendrá un gran impacto en las entidades españolas, ya que la legislación
española establece la obligatoriedad de acatar las instrucciones del responsable,
pero nada dice sobre si existe una norma que obliga al tratamiento, cuestión
ésta que debería ser matizada en los Artículos de referencia. Es posible que se
den algunas confusiones con casos que se han calificado previamente como
cesiones, amparándose en una norma legal, y no en el consentimiento.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 28
Documentación.
ARTÍCULO/S LOPD Y/O RLOPD
RLOPD:
Artículo 88. El
documento de seguridad.
Artículo
103. Registro
de accesos.
Artículo
113. Acceso
a la documentación.
GAP CON LA NORMATIVA ESPAÑOLA
La
legislación española establece que en el documento de seguridad se recogerán
las medidas de índole técnica y organizativa conforme a la legislación vigente
que deben implantarse de acuerdo a la normativa de seguridad, que contendrá los
datos del responsable de seguridad, de los ficheros con su tipo de datos a
tratar, de la existencia o no de encargados y los controles periódicos.
Asimismo,
es obligatorio guardar registro de accesos de ficheros automatizados y no
automatizados, pero no detalla de esta manera las transferencias internacionales
o las cesiones de datos.
EVALUACIÓN DEL IMPACTO
Este
Artículo de la propuesta de Reglamento UE implicará que las entidades privadas
y públicas deberán reorganizar la estructura de sus documentos de seguridad,
incluyendo cesiones, transferencias internacionales, plazos para la supresión
de datos. Este Artículo parece guiar a las organizaciones hacia políticas de
seguridad de la información global. Asimismo el apartado 4 del Artículo 28 UE
nuevamente establece excepciones para no cumplir con el mencionado Artículo;
(i) personas físicas no interés comercial (ii) menos de 250 personas y que
traten datos como actividad accesoria. Entonces si se tratan datos de manera
accesoria no se tendrá documento de seguridad. Habrá que ver qué es accesorio.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 29
Cooperación con la autoridad de
control.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37.i). Funciones.
Artículo
40. Potestad
de inspección.
Artículo
44.3.i). Tipos
de infracciones.
RLOPD:
Artículo 122. Iniciación.
Artículo
124. Obtención
de la información.
Artículo
125. Actuaciones
presenciales.
GAP CON LA NORMATIVA ESPAÑOLA
La
AEPD tiene reconocida en el Artículo 37 LOPD la capacidad de recabar información,
la potestad de inspección del Artículo 40 LOPD y si no se colabora según los
Artículos 44 y siguientes de la LOPD las entidades pueden ser sancionadas. Los
Artículos del RLOPD permiten iniciar las actuaciones inspectoras, el acceso a
los lugares donde se hallen los ficheros, incluso aquellos que sean tratados
por un encargado.
EVALUACIÓN DEL IMPACTO
Este
precepto se encuentra extensamente definido en nuestra legislación, detallándose
los procedimientos de actuaciones previas, el procedimiento sancionador.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 30
Seguridad del tratamiento.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 9. Seguridad
de los datos.
RLOPD:
Título VIII. De
las medidas de seguridad en el tratamiento de datos de carácter personal.
GAP CON LA NORMATIVA ESPAÑOLA
Respecto
al Artículo 9 de la LOPD las únicas diferencias apreciables se establecen en
que las medidas a adoptar enunciadas con carácter genérico en el apartado 1 se
establecerán en base a una evaluación de riesgos, y de otra parte introduce un
componente difícil de evaluar por su indeterminación como es “habida cuenta … y
de los costes asociados a su implementación.”
Respecto
al RLOPD implica pasar de implementar medidas concretas en función de la
tipología de datos a la necesidad de una evaluación de riesgos para determinar
las medidas a adoptar con la variante de la posible excepción, indeterminada,
por parte del coste de la implementación de las mencionadas medidas.
EVALUACIÓN DEL IMPACTO
El
impacto más importante se centra en tener que determinar qué medidas se deben
implementar en función de una evaluación de riesgos, lo que implica una gran
diferencia, teniendo en cuenta que actualmente de deben implantar medidas
concretas, sin más. Por otra parte no se especifica los periodos para realizar
la mencionada evaluación y sobre todo el método de realización, por lo que es
previsible que se deba recurrir a los estándares y buenas prácticas de la industria.
En
segundo lugar introduce otra indeterminación al posibilitar la implementación de
las medidas en función de los costes asociados y sin embargo no se especifica ningún
ratio que permita determinar cuándo se puede aplicar la excepción y cuando no.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN EUROPEA
Artículo 31
Notificación de una violación de datos
personales a la autoridad de control.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe ningún Artículo de la LOPD que tenga relación. En cuanto al RLOPD tampoco
existe un Artículo de forma similar pero su Artículo 90 “registro de incidencias”
está contemplado en parte de este Artículo, concretamente en el apartado 4.
GAP CON LA NORMATIVA ESPAÑOLA
En
lo enunciado en el punto anterior el Artículo 31.4 recoge aproximadamente la misma
información aunque en este caso se debe añadir el contexto en el que se ha
producido la violación de datos personales. Existe un precedente en el ámbito de
las telecomunicaciones. En virtud del Artículo 34 de la Ley 32/2003, en caso de
violación de los datos personales, el operador de servicios de comunicaciones electrónicas
disponibles al público debe notificar sin dilaciones indebidas dicha violación
a la Agencia Española de Protección de Datos y, en su caso, al afectado.
EVALUACIÓN DEL IMPACTO
El
impacto de este Artículo afecta de lleno a la forma de proceder en tanto se trata
de una autoinculpación, lo que puede implicar una sanción posterior, por lo que
mientras no se regule este aspecto, podría haber cierta reticencia a la hora de
hacer notificaciones.
Similar
reflexión si se trata del encargado del tratamiento respecto del responsable
del tratamiento.
En
cuanto a la información a comunicar a la autoridad de control existen puntos que,
para su cumplimiento, implicarán medidas accesorias a las actuales para poder
disponer de información para que cuando se produzca una pérdida de información
se pueda cuantificar esta pérdida.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 32
Comunicación de una violación de datos
personales al interesado.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
cabe análisis diferencial.
EVALUACIÓN DEL IMPACTO
El
impacto es importante y múltiple:
En
primer lugar el cumplimiento de este Artículo implica costes tanto de ejecución
como económicos (imaginemos una pérdida de los datos de un millón de clientes).
En
segundo lugar implica indeterminaciones como “cuando sea probable” o “afecte
negativamente”. Además tenemos en el apartado 3 “demuestra a satisfacción de la
autoridad de control”.
En
tercer lugar, si la violación se trata de pérdida de datos, y por lo tanto no
se tienen los datos identificativos del afectado, o al menos los de contacto,
surge la interrogante, ¿a quién se le notifica?
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 33
Evaluación del impacto relativa a la
protección de datos.
ARTÍCULO/S LOPD Y/O RLOPD
RLOPD:
Artículo 81. Aplicación
de los niveles de seguridad.
Disposición
adicional Única. Productos de software.
GAP CON LA NORMATIVA ESPAÑOLA
La
normativa española reduce el análisis de impacto al análisis del nivel de seguridad
necesario, mientras que la Evaluación del Reglamento UE supone una evaluación
integral, detallada, acreditable y documentada de todas las operaciones de
tratamiento de protección de datos.
Sin
embargo, no parece claro por el momento si la evaluación de Productos de software
de la LOPD, más allá de su actual su mayor o menor implantación, entraría
dentro del Artículo 33.
EVALUACIÓN DEL IMPACTO
Conforme
al Reglamento UE, cualquier tratamiento de datos personales debe ser sometido a
un Privacy Impact Assessment.
El
propio Artículo 33 establece las pautas de mínimos que debe reunir la evaluación,
que en todo caso deberá estar documentada. Queda por ver si es posible adoptar
o desarrollar estándares que permitan, entre otras cosas, comparar resultados
con supuestos similares de la misma u otras entidades.
Ya
existen metodologías de trabajo en otros ámbitos relacionados, como la seguridad
de la información, donde es habitual realizar BIA´s, los cuales tienen una
madurez de la que quizá se pueda aplicar algunos aspectos a los PIA´s.
Una
obligación que genera muchas dudas es la de recabar la opinión de los
interesados sobre el tratamiento, entre otras cosas por la dificultad o imposibilidad
de esta acción en ciertos casos.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 34
Autorización y consultas previas.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 9.1. Seguridad
de los datos.
RLOPD:
Título VIII. Capítulo III. Sección 2ª. Medidas de seguridad de nivel medio.
Artículo
36. Derecho
de oposición a las decisiones basadas únicamente en un tratamiento automatizado
de datos.
GAP CON LA NORMATIVA ESPAÑOLA
Los
datos coinciden con los especialmente protegidos.
El
informe de evaluación del impacto puede subsumirse en el Artículo 9.1.
La
Sección 2ª no contempla este informe previo de evaluación del impacto.
El
Artículo 36 no contempla la elaboración del informe de evaluación del impacto.
EVALUACIÓN DEL IMPACTO
Confeccionar
un informe que refleje el impacto del tratamiento en los derechos y libertades.
Consultar
previamente la lista de operaciones de tratamiento que entrañen riesgos
específicos para los interesados.
Prohibición
del tratamiento cuando los riesgos no estén suficientemente identificados o
atenuados.
El
responsable o el encargado del tratamiento asumirá las propuestas de la autoridad
de control.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 35
Designación del Delegado de Protección
de Datos.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 9. Seguridad
de los datos. Artículo 37 f) e i). Funciones de la AEPD.
RLOPD:
Artículo 95. Responsable
de seguridad.
Artículo
81. Aplicación
de los niveles de seguridad.
GAP CON LA NORMATIVA ESPAÑOLA
Figura
de nueva creación que no existe en marco actual.
La
normativa actual establece obligación de nombrar responsable de seguridad en
base a categorías de datos tratados. El borrador, en tres supuestos. Los dos primeros
no ofrecen dificultad. El último es, por el momento, una incógnita.
Se
dan facilidades para compartir la figura entre varios responsables.
No
se determinan las competencias que debe reunir la figura.
Se
dota a la figura de independencia y seguridad necesarias para la función.
Posibilidad
de externalización de la figura.
EVALUACIÓN DEL IMPACTO
Grandes
empresas ya contarán con figuras similares.
Indeterminación
en la regulación que refiere a futuros actos delegados o desarrollos
legislativos.
Según
se define, parece una figura muy ligada a las tareas operativas y de implantación,
pero no tanto a la estrategia y la comunicación.
Si
no se matiza la obligación en función de categorías de tratamientos, es posible
que suponga un riesgo para la protección de datos.
Suavizan
impacto económico y se favorecen aspectos como la armonización de políticas
fijadas a nivel de grupo.
¿Cómo
se compatibilizará esto con la regulación laboral?
En
el caso de PYMES que subcontraten, ¿será posible esta independencia y estas
garantías?
Rediseño
de muchos procesos en funcionamiento.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 36
Función de Delegado de Protección de
Datos.
ARTÍCULO/S LOPD Y/O RLOPD
RLOPD:
Artículo 84. Delegación
de autorizaciones.
GAP CON LA NORMATIVA ESPAÑOLA
La
propuesta de nueva normativa va, como ya se ha dicho, más allá que la vigente:
en
la actual la figura del responsable de seguridad es un mero “delegado” del responsable
del fichero o del tratamiento; en la nueva propuesta, asume además una función
de responsable en cierto sentido. Es por ello por lo que se dota a esta figura
de independencia y se le hace reportar directamente a la dirección del
responsable y se respalda su actuación de forma plena por el mismo.
EVALUACIÓN DEL IMPACTO
Ver
lo referido sobre Artículo 35 de la propuesta.
Necesidad
de contar profesionales suficientemente cualificados y cuya definición de
puesto y posición en el organigrama deberá gozar de independencia y competencias
suficientes.
Seguramente
adquieran más importancia las certificaciones profesionales de privacidad para
fomentar profesionales especialmente cualificados en la materia.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 37
Tareas del Delegado de Protección de
Datos.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37 f) e i). Funciones
de la AEPD.
RLOPD:
Título VIII. De
las medidas de seguridad en el tratamiento de datos
de
carácter personal.
Artículo
88.3 c) y 4 a). El
documento de seguridad.
Artículo
89. Funciones
y obligaciones del personal.
GAP CON LA NORMATIVA ESPAÑOLA
Actualmente
se permite delegar la coordinación y supervisión de determinadas tareas
relacionadas con medidas de seguridad de obligada asunción para el responsable
de fichero o tratamiento; en el nuevo marco, las tareas se incrementan y
absorben muchas de las que antes asumía el propio responsable del tratamiento.
Es
un auténtico representante del responsable del tratamiento ante la(s) autoridad(es)
de control.
EVALUACIÓN DEL IMPACTO
Serán
necesarios profesionales diligentes y bien formados para ocupar esta posición,
y más con la introducción de la Accountability en nuestro ordenamiento.
Posibles
disciplinas a dominar por los mismos serán sin duda la normativa, los
estándares de seguridad de la información, y por supuesto, las propias organizaciones
en las que desarrollen sus funciones.
Como
en todo el borrador, existe necesidad de puntualizar y matizar con adopción de
actos delegados o futuros desarrollos normativos.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 38
Códigos de conducta.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 32. Código
tipos.
RLOPD:
Artículo 71. Objeto
y naturaleza.
GAP CON LA NORMATIVA ESPAÑOLA
La
Comisión y las autoridades de control promueven códigos de conducta, lo que
difiere del Artículo 32.
La
formulación de códigos tipo mediante decisiones de empresa, contemplada en el
Artículo 32.1., no figura explícitamente.
El
Artículo 71 contempla el desarrollo de códigos tipo para adecuar lo que establece
la LOPD.
EVALUACIÓN DEL IMPACTO
Aprobación
por la Comisión de proyectos de códigos de conducta, aplicables en territorio
UE.
Códigos
de conducta con validez general en la UE.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 39
Certificación.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
mencionados en LOPD ni RLOPD.
Habría
que contemplarlo desde otras iniciativas tanto europeas (EuroPrise, informes
GT29 (com/2010/609)) o recomendaciones como la del EDPS (“Hacia una mayor
eficacia de la protección de datos en la Sociedad de la Información”) o
paralelas (2012/148/UE, pto. 15) como nacionales (de manera sugerida en la Resolución
de Madrid), o en actuaciones de autorregulación con cierta similitud [Confianza
online, marca AENOR, distintivo público de confianza (RD 1163/2005), AGACE,
EWEB…], aunque estos últimos sean más bien códigos deontológicos de confianza o
transparencia. En concreto, en temas de privacidad, en España se ha trabajado
en la certificación de profesionales desde las Asociaciones ISMS Forum Spain,
DPI y APEP.
EVALUACIÓN DEL IMPACTO
Importante
mejora en la percepción del titular en la observancia de las normas en el
tratamiento de sus datos.
Suficientemente
atractivas y alcanzables para ser adoptadas por parte de las Grandes empresas y
las PYMES.
Se
deberá tener en cuenta frente a iniciativas existentes citadas que se trata de certificar
procesos más que productos y servicios con la dificultad inherente.
Se
debería evitar caer en el error de convertir en más importante la tenencia de la
certificación que la auténtica implantación de la cultura, los procesos y los procedimientos,
como ha ocurrido en cierto modo con algunas certificaciones tipo 9001.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 40
Principio general de las
transferencias.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 33.1. Norma
general.
GAP CON LA NORMATIVA ESPAÑOLA
El
proyecto especifica la opción de transferencias a una organización internacional.
Lo que difiere del Artículo 33.1. Se observará la futura disposición elaborando
“normas corporativas vinculantes” que forman parte del nivel de protección
adecuado.
EVALUACIÓN DEL IMPACTO
Elaboración
de normas corporativas vinculantes y clausulas contractuales.
Aprobación
por la autoridad de control.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 41
Transferencias con una decisión de
adecuación.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 33.2. Norma
general.
RLOPD:
Artículo 66.2 a). Autorización
y notificación.
Artículo
67. Nivel
adecuado de protección acordado por la AEPD.
Artículo
68. Nivel
adecuado de protección declarado por Decisión de la Comisión Europea.
GAP CON LA NORMATIVA ESPAÑOLA
Ámbito
subjetivo de la decisión de adecuación:
Ampliación
no solo a terceros países en general, sino también a territorios, sectores de
tratamiento del tercer país o a una organización empresarial.
Elementos
de valoración:
Se
amplían y/o concretan los elementos a valorar para la adopción de la decisión
de adecuación, tales como normas de derecho penal, normas sectoriales y
profesionales que afecten a sectores de actividad, derecho de recurso
administrativo y judicial efectivo, existencia de autoridades de control y funcionamiento,
entre otras.
EVALUACIÓN DEL IMPACTO
Ámbito
público:
Supone
una extensión del ámbito competencial y capacidades de decisión para la
autorización de transferencias internacionales de las autoridades de control
sobre
todo ante la adecuación de un sector de actividad, actuación que se asimila a
la aprobación de códigos tipo.
Ámbito
privado:
Las
organizaciones y sectores de actividad que garanticen niveles de protección adecuados
podrán acogerse directamente a la decisión de adecuación de la Comisión. Esto
requeriría un control por parte de las autoridades de control.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 42
Transferencias mediante garantías
apropiadas.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 33.1. Norma
general.
RLOPD:
Artículo 66.1. Autorización
y notificación.
Artículo
70. Transferencias
sujetas a autorización del Director de la AEPD.
GAP CON LA NORMATIVA ESPAÑOLA
Se
añaden supuestos en los que no es necesaria la previa autorización de la/s autoridad/es
de control del Estado miembro.
Relevancia
de los instrumentos jurídicamente vinculantes para los exportadores e
importadores de datos a/de terceros países.
Las
autoridades de control podrán elaborar cláusulas tipo que permitan realizar transferencias
sin previa autorización.
No
solo el exportador debe solicitar la autorización de la autoridad de control, sino
también el importador al amparo del Artículo 57 (mecanismo de coherencia).
EVALUACIÓN DEL IMPACTO
Ámbito
público:
Autoridades
de control deberán determinar mecanismos de revisión de cumplimiento de
clausulas tipo y no limitar la autorización a supuestos de falta de
instrumentos jurídicamente vinculantes.
Ámbito
privado:
Mayor
control por autoridades de control de los mecanismos y procedimientos internos
de las entidades y/o sectores.
Las
normas corporativas vinculantes se dotan de un contenido similar al documento
de seguridad, validado por la autoridad de control y con efectos, no solo
internos sino también frente a terceros, que deberán conocer de su existencia y
contenido.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 43
Transferencias mediante normas
corporativas vinculantes.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 33. Norma
general.
Artículo
34. Excepciones.
RLOPD:
Artículo 70.4. Transferencias
sujetas a autorización del Director de la AEPD.
Artículo
137. Iniciación
del Procedimiento.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 43 detalla y especifica el contenido necesario en BCR`s para su autorización.
No
mencionadas en LOPD y de manera sucinta en RLOPD en cuanto dichas normas hagan
constancia a la protección de la intimidad, derechos fundamentales, protección
de datos, las necesarias garantías, que sean vinculantes y la exigibilidad (responsabilidad)
de dichas normas por la AEPD y por los afectados.
Artículo
43 establece mayores requisitos: vinculantes (nivel interno y externo), derechos
exigibles, estructura empresas, DPO, derecho a reparación y posible indemnización,
mecanismos cooperación/control con autoridades de control…
EVALUACIÓN DEL IMPACTO
Significarán
una simplificación y racionalización en las transferencias internacionales de
datos, especialmente frente al Cloud Computing.
Al
publicar su vinculación a las mismas y la estructura empresarial facilitarán una
mayor confianza de los titulares de los datos.
Implicarán,
ante la posibilidad de reparación o indemnización, una mayor implicación en el
obligado cumplimiento.
Deberían
implantarse no solo como cumplimiento normativo, sino además como ventaja
competitiva ante el mejor conocimiento y estructuración del flujo interno y
externo de la información y los procesos inherentes.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 44
Excepciones.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 34. Excepciones.
RLOPD:
Artículo 66.2.b). Autorización
y notificación.
GAP CON LA NORMATIVA ESPAÑOLA
Se
incluye el concepto “motivos importantes de interés público”.
Se
excluyen las transferencias “Cuando se refiera a transferencias dinerarias conforme
a su legislación específica.”
Se
amplía la transferencia de datos de acceso público procedentes de registros.
Se
incorpora como novedad en el Reglamento UE la transferencia necesaria por intereses
legítimos de responsable o encargado del tratamiento.
Se
concreta el Artículo 34.c) en cuanto a la transferencia de datos de salud por razón
de intereses vitales, solo en caso de no tener capacidad de consentir.
EVALUACIÓN DEL IMPACTO
Ámbito
público:
Mayor
control de las transferencias entre administraciones públicas, aunque el concepto
“motivos importantes de interés público” resulta ambiguo, y puede dar pie a
conflictos de intereses entre administraciones. Gana protagonismo el principio
de calidad de los datos tratados.
Ámbito
privado:
Necesidad
de que los agentes privados justifiquen transferencias por razón de urgencia
y/o intereses legítimos debiendo garantizar los derechos de los afectados, bajo
la supervisión de las autoridades de control.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 45
Cooperación internacional en el ámbito
de la protección de datos personales.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37.1.l. Funciones.
Disposición
transitoria primera. Tratamientos
creados por Convenios internacionales.
GAP CON LA NORMATIVA ESPAÑOLA
La
diferencia es importante respecto a la LOPD, ya que ésta sólo recoge la cooperación
internacional pero sin especificar su finalidad.
Del
texto del Reglamento UE se desprende que lo que se busca a través de la
cooperación internacional es solucionar posibles problemas motivados de la globalización,
y sobre todo del tratamiento de datos mediante Internet.
EVALUACIÓN DEL IMPACTO
Al
igual que ocurre en varios de los Artículos del Reglamento UE se están cediendo
competencias que anteriormente tenían los Estados miembros y que desarrollaban,
en algunos supuestos a través de sus respectivas autoridades de control, a la
Comisión Europea.
La
LOPD atribuye las funciones de cooperación internacional a la AEPD. No obstante,
el texto del Reglamento UE habla de autoridades de control en plural,
de
manera que podría entenderse una posible participación de las agencias autonómicas
en materia de cooperación internacional.
Sin
embargo, la AEPD sería la única con competencia para obligarse (por ejemplo,
mediante un tratado), sin perjuicio de que existiese cierta cooperación/ colaboración
con las agencias autonómicas.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 46
Autoridad de control.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 35 a
40 y 42. Régimen jurídico y funciones de la AEPD.
Artículo
41. Órganos
correspondientes de las Comunidades Autónomas.
GAP CON LA NORMATIVA ESPAÑOLA
La
LOPD ya contempla la posibilidad de existencia de varias autoridades de control.
La
única novedad entre la LOPD y el Reglamento UE es la mención al Consejo Europeo
de Protección de Datos, lo que se conoce actualmente como Grupo del Artículo
29.
En
este sentido, la LOPD no recoge ninguna mención al citado grupo.
EVALUACIÓN DEL IMPACTO
Del
texto parece desprenderse que tendrá que ser la AEPD la que ostente la representación
en el Consejo Europeo de Protección de Datos.
No
obstante, entre la AEPD y las agencias autonómicas se deberán establecer mecanismos
de cooperación para que éstas, aunque no tengan una participación evaluación en
el citado Consejo, conozcan los temas que se traten, decisiones adoptadas, etc.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 47
Independencia.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 36. El
Director.
Artículo
35. Naturaleza
y Régimen Jurídico.
GAP CON LA NORMATIVA ESPAÑOLA
La
diferencia más notable es que especifica que el control financiero no supone un
control de la actuación de la autoridad de control, es decir, que no puede afectar
en su independencia.
En
cuanto a la independencia del Director, el Reglamento UE ahonda en el sistema
de incompatibilidades, si bien esta cuestión está regulada en nuestro ordenamiento
jurídico por la Ley de Incompatibilidades de Altos Cargos.
Por
último, introduce un mandato a los Estados miembros para que provean de medios
personales, materiales y económicos a las autoridades de control.
EVALUACIÓN DEL IMPACTO
El
mayor impacto recae sobre el mandato a los Estados miembros para que provean de
medios personales, materiales y económicos a las autoridades de control, ya que
la implementación del Reglamento UE debería suponer que a las autoridades de
control se las dote de un mayor presupuesto así como un incremento de sus
recursos humanos.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 48
Condiciones generales aplicables a los
miembros de la autoridad de control.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 36.1. El
Director.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 48 detalla el nombramiento y cese de los miembros de la autoridad de control.
El
nombramiento deberá ser realizado por el Parlamento o el Gobierno. Sus miembros
serán independientes y con aptitudes en el ámbito de protección de datos. El
cese se producirá cuando expire el mandato, por dimisión (en estos
casos
ejercerá sus funciones hasta que se nombre nuevo miembro), si incurre en falta
grave o si deja de reunir las condiciones (en los dos últimos casos pierde los
privilegios).
La
LOPD sólo hace referencia al nombramiento y cese del Director de la AEPD, no
del resto de sus miembros.
EVALUACIÓN DEL IMPACTO
Este
Artículo no afecta a las entidades privadas ni a las públicas, sólo a los miembros
de la autoridad de control.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 49
Normas relativas al establecimiento de
la autoridad de control.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 35.3. Naturaleza
y Régimen Jurídico.
Artículo
36.1 y
36.3. El Director.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 35.3 LOPD indica que el personal de la AEPD serán funcionarios públicos
o personal contratado al efecto, el Reglamento UE obligará a regular por ley el
procedimiento de nombramiento, aptitudes requeridas, duración del mandato,
renovable o no, y procedimientos de cese.
El
Artículo 36.3 LOPD hace referencia al cese del Director de la AEPD pero no del
resto de sus miembros.
El
Reglamento UE establece que el mandato de los miembros no será inferior a
cuatro años (salvo los primeros nombramientos), mientras que la LOPD sólo establece
un plazo de similar para el Director de la AEPD (Artículo 36.1 LOPD).
EVALUACIÓN DEL IMPACTO
Este
Artículo no afecta a las entidades privadas ni a las públicas, sólo a los miembros
de la autoridad de control.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 50
Secreto profesional.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 35.3. Naturaleza
y Régimen Jurídico.
Artículo
40.2. Potestad
de inspección.
RLOPD:
Artículo 123.3. Personal
competente para la realización de las actuaciones previas.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 35.3 LOPD indica que el personal de la AEPD deberá guardar secreto de
los datos que conozca en su función.
El
Artículo 40.2 LOPD hace referencia también al secreto profesional al referirse a
la potestad de inspección de los funcionarios de la AEPD.
El
Reglamento UE exige este secreto profesional incluso después del mandato con
relación a las informaciones confidenciales que conozcan durante sus funciones.
El
Artículo 123.3 RLOPD al referirse a las actuaciones previas del procedimiento sancionador,
hace referencia a la exigencia de secreto durante y después de sus actuaciones.
EVALUACIÓN DEL IMPACTO
Este
Artículo no afecta a las entidades privadas ni a las públicas, sólo a los miembros
de la autoridad de control.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN EUROPEA
Artículo 51
Competencia.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 35. Naturaleza
y Régimen Jurídico.
GAP CON LA NORMATIVA ESPAÑOLA
La
normativa española define la competencia de la AEPD dotándola de los poderes
propios de un ente de derecho público español, según lo establecido en la Ley
30/1992 de Régimen Jurídico de las Administraciones Públicas. El Reglamento UE,
dota a las autoridades de control de potestad para controlar las actividades de
tratamiento en todos los Estados miembros de la Unión, siempre que el
establecimiento principal del responsable o encargado del tratamiento esté
situado en su país. Se hace la salvedad en el caso de órganos jurisdiccionales
en ejercicio de esta función.
EVALUACIÓN DEL IMPACTO
Esta
disposición amplía la competencia geográfica de las autoridades de control dotándolas
de un poder mayor, y contribuyendo a la integración de la protección de datos a
nivel comunitario. Impulsará el intercambio de información entre autoridades de
control nacionales, generando un sistema de doble control, y la visión global
en cuanto al tratamiento de datos, lo que facilitará la coherencia ya no solo
normativa, sino también sancionadora y de vigilancia, de cara a las multinacionales
con sede u operación en la UE.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 52
Funciones.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37. Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
Las
funciones definidas en la legislación española para la AEPD y las definidas en
el Reglamento UE para las autoridades de control independientes, son muy similares:
conocer, investigar y resolver las reclamaciones gratuitamente; investigar de
oficio; asesorar a los interesados, resolver consultas de otros entes públicos,
hacer seguimiento de las novedades del sector, y promover la sensibilización
pública; aprobación de normas corporativas vinculantes (códigos tipo), así como
alguna más relacionada con las modificaciones operativas: autorización de
operaciones de tratamiento.
EVALUACIÓN DEL IMPACTO
La
principal novedad, y que afectará tanto a la operativa, como a la proyección de
la AEPD, en su condición de Autoridad de Control independiente, es aquella que
dispone la necesidad de compartir información con otras autoridades de control,
prestarles asistencia mutua y velar por la coherencia en la aplicación del
Reglamento UE para garantizar su cumplimiento. Esto persigue ajustar al máximo
las subjetividades, y obligará a las distintas autoridades de control a un
flujo de información constante y consistente, que dado el caso generaría un sistema
integrado, sólido y legitimado.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 53
Poderes.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 40. Potestad
de inspección.
RLOPD:
Artículo 121. Inmovilización
de ficheros.
Artículos
122, 123, 125. Relativos
a las Actuaciones previas.
GAP CON LA NORMATIVA ESPAÑOLA
Los
poderes establecidos para las autoridades de control independientes son, en su
esencia, los mismos que la legislación española establece. La diferencia principal
estriba en los supuestos que la LOPD/RLOPD exige para ejercerlos, delimitando
el ejercicio de los mismos. En contraposición, el Artículo analizado enumera
los poderes, sin establecer supuestos o condiciones para su aplicación, dando
por tanto un poder más extenso y discrecional.
EVALUACIÓN DEL IMPACTO
El
impacto de esta modificación, reside en la mayor discrecionalidad y en el hecho
de que no se limite la capacidad de acción, limitando ciertas facultades a supuestos
concretos (ej. Inmovilización de ficheros), por lo que el poder de este organismo
será mucho mayor, aumentando también la responsabilidad frente a sus acciones,
y la necesidad de coherencia, así como su capacidad de actuación frente a
hechos aun no probados.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 54
Informe de actividad.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37.k). Funciones.
Artículo
41.1. Órganos
correspondientes de las Comunidades Autónomas.
GAP CON LA NORMATIVA ESPAÑOLA
En
el Reglamento UE cada autoridad de control deberá elaborar informes anuales de
actividad, que serán presentados ante el parlamento nacional y puestos a
disposición del público, de la Comisión y del Consejo Europeo de Protección de
Datos.
En
la normativa LOPD, en su transposición se establecía que la realización de la memoria
anual es función exclusiva de la AEPD (en el Artículo 41.1 se exime al resto de
autoridades de control de las Comunidades Autónomas). Esta memoria tan sólo
debe ser remitida al Ministerio de Justicia (aunque en la actualidad es publicada
en su página web).
EVALUACIÓN DEL IMPACTO
A
priori podría deducirse que existirá una mayor difusión de las actividades de las
autoridades de control, no obstante en la actualidad todas las mencionadas autoridades
de control ya están elaborando sus memorias conforme se establece en sus
normativas reguladoras por lo que no se aprecia gran impacto en este Artículo.
Se
amplía el ámbito de difusión ya que las memorias se pondrán en conocimiento del
parlamento, el público en general, la Comisión y el Consejo Europeo.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 55
Asistencia mutua.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37. Funciones.
Artículo
41.3. Órganos
correspondientes de las Comunidades Autónomas.
GAP CON LA NORMATIVA ESPAÑOLA
En
el Reglamento UE la Comisión establecerá los formatos y los procedimientos de
asistencia mutua entre autoridades de control para garantizar su cooperación efectiva
(ámbito de actuación de la asistencia mutua, plazos de respuesta de cooperación,
condiciones y medios de la solicitud, gratuidad de las acciones derivadas, así
como las consecuencias derivadas de la no atención de las mismas).
En
la normativa LOPD se establece a la AEPD como única entidad que desempeña las
funciones de cooperación a nivel internacional, sin establecer ningún detalle sobre
las directrices de cooperación.
EVALUACIÓN DEL IMPACTO
El
establecimiento de los mecanismos de colaboración a nivel internacional se
alinea perfectamente con las necesidades que plantea la utilización de nuevos
paradigmas como el Cloud Computing. Todo ello ayudará a garantizar la protección
de la privacidad en un mundo interconectado.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 56
Operaciones conjuntas de las
autoridades de control.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37. Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
El
Reglamento UE establece normas para las operaciones que se realicen de manera
conjunta entre las autoridades de control.
En
la normativa LOPD simplemente se recoge la posibilidad de desempeñar funciones
de cooperación internacional en materia de protección de datos personales.
EVALUACIÓN DEL IMPACTO
Aquellas
empresas que realicen tratamientos sobre interesados que pertenezcan a
diferentes Estados miembros podrán ser objeto de investigación por las
diferentes autoridades de control de cada uno de los Estados miembros que
representan a los datos de los afectados.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 57
Mecanismo de coherencia.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37. Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
Este
Artículo es meramente introductorio del denominado mecanismo de coherencia, y
sólo establece un deber de colaboración que, como una autoridad más, afectará a
la AEPD.
EVALUACIÓN DEL IMPACTO
No
tiene impacto sobre las entidades públicas o privadas, sino sobre la AEPD.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 58
Dictamen del Consejo Europeo de
Protección de Datos.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37. Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
En
la normativa española no hay una regulación que pueda compararse, por lo que
supone una novedad con relación a nuestro marco regulatorio.
EVALUACIÓN DEL IMPACTO
Aunque
no tiene impacto sobre las entidades públicas o privadas, sí que supone una
novedad en el modo de funcionamiento de la AEPD.
Y
ello por cuanto va a tener que comunicar al Consejo Europeo de Protección de
Datos y la Comisión las medidas con efectos jurídicos sobre ciertas materias que
se detallan en el Artículo.
Sin
embargo, el Artículo no es suficientemente claro de lo que se entiende por “medidas”,
ya que, por ejemplo, no es posible discernir a priori si los actos no vinculantes
de la AEPD puedan incluirse en tal concepto.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 59
Dictamen de la Comisión.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
cabe análisis diferencial.
EVALUACIÓN DEL IMPACTO
Se
trata de un Artículo meramente técnico sobre el procedimiento de emisión del
Dictamen.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 60
Suspensión de un proyecto de medida.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37. Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
En
la normativa española no hay una regulación que pueda compararse, por lo que
supone una novedad con relación a nuestro marco regulatorio.
EVALUACIÓN DEL IMPACTO
Aunque
no tiene impacto sobre las entidades públicas o privadas, sí que supone una
novedad en el modo de funcionamiento de la AEPD.
La
capacidad de la Comisión de suspender el proyecto de medida, sea lo que sea lo
que se llegue a entender como tal, supone una clara limitación para las autoridades
de control locales. No obstante, puede ser una regulación lógica y coherente
con el objetivo de que el Reglamento UE sea ciertamente un marco común o único
para toda la Unión.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 61
Procedimiento de urgencia.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37. Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
En
la normativa española no hay una regulación que pueda compararse, por lo que
supone una novedad con relación a nuestro marco regulatorio.
EVALUACIÓN DEL IMPACTO
Aunque
no tiene impacto sobre las entidades públicas o privadas, sí que supone una
novedad en el modo de funcionamiento de la AEPD.
Además,
depende de cómo se utilice puede ser una “vía de escape”, en caso de necesidad,
para las autoridades de control locales frente a los rigurosos controles
previos del Consejo Europeo de Protección de Datos y la Comisión.
Aunque
es de esperar que este mecanismo se utilice excepcionalmente y no perjudique la
aplicación de los debidos controles de tales organismos cuando no haya
justificación para ello.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 62
Actos de ejecución.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37.1.a), c) y
n). Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
Ni
la LOPD ni el RLOPD prevén expresamente el cumplimiento de actos de ejecución
provenientes de la Comisión, aunque los Artículos identificados podrían asumir
la recepción y el cumplimiento de tales actos, bajo una interpretación abierta
y de finalidades.
Las
diversas materias sobre las cuales la Comisión podría adoptar actos de ejecución
ponen de manifiesto el profundo cambio que significará la entrada en vigor del
Reglamento UE, con los principios de cooperación y de coherencia como ejes de
actuación de las autoridades de control de los Estados miembros, incluyendo
obviamente a la AEPD.
EVALUACIÓN DEL IMPACTO
El
mecanismo de coherencia que deberá servir como medio para alcanzar una uniformidad
en la protección de datos personales en la UE tendrá un impacto directo, en
primer lugar, para las autoridades de control.
Los
resultados que se obtengan a partir de la cooperación y de las disposiciones que
se adopten en el marco de dicho mecanismo serán las que realmente incidan en
las actividades de las entidades públicas y privadas en España y el resto de
países de la UE, que incluirán la aprobación de cláusulas tipo, normas corporativas
vinculantes o listas de las operaciones de tratamiento.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 63
Ejecución.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37.1.a), c) y
n). Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
La
intención de conseguir una aplicación coherente del Reglamento UE en toda la
Unión (Artículo 46.1) explica el contenido y alcance del Artículo 63.
Las
disposiciones vigentes sobre cooperación internacional de la legislación española
podrían dar cabida a la adopción y ejecución de estas medidas ejecutorias,
aunque una regulación ad hoc sería deseable.
La
necesidad de acudir al mecanismo de coherencia para dotar de validez jurídica y
ejecutoriedad al acto, revela la necesidad que podría presentarse para adecuar
la normativa española al nuevo escenario de ejecución comunitaria.
EVALUACIÓN DEL IMPACTO
En
la práctica, la obligada ejecución de medidas ejecutorias adoptadas por autoridades
de control del resto de países de la UE, puede tener un impacto significativo
en las actividades de entidades españolas, particularmente las privadas.
Este
Artículo abre la posibilidad a que una medida adoptada, por ejemplo, en Holanda
contra una matriz constituida en ese país, deba ejecutarse en España contra
empresas filiales de la primera.
La
aplicación coherente y uniforme del Reglamento UE así lo exigiría, y demandará
que en el futuro no pueda pasarse por alto lo que sucede en los demás Estados
miembros.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 64
Consejo Europeo de Protección de Datos
(CEPD).
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 35. Naturaleza
y Régimen Jurídico.
Artículo
36. El
Director.
Artículo
37.1.a) y 37.1.l). Funciones.
GAP CON LA NORMATIVA ESPAÑOLA
La
creación del CEPD (en sustitución del anterior WP ARTICLE 29) no representa por
sí misma un cambio frente al actual sistema de cooperación internacional
previsto por la LOPD, el RLOPD o el Estatuto de la AEPD. En este sentido, la
creación del CEPD debe conllevar una continuación de los trabajos interpretativos
del WP ARTICLE 29, donde parece que el Director de la AEPD seguirá representado
a España (Artículo 64.2 y 64.3).
En
todo caso, la participación de la Comisión constituye el cambio más
significativo a partir de la entrada en vigor del Reglamento UE, pues
anteriormente dicho órgano no interactuaba con el WP ARTICLE 29 (Artículo
64.4).
EVALUACIÓN DEL IMPACTO
A
partir de las funciones que han sido redefinidas para el CEPD (ver comentarios al
Artículo 66), podemos considerar que la creación de dicho Consejo no tendrá un
impacto directo para las entidades en España.
Se
prevé la generación de dictámenes con un enfoque comunitario, dado que ahora
deberá interpretarse un reglamento de aplicación directa, en oposición a una
directiva.
Finalmente,
debemos tomar en cuenta que el CEPD podrá emitir directrices, recomendaciones y
mejores prácticas dirigidas a las autoridades de control, a fin de promover la
aplicación coherente del Reglamento UE.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 65
Independencia.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
cabe análisis diferencial.
EVALUACIÓN DEL IMPACTO
Este
Artículo simplemente fija la total independencia frente a cualquier tercero del
Consejo Europeo de Protección de Datos.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 66
Tareas del Consejo Europeo de
Protección de Datos.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
cabe análisis diferencial.
EVALUACIÓN DEL IMPACTO
Este
Artículo simplemente fija las tareas del Consejo, a ejecutar por iniciativa propia
o a instancia de parte, dentro de su labor como órgano encargado de velar por
la aplicación del Reglamento UE.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 67
Informes.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
cabe análisis diferencial.
EVALUACIÓN DEL IMPACTO
Este
Artículo simplemente fija la obligación del Consejo de emitir informes para la
Comisión, bajo determinadas pautas.
Los
informes se harán públicos y se transmitirán al Parlamento Europeo, al Consejo
y a la Comisión.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 68
Procedimiento.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
cabe análisis diferencial.
EVALUACIÓN DEL IMPACTO
El
Artículo regula las directrices para la toma de decisión y el funcionamiento interno
del Consejo Europeo de Protección de Datos, que habrá de adoptar un reglamento
interno.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 69
Presidente.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 36. El
Director.
GAP CON LA NORMATIVA ESPAÑOLA
La
imagen de presidencia en España recae sobre el Director de la AEPD.
EVALUACIÓN DEL IMPACTO
No
tiene impacto sobre las entidades públicas o privadas, sino sobre la AEPD.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 70
Tareas del Presidente.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 37. Funciones.
Artículo
66. Autorización
y Notificación.
Artículo
70. Transferencias
sujetas a autorización del director de la AEPD.
GAP CON LA NORMATIVA ESPAÑOLA
El
Director de la AEPD es el último estamento con capacidad de autorización de
tratamiento o movimientos de datos personales con determinadas características,
en cambio la imagen del Presidente del Consejo es una imagen más de
coordinación.
EVALUACIÓN DEL IMPACTO
No
tiene impacto sobre las entidades públicas o privadas, sino sobre la AEPD.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 71
Secretaría.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
existe imagen de equivalencia dentro de la estructura de la AEPD.
EVALUACIÓN DEL IMPACTO
No
cabe análisis diferencial.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 72
Confidencialidad.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 10. Deber
de Secreto.
Artículo
35. Naturaleza
y Régimen Jurídico.
GAP CON LA NORMATIVA ESPAÑOLA
La
confidencialidad, tratada como deber de secreto dentro de la LOPD se rige por
el Artículo 10 de la misma.
EVALUACIÓN DEL IMPACTO
No
aplica, al ser la naturaleza de las acciones tratadas en distintos niveles.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 73
Derecho a presentar una reclamación
ante una autoridad de control.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 18.1 y 18.2. Tutela de los Derechos.
RLOPD:
Artículo 115. Régimen
aplicable.
GAP CON LA NORMATIVA ESPAÑOLA
La
diferencia más significativa reside en la posibilidad de presentar las reclamaciones
en las autoridades de control de cualquier Estado miembro.
Actualmente
las reclamaciones se han de presentar ante la AEPD.
EVALUACIÓN DEL IMPACTO
Se
ha de conocer cómo se regulará la presentación de reclamaciones a las autoridades
de control. Actualmente estos procedimientos se rigen por lo dispuesto en la
Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones
Públicas y del Procedimiento Administrativo Común.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 74
Derecho a un recurso judicial contra
una autoridad de control.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 18.3 y 18.4. Tutela de los Derechos.
RLOPD:
Artículo 118. Duración
del procedimiento y efectos de la falta de resolución expresa.
GAP CON LA NORMATIVA ESPAÑOLA
Las
diferencias más significativas son las siguientes:
·
La
autoridad de control siempre ha de dar una contestación. Actualmente si no da
una contestación en un plazo de seis meses se considera estimada.
·
El
plazo de contestación de una autoridad de control pasa de los seis meses
actuales a los tres meses.
·
Las
reclamaciones se podrán realizar ante los órganos jurisdiccionales de cualquier
Estado miembro.
·
La
reclamación de una autoridad de control de un Estado miembro que no tiene
residencia habitual del interesado, éste podrá solicitar a la autoridad de
control del Estado miembro en el que tiene su residencia habitual que ejercite
en su nombre una acción contra la autoridad de control competente en el otro
Estado miembro.
EVALUACIÓN DEL IMPACTO
Se
ha de conocer cómo se regulará la presentación de estos recursos judiciales a
los órganos jurisdiccionales de los Estados miembros.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 75
Derecho a un recurso judicial contra
un responsable o encargado.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 19. Derecho
a la indemnización.
GAP CON LA NORMATIVA ESPAÑOLA
La
diferencia más significativa reside en la posibilidad de ejercitar las acciones
contra un responsable o encargado ante los órganos jurisdiccionales del Estado miembro
en el que el responsable o encargado tenga un establecimiento y
también
podrán ejercitarse ante los órganos jurisdiccionales del Estado miembro en que
el interesado tenga su residencia habitual, a menos que el responsable sea una
autoridad pública que actúa en ejercicio del poder público.
EVALUACIÓN DEL IMPACTO
Se
ha de conocer cómo se regulará el ejercicio de estas acciones ante los órganos
jurisdiccionales de los Estados miembros.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 76
Normas comunes para los procedimientos
judiciales.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
No
cabe análisis diferencial.
EVALUACIÓN DEL IMPACTO
Este
precepto regula la capacidad de las autoridades nacionales, de los organismos,
organizaciones y asociaciones que indica el Reglamento UE de actuar en sede
judicial con el fin de garantizar la aplicación del Reglamento UE.
Asimismo,
regula las pautas de actuación en caso de que se hayan formulado reclamaciones
paralelas en dos o más países miembros.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 77
Derecho a indemnización y
responsabilidad.
ARTÍCULO/S
LOPD Y/O RLOPD
LOPD:
Artículo 19. Derecho
a la indemnización.
GAP CON LA NORMATIVA ESPAÑOLA
Frente
a la regulación española, se establece la responsabilidad solidaria, como regla
general, entre responsable y encargado, por el total de los daños, salvo que
uno y/u otro demuestren que no se le pueden imputar los hechos que causan el
daño.
EVALUACIÓN DEL IMPACTO
Presumiblemente,
la mayor claridad y precisión, e incluso contundencia del Reglamento UE, hará
crecer el número de reclamaciones de indemnización.
Por
lo tanto, esta posibilidad debe de tenerse en cuenta, con mayor detalle, en las
evaluaciones de riesgo en materia de protección de datos de las entidades públicas
o privadas.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 78
Sanciones.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 45. Tipo
de sanciones.
GAP CON LA NORMATIVA ESPAÑOLA
Se
modifica, junto principalmente al Artículo 79 del Reglamento UE, de modo sustancial
y con gran impacto el régimen sancionador en materia de protección de datos.
En
este precepto, se deja cierto margen a los Estados para establecer un régimen
sancionar particularizado.
EVALUACIÓN DEL IMPACTO
Aunque
habrá que ver qué margen deja la Comisión a los Estados, lo cierto es que el
conjunto del régimen sancionador del Reglamento UE supone o conlleva la
necesidad de reconfigurar los sistemas y la lógica de cálculo de riesgo en materia
de protección de datos de las entidades públicas y privadas.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 79
Sanciones administrativas.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículos 43 a 49. Infracciones
y sanciones.
RLOPD:
Artículo 75.1.d.). Garantía
del cumplimiento de los Código Tipo.
GAP CON LA NORMATIVA ESPAÑOLA
La
LOPD ya establece una serie de infracciones (de distinta gravedad) y las
correspondientes sanciones. No obstante, el régimen sancionador que se propone
resulta ser más exhaustivo y contundente. El ejemplo más representativo es el
apartado 6 (equivalente a las sanciones muy graves de la LOPD). En él se
establecen unos importes bastante elevados (hasta 1.000.000 € o 2% del volumen
de negocio mundial). Del mismo modo, este apartado es el que contempla más
supuestos constitutivos de infracción (hasta quince frente a cuatro en el caso
de las sanciones muy graves de la LOPD).
EVALUACIÓN DEL IMPACTO
La
cuantía económica en caso de vulneración de la norma tendrá, en todos los supuestos,
un impacto realmente elevado. Si además nos focalizamos en que el grado o nivel
sancionador más elevado deriva del mayor número de hechos o situaciones que
suponen una infracción, estamos ante un endurecimiento general de la normativa
en materia de protección de datos.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 80
Tratamiento de datos personales y
libertad de expresión.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOL
Tanto
en la LOPD como en el RLOPD no hay ninguna consideración concreta y específica
al tratamiento de datos “exclusivamente con fines periodísticos o de expresión
literaria o artística”.
EVALUACIÓN DEL IMPACTO
Este
Artículo afecta a aquellos tratamientos cuya finalidad, independientemente de
la tipología de la entidad, esté referida a las indicadas (a priori medios de comunicación,
editoriales...). La posibilidad de establecer excepciones relativas al
tratamiento de datos de carácter personal en virtud de las finalidades
descritas en el Artículo propuesto podría legitimar, o bien restringir, la
publicación de datos de carácter personal, por ejemplo, en los medios de
comunicación. Estas excepciones, a voluntad del legislador, deben conciliar el
derecho a la privacidad con la libertad de expresión.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 81
Tratamiento de datos personales
relativos a la salud.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículos 4.2. a 6.2. Consentimiento del afectado.
Artículos
7.3 y 7.6. Datos
especialmente protegidos.
Artículo
8. Datos
relativos a la salud.
Artículo
11.2.f. Comunicación
de datos.
RLOPD:
Artículos 10.3.c y
10.5. Supuestos que legitiman el tratamiento o cesión de los datos.
Artículos
81.3.a y
81.5. Aplicación de los niveles de seguridad.
GAP CON LA NORMATIVA ESPAÑOLA
Este
aspecto se encuentra regulado, de forma específica, tanto en la LOPD como en el
RLOPD. Aunque nuestro ordenamiento sólo abarca los datos de salud del paciente
y no los de gestión de los servicios.
Se
amplían, también, las exigencias para el tratamiento de los datos con fines sanitarios,
por razones de interés público, en estos supuestos: garantizar altos niveles de
calidad y seguridad de los medicamentos o del material sanitario, y garantizar
la calidad y rentabilidad de los procedimientos de resolución de reclamaciones
y prestaciones de servicios en el régimen del seguro de enfermedad.
EVALUACIÓN DEL IMPACTO
Nuestra
legislación ya impone a las entidades, públicas y privadas, del ámbito sanitario,
el mayor nivel de protección, a nivel técnico y organizativo, para el tratamiento
de los datos personales de los pacientes. No así con los datos puros de gestión
administrativa.
Lo
que no se había planteado hasta ahora, desde la LOPD/RLOPD, para las entidades
públicas, es la necesidad de gestionar de forma controlada aspectos de calidad
y seguridad en medicamentos y material sanitario.
Y
para todas las entidades, en general, se impondrá buscar la calidad y rentabilidad
en lo relacionado con la resolución de reclamaciones.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 82
Tratamiento en el ámbito laboral.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 6.2. Consentimiento
del afectado.
Artículo
11.2.c. Comunicación
de datos.
RLOPD:
Artículo 2.2. Ámbito
objetivo de aplicación.
Artículos
10.3.b. y 10.4.a. Supuestos
que legitiman el tratamiento o cesión de los datos.
Artículo
36. Derecho
de oposición a las decisiones basadas únicamente en un tratamiento automatizado
de datos.
Artículo
81.2.e. Aplicación
de los niveles de seguridad.
GAP CON LA NORMATIVA ESPAÑOLA
La
LOPD y el RLOPD hacen referencia, brevemente, a la legalidad del tratamiento/ cesión
en el marco de una relación laboral.
Por
otro lado, el RLOPD excluye del ámbito de aplicación los datos de contacto de
los trabajadores, y especifica el derecho de oposición a que se evalúe el
rendimiento laboral en base a decisiones obtenidas de un tratamiento automatizado
de datos.
No
se cubren todos los aspectos marcados por el Reglamento UE, que inciden en
regir el tratamiento de los datos en cada una de las fases de la vida laboral de
un trabajador.
EVALUACIÓN DEL IMPACTO
Se
faculta a los Estados miembros para adoptar leyes específicas para el tratamiento
de datos personales en el ámbito laboral. Habrá que esperar a ver en qué se
traducen estas exigencias en España para ver la repercusión en nuestras
entidades.
En
la actualidad, las entidades suelen tratar los datos personales de sus trabajadores
con suficientes garantías, normalmente en bases de datos dotadas de los niveles
de protección y confidencialidad mas elevados. Llegado el caso, deberán
utilizarse herramientas que permitan gestionar todo el ciclo de vida laboral
respetando la protección de datos.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 83
Tratamiento para fines de
investigación histórica, estadística o científica.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 2.3.b. Ámbito
de aplicación.
Artículo
3.f. Definiciones.
Artículos
4.2 y 4.5. Calidad
de los datos.
Artículo
5.5. Derecho
de información en la recogida de datos.
Artículo
11.2.e. Comunicación
de datos.
RLOPD:
Artículo 9. Tratamiento
con fines estadísticos, históricos o científicos.
Artículo
10.4.c. Supuestos
que legitiman el tratamiento o cesión de los datos.
Artículo
157. Iniciación
del Procedimiento.
Artículo
158. Duración
del procedimiento y efectos de la falta de resolución expresa.
GAP CON LA NORMATIVA ESPAÑOLA
Este
aspecto se encuentra regulado, de forma específica, tanto en la LOPD como en el
RLOPD, aunque el Reglamento UE establece unas salvedades no contempladas en
nuestra legislación, referente a la posibilidad de hacer públicos los datos en
caso de que los intereses o los derechos o libertades fundamentales del
interesado no prevalezcan, o si el interesado ha hecho manifiestamente público
los datos o ha dado su consentimiento.
En
nuestra legislación se contempla la posibilidad de solicitar una exención para el
tratamiento, vía petición justificada a la AEPD y se permite la cesión entre Administraciones
Públicas.
EVALUACIÓN DEL IMPACTO
Las
Administraciones Públicas cuentan con autorización para cederse los datos entre
ellas, en esta materia. Esta nueva regulación permitirá hacerlos públicos en
determinadas circunstancias, cuando no prevalezcan los intereses de los interesados,
o si el interesado ha hecho público sus datos, en clara referencia, a la
publicación en Internet.
Para
las entidades privadas se abre un abanico de posibilidades nuevo, tanto en el
tratamiento como en la divulgación del conocimiento adquirido.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 84
Obligaciones de secreto.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 40. Potestad
de inspección.
RLOPD:
Artículo 122. Iniciación.
Artículo
123. Personal
competente para la realización de las actuaciones previas.
Artículo
124. Obtención
de información.
Artículo
125. Actuaciones
presenciales.
Artículo
126. Resultado
de las actuaciones previas.
GAP CON LA NORMATIVA ESPAÑOLA
El
nombre del Artículo puede conducir a error, ya que por este Artículo se faculta
a las autoridades de control establezcan normas específicas para ejercer el
poder de investigación a las autoridades de control en el caso en que
los
responsables o encargados estén sujetos a obligaciones de confidencialidad, permitiendo
el acceso a la información y locales.
Destacar
que sólo se refiere a potestad de investigación.
EVALUACIÓN DEL IMPACTO
Las
normas específicas que se establezcan para los poderes de investigación deberían
revisarse para que estén alineados con lo especificado en el Reglamento UE, en
particular lo establecido en los Capítulos VI y VII del mencionado Reglamento
UE.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 85
Normas vigentes sobre protección de
datos de las iglesias y asociaciones religiosas.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Artículo 2. Ámbito
de aplicación.
Artículo
7. Datos
especialmente protegidos.
Disposición
Transitoria Primera. Tratamientos
creados por Convenios Internacionales.
RLOPD:
Artículo 2. Ámbito
objetivo de aplicación.
Artículo
4. Ficheros
o tratamientos excluidos.
Artículos
81.3 y
81.5. Aplicación de los niveles de seguridad.
GAP CON LA NORMATIVA ESPAÑOLA
En
España no existe un Artículo equivalente, como tal, por lo que el GAP de la normativa
española al respecto es evidente. Obviamente, implica consecuencias importantes,
la primera de ellas es la afirmación de la plena aplicación de la normativa
europea de Protección de Datos a las mismas. La posibilidad de crear una
autoridad de control propia e independiente también es una novedad destacable
en este ámbito. En todo caso, se destaca que el Reglamento UE respeta y no
prejuzga el estatuto reconocido, en virtud del derecho interno, a las iglesias
y las asociaciones o comunidades religiosas en los Estados miembros, tal como
se reconoce en el Artículo 17 del Tratado de Funcionamiento de la Unión
Europea.
EVALUACIÓN DEL IMPACTO
La
afirmación de la plena aplicación de la normativa europea de Protección de
Datos a estas entidades, así como de la necesidad de que sus normas sean coherentes
con la misma, en caso de existir, puede decantar la solución jurídica en
situaciones como la que se ha producido en España con la Iglesia Católica.
Así,
se recuerda cómo la Sentencia de la Audiencia Nacional de 10 de octubre de 2007
sobre cancelación de datos en el Libro Bautismal dio la razón a la AEPD, aunque
luego, el Tribunal Supremo anuló la resolución de esta entidad en base al
respeto al Acuerdo entre la Santa Sede y el Estado español de 1979 y a la consideración
de los ficheros/libros parroquiales como “no ficheros de datos personales” y
excluidos, por tanto, de la aplicación de la norma.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 86
Ejercicio de la delegación.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Disposición final Primera. Habilitación para el desarrollo reglamentario.
RLOPD:
Disposición final Primera. Título competencial.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 86 regula la delegación de poderes en la Comisión para adoptar actos delegados
de acuerdo con lo previsto en el Artículo 290 del TFUE (establece que un acto
legislativo podrá delegar en la Comisión los poderes para adoptar actos no
legislativos de alcance general que completen o modifiquen determinados elementos
no esenciales del acto legislativo). De esta manera, el legislador delega en la
Comisión el desarrollo de determinados aspectos y el Artículo 86 detalla los
Artículos concretos de la Propuesta donde se prevén las delegaciones en la
Comisión.
La
equiparación con la normativa española la podemos encontrar en que la LOPD prevé
en varios de sus Artículos que serán desarrollados por vía reglamentaria.
Actualmente
dicho desarrollo corresponde al RLOPD.
EVALUACIÓN DEL IMPACTO
El
principal impacto es que una vez se apruebe el Reglamento UE habrá que esperar
a la aprobación por la Comisión de los actos delegados en los que regulará una
serie de materias previstas por el mencionado Reglamento UE.
Estas
materias serán bastante relevantes y deberán ser tenidas muy en cuenta al igual
que lo es el RLOPD a nivel nacional respecto de la LOPD. Las materias o
aspectos que regulará la Comisión son muy numerosos y, entre otros, se refieren,
por ejemplo, a los criterios aplicables a los métodos de obtención del consentimiento
verificable, categorías especiales de datos personales, medidas apropiadas para
las PYMES, las cualidades profesionales del Delegado de Protección de Datos,
etc.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 87
Procedimiento de Comité.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 87 del Reglamento UE indica que la Comisión estará asistida por un
Comité y remite a los Artículos 5 y 8 del Reglamento UE nº 182/2011. Estos Artículos
regulan las normas internas (denominado procedimiento de examen) para la
aprobación por el Comité de los proyectos de actos de ejecución de la Comisión
y los actos de ejecución inmediatamente aplicables.
EVALUACIÓN DEL IMPACTO
No
aplica. La regulación del procedimiento interno de aprobación de los actos de ejecución
por la Comisión no tiene impacto en las entidades públicas y privadas en
España.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 88
Derogación de la Directiva 95/46/CE.
ARTÍCULO/S LOPD Y/O RLOPD
LOPD:
Disposición derogatoria Única de la LOPD. Derogación normativa.
RLOPD:
Disposición derogatoria Única. Derogación normativa.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 88 del Reglamento deroga la Directiva 95/46/CE del Parlamento Europeo
y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas
físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos.
Cuando
entró en vigor la LOPD, derogó la LORTAD (Ley Orgánica 5/1992). Por su parte el
Real Decreto 1720/2007 derogó el Real Decreto 1332/1994, dictado en desarrollo
de la LORTAD y el Real Decreto 994/1999 (Reglamento de Medidas de seguridad de
los ficheros automatizados) y todas las normas de igual o inferior rango que
contradigan o se opongan a lo dispuesto en el Real Decreto 1720/2007.
EVALUACIÓN DEL IMPACTO
No
aplica. El impacto de la nueva regulación prevista en la propuesta del Reglamento
UE, en lugar de la que recogía la Directiva, ya se estudia en el análisis del
resto de Artículos de la Propuesta.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 89
Relación con la Directiva 2002/58/CE y
modificación de la misma.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 89 de la Propuesta establece que el Reglamento UE no impondrá obligaciones
adicionales a las personas físicas o jurídicas en materia de tratamiento de
datos personales en relación con la prestación de servicios públicos de
comunicaciones electrónicas en redes públicas de comunicación de la Unión en
ámbitos en los que estén sujetos a obligaciones específicas con el mismo
objetivo establecidos en la Directiva 2002/58/CE. Esta Directiva regula el
tratamiento de los datos personales y a la protección de la intimidad en el sector
de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones
electrónicas).
A
continuación el Artículo 89 de la Propuesta deroga el Artículo de la citada directiva
que indicaba que las disposiciones de esta Directiva completaban la Directiva
95/46/CE.
EVALUACIÓN DEL IMPACTO
Las
empresas en el ámbito de aplicación de la Directiva 2002/58/CE (prestadoras de
servicios públicos de comunicaciones electrónicas en redes públicas de comunicación)
deberán estudiar la relación del Reglamento UE con la Directiva 2002/58/CE y
las normas que la han transpuesto (Ley 32/2003 General de Telecomunicaciones,
que modifica varios Artículos de la Ley de Servicios de la Sociedad de la
Información y de Comercial electrónico), dado que la propuesta de Reglamento UE
no puede imponer obligaciones adicionales en materia de tratamiento de datos
personales en relación con la prestación de servicios públicos de
comunicaciones electrónicas en redes públicas de comunicación.
ARTÍCULO PROPUESTA REGLAMENTO UNIÓN
EUROPEA
Artículo 90
Evaluación.
ARTÍCULO/S LOPD Y/O RLOPD
No
existe correspondencia.
GAP CON LA NORMATIVA ESPAÑOLA
El
Artículo 90 obliga a la Comisión a evaluar el Reglamento UE y presentar al Parlamento
Europeo y al Consejo los oportunos Informes periódicos sobre la evaluación y
revisión del Reglamento UE.
EVALUACIÓN DEL IMPACTO
No
aplica. Son normas de procedimiento interno de actuación de la Comisión respecto
del Reglamento UE que no afectan a las entidades públicas y privadas en España.
7. CONCLUSIONES
El
presente Estudio pretende profundizar en cómo va a influir en la Sociedad
española, su Autoridad de Control y sus Entidades públicas y privadas la futura
normativa europea en materia de Protección de datos, que vendrá a sustituir a
la Directiva 95/46/CE.
En
este sentido, el análisis pormenorizado e individualizado de cada uno de los
Artículos del documento publicado en enero de 2012, permite formular ciertas
conclusiones, que no pretenden ser aseveraciones irrefutables, sino antes bien
pretenden ser elementos y alimento para el interesantísimo debate abierto sobre
este tema.
Y
ante todo y sobre todo, el análisis y sus conclusiones pretenden ser una
herramienta útil y práctica sobre cómo empezar a afrontar la regulación en
ciernes por parte de los socios de ISMS Forum Spain
y del Data Privacy Institute, y por parte de
la Sociedad en general.
Las
conclusiones, así como el propio análisis, se pueden desarrollar agrupadas en
tres subconjuntos:
7.1. Novedades.
¿Es
posible señalar aún más novedades o diferencias de las que se han señalado ya
con respecto al Reglamento UE?
Sin
duda que podemos incidir en las más habituales como derecho al olvido, prestación
del consentimiento, menores, rol de las Autoridades de Protección de Datos,
certificaciones orientadas a privacidad, evaluación del impacto, Delegado de Protección
de Datos, etc.
Pero,
ante todo, quizá haya que señalar que aunque el Reglamento UE no sea
posiblemente una revolución (no debemos confundir impacto con giro radical), sí
que, sin duda, es una evolución de máxima relevancia, por cuanto procura, con
más o menos éxito, adaptar la Normativa europea de Protección de Datos a la
realidad actual en la materia.
En
este sentido, el reforzamiento de la posición del interesado, como titular de
los datos (cuestión que a veces se olvida), aunque pueda considerarse excesiva
en algunos
puntos,
no deja de tener su lógica dado que la Privacidad y la Protección de Datos son cada
vez más importantes para la Sociedad y sus miembros.
Por
otro lado, y con relación a la posición de las entidades que tratan los datos personales
en la condición de responsables o encargados por cuenta de terceros, sin duda,
tendrán que hacer un ejercicio de adaptación que no se reduzca a la mera asunción
técnica de preceptos. Antes bien, igual que la Sociedad ha interiorizado la Protección
de Datos, el Reglamento UE pide y exige esa misma interiorización a las entidades
públicas y privadas, que tendrán que mostrar y demostrar su responsabilidad ante
esta materia de forma continuada y sostenible.
7.2. GAP con la Normativa española.
¿Tiene
el contraste con el Reglamento UE un resultado positivo o negativo para la LOPD
y su RLOPD?
Este
contraste o comparación, aunque necesario, está condicionado por un presupuesto
de partida: confrontamos una norma de ámbito nacional con una norma de ámbito supranacional
y que afecta a toda la Unión Europea. Sin entrar en los procelosos mundos de la
técnica legislativa, este condicionante tiene su mayor importancia en las dudas
que puedan surgir en cuanto a cómo va a ser la estrategia de evolución entre ambos
modelos, cuestión todavía por definir.
De
cualquier modo, quizá uno de los aspectos materiales donde el diferencial es mayor
(como lo ha sido en el pasado con relación a las normativas del resto de países
UE),
es lo relativo a la Seguridad en el tratamiento de los datos personales. Y ello
por cuanto está por ver cómo se resuelve la transición entre el modelo de
catálogo de Medidas de Seguridad del RLOPD y el modelo de definición únicamente
de directrices del Reglamento UE.
En
este sentido, podría haber un cambio de paradigma en relación con las medidas
de seguridad, por cuanto el punto de partida para determinar los controles que
deberá implantar cualquier organización, será el resultado de un análisis de
riesgos de seguridad, no habiéndose recogido medidas concretas, ni niveles de
seguridad como en el RLOPD.
7.3. Evaluación del impacto.
¿Un
buen nivel de madurez con relación a la Normativa actual reduce el impacto de
la Normativa por venir?
Sin
duda que sí, de igual modo que no es lo mismo adaptarse al cambio que adecuarse
a una norma sin base previa.
No
obstante, todas las entidades, públicas y privadas, van a tener que hacer un esfuerzo
para la definición del rol de Delegado de Protección de Datos, para revisar la
seguridad sobre los datos personales, para incorporar los conceptos de Privacy Impact
Assessment y Privacy by design a sus procesos internos, para recalcular su riesgo
en Protección de Datos, etc.
7.4. Relación con Autoridades de control.
¿Cambia
la estrategia y operativa de la relación entre los Responsables del tratamiento
y sus Encargados con los Supervisores públicos?
Los
Responsables y Encargados tendrán una obligación de consulta a la autoridad de
control previa al tratamiento de datos, en caso de que sus Privacy Impact Assessments
determinen un nivel de riesgo alto; o en su caso, cuando la autoridad de
control haya catalogado la actividad de tratamiento que pretenden realizar como
de alto riesgo, por considerar que entrañan un riesgo específico para los
derechos y libertades de los interesados.
También
en relación con la interacción entre las partes indicadas, si bien las
entidades deberán generar toda la documentación sobre los tratamientos que
realizan, el contenido de las notificaciones realizadas a la AEPD (Art. 26
LOPD) servirá como buen punto de partida a las organizaciones españolas.
Por
supuesto, es pretensión del DPI que este Estudio sea un documento vivo, y en concreto,
que siga una vida paralela a la Propuesta de Reglamento UE, de modo que las
sucesivas versiones de esta última tengan reflejo en las sucesivas ediciones
del Estudio.
Incluso,
si en el proceso de creación de la normativa esta Propuesta se dividiera en diferentes
Propuestas o proyectos normativos, si se crearan otros adicionales…, se procurará
ampliar el alcance a todos aquellos documentos que se puedan enmarcar en los
trabajos de elaboración de la nueva normativa europea de Protección de datos, o
bien en el análisis profundo de las cuestiones que planteen más controversia a
los socios de ISMS Forum Spain y DPI.
Por
último, no queremos cerrar el Estudio de otra manera que, por un lado, deseando
que la lectura de este Estudio sea tan agradable como útil y práctica, y por
otro lado, reiterando el agradecimiento a los participantes en su elaboración
por su entusiasmo, implicación y tiempo.
Más
información:
C/
Castello, 24, 5º Derecha, Escalera 1 • 28001 Madrid
T.: 34 91 186 13 50
NOTA
DEL EDITOR:
(1) Para un análisis temático de determinadas materias y aspectos de la propuesta de nueva regulación sobre protección de datos, se puede consultar el II estudio en éste Blog:
Reflexiones sobre el futuro de la privacidad en Europa
(2) Para un análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas, puede consultarse en este mismo Blog:
ANALISIS DEL BORRADOR DE REGLAMENTO EUROPEO(1) Para un análisis temático de determinadas materias y aspectos de la propuesta de nueva regulación sobre protección de datos, se puede consultar el II estudio en éste Blog:
Reflexiones sobre el futuro de la privacidad en Europa
(2) Para un análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas, puede consultarse en este mismo Blog:
(3) Para focalizar sobre la figura del DPO (Data Protection
Officer) a la que hacen referencia los Artículos 35, 36 y 37 del borrador de
Reglamento europeo, puede consultarse un artículo monográfico en éste mismo
Blog:
EL DPO (Data
Protection Officer)
8. COPYRIGHT Y DERECHOS:
DPI (Data Privacy Institute) - ISMS Forum Spain
a)
Que se reconozca la propiedad de la Obra indicando expresamente los titulares
del Copyright.
b)
No se utilice con fines comerciales.
c)
No se creen obras derivadas por alteración, trasformación y/o desarrollo de
esta Obra.
-
Los
titulares del Copyright no garantizan que la Obra esté ausente de errores. En
los límites de lo posible se procederá a corregir en las ediciones sucesivas
los errores señalados.
-
El
contenido de la Obra no constituye un asesoramiento de tipo profesional y/o
legal.
-
No
se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado.
-
Eventuales
denominaciones de productos y/o empresas y/o marcas y/o signos distintivos
citados en la Obra son de propiedad exclusiva de los titulares correspondientes.
-
Las
opiniones contenidas en el presente Estudio, son la suma de las aportaciones de
un grupo de expertos en protección de datos, por tanto, no necesariamente
reflejan la opinión de DPI-ISMS Forum Spain.
Más
información acerca de DPI / ISMS Forum Spain se puede consultar a través de su página
web oficial: www.ismsforum.es/dpi
No hay comentarios:
Publicar un comentario
Nota: solo los miembros de este blog pueden publicar comentarios.