Resumen: El Reglamento
(UE) 2016/679 representa un cambio significativo en relación a cómo debe
entenderse la protección de los datos de naturaleza personal en la Unión
Europea. En él se traslada el centro de gravedad desde los ficheros de datos
hacia los tratamientos, dotando de mayor cobertura a los derechos y libertades
de los ciudadanos ante los nuevos retos que surgen fruto del progreso
tecnológico.
Autor del artículo
|
Colaboración
|
|
José Luis Colom Planas
|
Equipo jurídico de GOVERTIS
|
|
Actualizado
|
21 de enero
de 2017
|
|
Índice
1. Introducción
2. Cambio estratégico
en el RGPDUE3. Los conceptos de tratamiento y de fichero
4. Pese a todo, los ficheros seguirán existiendo
5. ¿Dónde aplicar los principios de protección de datos?
6. Registro de las actividades de tratamiento
7. Epílogo
8. Bibliografía consultada
9. Control de cambios del artículo
10. Derechos de autor
1. Introducción
Es
cierto que el RGPDUE introduce un elenco de novedades, tratadas
exhaustivamente por diferentes compañeros. [2] Incluso han sido analizadas a partir del
borrador, años antes de su aprobación definitiva, con elevado nivel de acierto.
[5]
No obstante, a mi
entender, de todas ellas hay dos que son las más relevantes, especialmente la
segunda:
- La primera novedad es la Evaluación de Impacto en la Protección de Datos (EIPD), también conocida en lengua anglosajona como Privacy Impact Assessment (PIA), que ha sido tratada con exhaustividad en este mismo blog y por otros autores. [4] Viene a sustituir la actual clasificación cualitativa basada en niveles de los datos personales -básico, medio y alto-, y las consecuentes medidas de seguridad asociadas (Vid. Art. 7 LOPD y Art. 81 RLOPD), sustituyéndola en el RGPDUE por una evaluación de riesgo respecto a los derechos y libertades que representan los tratamientos aplicados sobre esos datos. Dichos valores de riesgo se obtendrán mediante la realización de una EIPD. Pese a todo, se continúan identificando en el artículo 9 RGPDUE las categorías especiales de datos, prohibiéndose su tratamiento salvo que concurra alguna circunstancia de las que en el mismo artículo se determinan. La EIPD es un instrumento fundamental en la Privacidad desde el Diseño (PbD) y por defecto, según se señala en el artículo 25 RGPDUE. [3]
- La segunda novedad es estratégica y emana del propio Reglamento en su conjunto. Para mí es la principal, ya que marca un cambio significativo respecto a la legislación anterior (todavía vigente en el momento de redactar este artículo al encontrarse el RGPDUE en período de “vacatio legis” hasta mayo de 2018, fecha en que será de aplicación directa a todos los estados miembros de la unión). La comentaré seguidamente.
2. Cambio estratégico en el RGPDUE
De alguna manera con
el RGPDUE se desplaza el centro de gravedad de la norma jurídica, desde proteger ficheros, cómo estábamos
acostumbrados mediante la LOPD y RLOPD, hacia asegurar tratamientos.
- Se pasa de un concepto de protección estática a protección dinámica que ya se vislumbra si comparamos el título de la LOPD “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de DATOS de Carácter Personal” con el del nuevo RGPD “Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al TRATAMIENTO de datos personales y a la libre circulación de estos datos”.
- No se requiere publicitar los ficheros en el Registro General de Protección de Datos (RGPD) de la Autoridad de Control, en España la AEPD, lo que corrobora esa traslación desde los datos personales, pese a ser el bien jurídico a proteger, hacia los tratamientos sobre esos datos, que son los que entrañan riesgo. Recordaré que en última instancia el mero hecho de poseer datos personales (almacenarlos), ya se considera una forma de tratamiento.
NOTA
DEL EDITOR: No confundir las siglas RGPD
correspondientes al Registro General de Protección de Datos de la AEPD, con las
siglas RGPDUE correspondientes al
Reglamento General de Protección de Datos de la Unión Europea. Por desgracia
coinciden en parte pero, por suerte, el primero quedará en desuso con la
aplicación efectiva del segundo, evitándose confusiones a partir de entonces.
Como
ya he señalado, este planteamiento lo corrobora el hecho de que ya no sea
necesario publicitar los ficheros en
el correspondiente registro general de la Autoridad de Control competente,
debiendo en cambio mantener, el responsable o el encargado del tratamiento, registros de las actividades de tratamiento
bajo su responsabilidad. Sobre estos registros volveré más adelante en este
mismo artículo.
3. Los conceptos de tratamiento y de
fichero
Si
consultamos las diferentes normas jurídicas relacionadas con la privacidad en
los distintos ordenamientos jurídicos sobre la definición de tratamiento, veremos
conceptos similares, aunque con sutiles diferencias.
Según
el artículo 4.2) RGPDUE: “«tratamiento»: cualquier operación o conjunto de operaciones
realizadas sobre datos personales o conjuntos de datos personales, ya sea por
procedimientos automatizados o no, como la recogida, registro, organización,
estructuración, conservación, adaptación o modificación, extracción, consulta,
utilización, comunicación por transmisión, difusión o cualquier otra forma de
habilitación de acceso, cotejo o interconexión, limitación, supresión o
destrucción;”.
Si
la comparamos en España con la LOPD y RLOPD respectivamente:
- Según el artículo 3.c) LOPD: “Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”
- Según el artículo 5.t) RLOPD: “Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”.
Vemos
que en las Normas españolas, se insistía en operaciones técnicas, cuando en el
RGPDUE es cualquier operación o conjunto de operaciones, dando así la
máxima amplitud de significado al que deviene en eje central del Reglamento
europeo.
Mientras
que la definición de fichero es, según el artículo 4.6) RGPDUE: “«fichero»: todo conjunto
estructurado de datos personales, accesibles con arreglo a criterios
determinados, ya sea centralizado, descentralizado o repartido de forma funcional
o geográfica”.
Aquí
yo hubiera abogado por definirlo como “todo
conjunto de datos personales” sin distinción en estructurados o
desestructurados, ya que las principales bases de datos empleadas como
repositorios de Big Data son desestructuradas o “No SQL”. La experiencia
demuestra que concretar mucho no siempre es la mejor solución en base al
principio de universalidad.
Existe
otra forma de ver el mayor nivel de empoderamiento de los tratamientos, frente
a un fichero:
- El fichero tiene per se una única finalidad asociada, que es agrupar un conjunto de datos para facilitar su acceso y localización, llevando siempre asociado de forma inherente un tratamiento, que es el de almacenamiento y conservación de su contenido.
- El tratamiento incorpora múltiples posibilidades: comunicación y transferencia de datos, obtención de resultados, reelaboración de los datos de partida posibilitando crear otros de nuevos, etc.
Una
curiosidad al respecto es que no puede existir fichero sin tratamiento (aunque
sea el mero almacenamiento), pero sí tratamiento sin fichero, como podría ser
el visionado de imágenes de videovigilancia sin grabación, por un vigilante de
seguridad.
4. Pese a todo, los ficheros seguirán
existiendo
Es
una obviedad, como ya he dicho, que el dato personal es el bien jurídico a
proteger, y el que da sentido a los tratamientos. Sin datos personales no
pueden existir los tratamientos sobre ellos.
Luego
el contenido esencial del derecho fundamental a la protección de datos está
basado en un conjunto de normas (principios y reglas) de obligado cumplimiento
para el que trata la información personal
y que van dirigidas a proteger el dato personal considerado en sí mismo,
a la vez que se limitan los tratamientos a que pueda ser sometido. Para
ello se definen un conjunto de medidas preventivas de defensa, tanto jurídicas
como organizativas y técnicas, que protejan a la información personal desde el
mismo momento que se recaba, y a los tratamientos que se le aplicarán, durante
todo su ciclo de vida.
En
base a esta idea, no se puede prescindir ni del uno, ni del otro, dentro de
cualquier marco jurídico de protección de datos. Y técnicamente tampoco, ya que,
con independencia de declararlos en la Autoridad de Control, o no, los ficheros
físicos siguen existiendo como requerimiento técnico para soportar los datos.
Para
mí, lo que introduce el RGPDUE es más bien una variación en el enfoque más que
una discusión ontológica. No se trata de buscar la esencia del fichero o del
tratamiento, ya que ambos siempre han existido y existirán. Nada cambia
respecto a ellos. Únicamente el fichero cede protagonismo frente a los
tratamientos debido al abanico de posibilidades que deben ser tenidas en cuenta
en las evaluaciones, pero no implica que el primero deba ser ninguneado.
5. ¿Dónde aplicar los principios de
protección de datos?
Una
primera aproximación de partida podría ser la siguiente, pese a no existir un
absoluto consenso en su elaboración:
(*)
Nota: (ARC)=Acceso, Rectificación y Cancelación; (OS)= Oposición y Supresión
(Olvido).
Principio de protección de datos
(sin
pretender ser una relación exhaustiva)
|
Elemento al que aplica principalmente
|
|
Consentimiento informado
|
Tratamientos
|
Ficheros
|
Limitación en el recabado de datos
|
Tratamientos
|
Ficheros
|
Calidad de los datos
|
Ficheros
|
|
Especificación del propósito
|
Tratamientos
|
|
Limitación de la finalidad
|
Tratamientos
|
|
Transparencia
|
Tratamientos
|
Ficheros
|
(*) Ejercicio de derechos (ARC) (OS)
|
(OS) Tratamientos
|
(ARC)
Ficheros
|
Rendición de cuentas
|
Tratamientos
|
|
Velar por las Transferencias Internacionales de
Datos (TID)
|
Tratamientos
|
|
También podría verse desde la perspectiva de Ficheros si no fuera una cesión
“intencionada”. En caso contrario, esa actividad o acción de ceder
constituiría un Tratamiento.
|
||
Velar por las cesiones de datos
|
Tratamientos
|
|
También podría verse desde la perspectiva de Ficheros si no fuera una cesión
“intencionada”. En caso contrario, esa actividad o acción de ceder
constituiría un Tratamiento.
|
||
Principio de seguridad
|
Tratamientos
|
Ficheros
|
Vemos
que a pesar de predominar el color verde en la aplicación de principios de la
protección de datos sobre tratamientos, el color naranja, que he asignado
arbitrariamente a los ficheros, en absoluto desaparece.
6. Registro de las actividades de
tratamiento
El artículo 30.1
RGPDUE dispone: “Cada responsable y, en su caso, su representante llevarán un registro de las actividades
de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá
contener toda la información indicada a continuación: (…)”, pasando a detallar su contenido en los epígrafes del a)
al g). También el apartado 2 del mismo artículo señala: “Cada encargado y, en su caso, el representante del encargado,
llevará un registro de todas las categorías de actividades de tratamiento
efectuadas por cuenta de un responsable que contenga: (…)”, pasando también a detallar su
contenido en los epígrafes del a) al d).
El artículo 30.3
RGPDUE dispone: “Los registros a que se refieren los apartados 1 y 2
constarán por escrito, inclusive en formato electrónico” y el 30.4 El responsable o el encargado del tratamiento y, en su caso, el representante del
responsable o del encargado pondrán el registro a disposición de la autoridad
de control que lo solicite”.
Con estos tres
primeros apartados del art. 30 RGPDUE, el legislador europeo ha sido coherente
con el espíritu del Reglamento, que no es otro que velar para que se identifiquen
los riesgos que puedan socavar los principios generales de la protección de
datos, cuando se apliquen tratamientos a los datos de naturaleza personal.
6.1 Todo el valor aportado se pierde
instaurando umbrales
Igual que ha pasado
en otros marcos normativos, como es la Ley 10/2010, de 28 de abril, de
prevención del blanqueo de capitales y de la financiación del terrorismo y su
Reglamento de aplicación, el RD 304/2014, de 5 de mayo, los umbrales de
exención de obligaciones son el peor enemigo de la aplicación efectiva de la
legislación, según opinión mayoritaria de los compañeros que también tenemos
esa área de práctica del Derecho.
En este caso que nos
ocupa, se echa por tierra todo el beneficio que aporta el instrumento jurídico que
estamos analizando, cuando añade un cuarto apartado al art. 30 RGPDUE que
señala ““Las obligaciones
indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización
que emplee a menos de 250 personas, a menos que el tratamiento que realice
pueda entrañar un riesgo para los derechos y libertades de los interesados, no
sea ocasional, o incluya categorías especiales de datos personales indicadas en
el artículo 9, apartado 1, o datos personales relativos a condenas e
infracciones penales a que se refiere el artículo 10”.
Hemos
de tener en cuenta que las pequeñas y medianas empresas representan el 99,9% de
las organizaciones que hay en España según recoge un informe que realiza la Dirección General de Industria y de la PYME,
un órgano dependiente del Ministerio de
Industria, Turismo y Agenda Digital. Luego en España, salvo las empresas que
realicen tratamientos de categorías especiales de datos personales según se recoge
en el art. 9 RGPDUE, muy pocas deberán llevar el registro de actividades de tratamiento.
Es evidente que si
no se identifican los tratamientos, es imposible conocer que riesgos entrañan
respecto a los principios de la protección de datos recogidos en el art. 5.1
RGPDUE “Principios relativos al
tratamiento”, y menos poder aplicar el principio de “accountability”
(traducido en la versión española por “responsabilidad proactiva”)
introducido por el art. 5.2 RGPDUE “El responsable del tratamiento será
responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de
demostrarlo («responsabilidad proactiva»)”, que señala implícitamente
la necesidad de documentar siempre las actividades de tratamiento para poder
demostrar, en calidad de responsable o encargado, el debido control sobre las
mismas. ¿Cómo se puede demostrar control sobre algo que no se tiene ni tan
siquiera relacionado?
El art. 30.4 carece de coherencia jurídica con la ratio legis del Reglamento Europeo, al
menos en países como el nuestro donde las grandes empresas representan apenas
un 0,1% del tejido empresarial (de cada 1000 empresas, únicamente una debería
llevar obligatoriamente el registro de
actividades de tratamiento, salvo excepciones).
Yendo
más allá, en relación a la Evaluación de Impacto relativa a la Protección de
Datos (EIPD) se dispone en el art. 35.1 RGPDUE: “Cuando sea probable
que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su
naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos
y libertades de las personas físicas, el responsable del tratamiento realizará,
antes del tratamiento, una evaluación del impacto de las operaciones de
tratamiento en la protección de datos personales. Una única evaluación podrá
abordar una serie de operaciones de tratamiento similares que entrañen altos
riesgos similares”.
Es
evidente que para poder evaluar el nivel de riesgo que entraña un
tratamiento debemos, de entrada, tenerlo identificado. Luego si para cada
tratamiento decidimos si debemos hacer o no una EIPD, estaremos confeccionando ya
la base del registro de actividades de
tratamiento.
Lege ferenda,
esperemos que el legislador europeo se dé cuenta de la que para mí es una falta
de coherencia legislativa y en una futura reforma lo subsane. Otra opción sería que, dado el tamaño de las
empresas Españolas, la autoridad de control (AEPD) recomendara la confección en
todos los casos de dicho registro para poder acreditar el principio de accountability y para demostrar que se
han tenido en cuenta todos los tratamientos para llegar a discernir de cuales
se justifica el haber realizado una EIPD.
En cualquier caso, siempre según mi opinión particular, el llevar un registro de actividades de tratamiento
dará seguridad jurídica al responsable o encargado que disponga de él,
especialmente si debe hacerse frente a una inspección.
7. Epílogo
Para mí el artículo 30
RGPDUE, sobre los registros de las
actividades de tratamiento (RAT), debería ser la dovela central del
Reglamento General Europeo de Protección de Datos. Es el hilo conductor del
principio de “accountability” en relación a las actividades de tratamiento
sobre los datos de naturaleza personal.
Ya hemos visto que
los tratamientos se vuelven nucleares en el RGPDUE, junto al propio dato
personal en sí mismo. Incluso el considerando (82) señala “Para demostrar la conformidad con el
presente Reglamento, el responsable o el encargado del tratamiento debe
mantener registros de las actividades de tratamiento bajo su responsabilidad.
Todos los responsables y encargados están obligados a cooperar con la autoridad
de control y a poner a su disposición, previa solicitud, dichos registros,
de modo que puedan servir para supervisar las operaciones de tratamiento.”.
Yendo un poco más
allá, las EIPD deben hacerse, según dispone el artículo 35.1 RGPD, “Cuando
sea probable que un tipo de TRATAMIENTO, en particular si utiliza nuevas
tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto
riesgo para los derechos y libertades de las personas físicas”. No
se hace una EIPD sobre un fichero de datos, sino sobre un tratamiento
de datos personales.
Por todo lo
desarrollado aquí, vemos que el RGPDUE dota a la protección de los derechos y
libertades de los ciudadanos de la Unión Europea de mayor grado de coherencia y
homogeneidad en sus disposiciones por el hecho de poner, con mayor intensidad,
el foco en los tratamientos, aunque luego se deshinche aplicando umbrales
demasiado restrictivos.
8. Bibliografía consultada
- [2] Eduard
Chaveli Donet. “Algunas novedades del recientemente aprobado Reglamento General
de Protección de Datos de la Unión Europea”. Tribuna de la publicación COMUNICAV del Ilustre Colegio de Abogados de
Valencia. Pág. 28 y 29. Agosto 2016.
Novedades RGPDUE
- [3] José
Luis Colom. “Recopilación de entradas sobre Privacidad desde el Diseño
(PbD)”. Blog Aspectos Profesionales. Junio de 2015.
Privacidad desde el Diseño (PbD)
- [4] Eduard
Chaveli Donet. “Cómo realizar una Evaluación de Impacto en Protección de Datos
(EIPD) en el marco del Reglamento General de Protección de Datos de la Unión Europea
(RGPDUE)”, parte 1 (6 de septiembre 2016), parte 2 (13 de septiembre 2016) y parte 3 (20 de septiembre 2016). Blog de GOVERTIS.
Cómo realizar una EIPD, Parte 1Cómo realizar una EIPD, Parte 2
Cómo realizar una EIPD, Parte 3
- [5] Emilio
Aced Félez. “La nueva Propuesta de Reglamento General de Protección de
Datos de la Unión Europea”. Blog Aspectos Profesionales. Enero de 2013.
Comentarios al borrador del RGPDUE
9. Control de cambios del artículo
Siguiendo
voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las
normas ISO, se incorpora el control de cambios a los artículos de este Blog
permitiendo conocer la trazabilidad de los mismos una vez han sido publicados
por primera vez. Todo ello en concordancia con el último párrafo de la cláusula
general de exclusión de responsabilidad del Blog.
Fecha
|
Cambio
|
Responsable
|
01/10/2016
|
Redacción
inicial del artículo
|
Autor
|
21/01/2017
|
A raíz de una amable colaboración del compañero Fernando Mª Ramos
Suárez, se modifica el apartado 6 “Registro
de las actividades de tratamiento” para adecuarlo al texto definitivo del
RGPDUE.
|
Autor
|
Imágenes bajo
licencia 123RF internacional. La licencia únicamente es válida para su
publicación en este blog.
Tablas creadas por el
autor.
Sobre el autor:
Posee un doble perfil, jurídico y técnico, que le facilita el desempeño profesional en el ámbito de los diferentes marcos normativos, especialmente en el Derecho de las nuevas tecnologías y las normas ISO de adscripción voluntaria. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
A nivel de especialización jurídica,
ha realizado el postgrado de Especialista Universitario en Protección de Datos
y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo
de la certificación CDPP (Certified Data
Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa
superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y
se ha especializado respecto a los delitos de blanqueo de capitales en la UOC,
en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es
experto externo en prevención de blanqueo de capitales, certificado por INBLAC
y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).
A nivel de especialización técnica y de gestión, ha
cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando
adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de
Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de
la Información) por AENOR (Asociación Española de Certificación y
Normalización). Leader Auditor
& Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor
del esquema de certificación STAR para prestadores de servicios de Cloud
Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación
internacional CISA (Certified Information Systems Auditor) by ISACA
(Information Systems Audit and Control Association). Dispone de las
certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service
Management by EXIN (Examination Institute for Information Science).
Desempeña su labor
profesional en la entidad de certificación AUDERTIS como Director de
Auditoría y Cumplimiento Normativo. También colabora con la entidad
certificadora British Standards Institution (BSI) como auditor jefe de
certificación e impartiendo formación para la obtención de la acreditación como
lead auditor, en diferentes marcos normativos, incluidas las especificaciones
del IRCA. Ha trabajado en Govertis Advisory Services cómo Compliance, Management
& IT Advisor, incidiendo en Compliance Penal, PBC/FT, asesoramiento
respecto a cumplimiento normativo, privacidad y gestión de la seguridad
de la información. Ha participado como lead implementer y lead auditor de
diferentes sistemas de gestión basados en Normas ISO, individuales o
integrados, y en la optimización de sus procesos. Ha realizado diferentes
niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas
a Derecho público o privado. Anteriormente ha ostentado la posición de Director
de Consultoría en ANTARA, asesorando respecto a Privacidad, seguridad de la
información y PBC/FT.
Convencido del valor
que aportan las organizaciones profesionales, es vocal de la Junta Directiva -
miembro de la Comisión de Educación y Certificaciones de INBLAC (Instituto de expertos en prevención del Blanqueo de
Capitales y FT), socio de CUMPLEN (Asociación de Profesionales de
Cumplimiento Normativo), asociado sénior de la APEP (Asociación
Profesional Española de Privacidad), miembro de ISACA (Information
Systems Audit and Control Association), miembro de ISMS Forum Spain
(Asociación Española para el Fomento de la Seguridad de la Información),
miembro de ENATIC (Asociación de expertos nacionales de la abogacía
TIC), miembro de itSMF (IT Service Management Forum), ATI (Asociación
de Técnicos de Informática), habiendo sido ponente o colaborado en casi todas
las referidas organizaciones. Ha obtenido, junto a algunos miembros de la
iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT),
un premio compartido otorgado por la AEPD.
Hola José Luis, me ha gustado tu visión sobre el nuevo RGPD en la que coincido plenamente, sin embargo me da la sensación que no está actualizado, ya que para en la obligación del Registro de Actividades comentas que aplica el art. 24 cuando es el 30 y precisamente establece la limitación de los 250 trabajadores. Otra cuestión es que sea recomendable realizar un registro de actividades voluntario, ya que como bien dices difícilmente se puede realizar una adecuación al RGPD sin identificar los tratamientos.
ResponderEliminarsalu2
Muchas gracias Fernando Mª por tu amable aportación. Efectivamente había referencias al borrador que cambiaban el sentido del apartado 6, que he rehecho. Saludos cordiales.
Eliminar