Tecnologías de la Información
Madrid, 19 diciembre de 2016
EL GRUPO DE TRABAJO DEL ARTÍCULO 29 PUBLICA LAS PRIMERAS GUÍAS SOBRE EL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
En febrero de este año, el Grupo de Trabajo del Artículo 29 (“GT 29”) anunció su intención de elaborar distintos documentos con directrices prácticas que ayudaran a responsables y encargados del tratamiento a adaptarse al nuevo marco normativo europeo1. A punto de finalizar el 2016, ha publicado las primeras guías interpretativas, que abordan las siguientes cuestiones: El derecho a la portabilidad. La figura del Delegado de Protección de Datos o Data Protection Officer (“DPO”). Normas para la identificación de la autoridad de control principal. Cada guía va a acompañada de un documento de “Preguntas Frecuentas”, que sirve como resumen de las principales conclusiones que recogen en la misma. Derecho a la portabilidad El derecho a la portabilidad aparece regulado en el artículo 20 del Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (“Reglamento General de Protección de Datos” o “RGPD”). Dicho precepto señala que el interesado “tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado (…)”. El GT 29 explica en su guía que este derecho se desglosa en las siguientes posibilidades para el afectado: En primer lugar, el afectado tiene derecho a recibir los datos personales relativos a su persona que está tratando el responsable y a almacenarlos en un dispositivo propio, sin comunicarlos a otro responsable del tratamiento. En este sentido, es un derecho complementario del derecho de acceso, cuya peculiaridad consiste en que facilita al titular de los datos un mecanismo sencillo para conocer y reutilizar éstos. El GT 29 pone como ejemplo de aplicación práctica de este derecho el supuesto de un usuario que quiere obtener una lista de contactos de su webmail para preparar una lista de bodas, o el de un usuario de un servicio de música en 1
“Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR)”, adopted on 2 February 2016, disponible aquí.
streaming que quiere acceder a información sobre las canciones que más veces ha escuchado para comprarlas. En segundo lugar, el derecho a la portabilidad también permite al afectado solicitar al responsable del tratamiento que comunique sus datos a otro responsable. De esta forma, se permitirá la transmisión y reutilización de datos entre proveedores de servicios independientes con los que un mismo usuario mantiene una relación. Además, entre otras cuestiones de interés, el GT 29 aclara que el derecho a la portabilidad no implica que los datos sean eliminados por el responsable del tratamiento ante quien se ejerce y que, en todo caso, éste deberá garantizar la seguridad de los datos personal en el proceso de transmisión. Data Protection Officer El RGPD determina, en su artículo 37.1, que deberán nombrar un DPO los responsables y encargados del tratamiento siempre que se de alguna de estas tres circunstancias: El tratamiento se lleva a cabo por una autoridad u organismo público. Las actividades principales del responsable o del encargado consisten en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieren una observación habitual y sistemática de los interesados a gran escala. Las actividades principales del responsable o del encargado consisten en un el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas e infracciones penales. Los supuestos arriba recogidos incluyen conceptos ciertamente ambiguos como “observación habitual y sistemática” y “tratamientos a gran escala”, que el GT 29 intenta aclarar en la guía que ha elaborado. Respecto al significado de la expresión “tratamientos a gran escala”, el GT 29 señala que, en estos momentos, no es posible definir dicho concepto exclusivamente en base al volumen de datos tratados o al número de individuos afectados (aunque no descarta que en el futuro se puedan fijar volúmenes de datos que se considerarán tratamientos a gran escala para actividades comunes). A la hora de determinar si se está efectuando un tratamiento a gran escala, el GT 29 recomienda valorar las siguientes circunstancias:
El número de individuos afectados. El volumen de registros o categorías de datos que están siendo tratados. La duración o permanencia del tratamiento. La extensión geográfica.
Para el GT 29, constituyen tratamientos a gran escala: Tratamientos de datos de pacientes por un hospital. Tratamiento de los datos de viaje de personas que utilizan el sistema de transporte público de una ciudad. Tratamiento de datos de geolocalización en tiempo real de los clientes de una cadena internacional de comida rápida para fines estadísticos. Tratamiento de datos de clientes por una compañía de seguros o un banco. Tratamiento de datos para la realización de actividades de publicidad comportamental o behavioural advertising.
Tratamiento de datos de tráfico, localización, etc. por prestadores de servicios de acceso a Internet o telefonía. Sin embargo, no son tratamientos a gran escala: Los tratamientos de datos de pacientes efectuados por un médico individualmente en su propia consulta. Los tratamientos de datos relativos a infracciones criminales llevados a cabo por un abogado que ejerce la profesión por su cuenta. Por otro lado, de acuerdo a la interpretación del GT 29, son ejemplos de “observación habitual y sistemática”: La gestión de una red de telecomunicaciones. La prestación de servicios de telecomunicaciones. Actividades de “profiling” y “scoring” con la finalidad de realizar análisis de riesgos para prevención de blanqueo de capitales, prevención de fraude, análisis de riesgo crediticio, etc. Tratamientos derivados de localización de usuarios a través de apps. Programas de fidelización. Tratamientos relacionados con publicidad conductual. Tratamientos de datos de salud a través de dispositivos portátiles. Tratamientos de datos datos derivados del uso de dispositivos conectados (smart cars, smart meters, domótica, etc.). En cualquier caso, el GT 29 recomienda dejar constancia escrita del análisis efectuado por una organización, tanto para determinar que no está obligada a nombrar un DPO, como para concluir que sí se encuentra dentro de los supuestos recogidos en el artículo 37.1 arriba citado. Otras cuestiones reseñables de la guía son las siguientes: Incluye ejemplos de cargos que podrían considerarse incompatibles con la función de DPO, como responsable de RRHH, responsable de IT, responsable de servicios médicos, responsable financiero, etc. En general, se entiende que una posición directiva resultará incompatible con la función de DPO. Se aclara que, para cumplir con el artículo 37.7 del RGPD, que determina que el responsable o el encargado del tratamiento “publicarán los datos de contacto del delegado de protección de datos y los comunicará a la autoridad de control”, no es necesario en todos los casos hacer público el nombre y apellido del DPO. Se resalta que el DPO no es personalmente responsable del incumplimiento de las obligaciones recogidas en el RGPD. El GT29 recuerda que no se exige ninguna certificación o titulación específica para ejercer las funciones de DPO, aunque quien ocupe este cargo deberá acreditar conocimientos específicos en la normativa nacional y europea de protección de datos. Recomienda a las Autoridades de Control promover sesiones formativas periódicas dirigidas a DPOs. Autoridad de control principal Como norma general, cuando se realiza un tratamiento ciudadanos ubicados en más de un Estado Miembro, investigación relacionados con el mismo serán dirigidos “autoridad de control principal” (Principio de “One Stop
de datos transfronterizo o que afecta a cualquier procedimiento sancionador o por lo que se denomina en el RGPD la Shop”). La guía elaborada por el GT 29,
propone ejemplos de tratamientos transfronterizos, y aclara los criterios para determinar qué autoridad debe ocupar el puesto de autoridad de control principal en diferentes supuestos. Para más información, puede consultar los textos completos de las guías en este enlace. Más Información Norman Heckh Socio
[email protected]
www.ramonycajalabogados.com
© 2011 Ramón y Cajal Abogados, S.L.
María Luisa González Tapia Abogado Senior
[email protected]
Almagro, 16-18 28010 Madrid T +34 91 576 19 00 F +34 91 575 86 78
Elisabet Viñes Vila Abogado Junior
[email protected]
Caravel•la La Niña, 12, 6ª planta 08017 Barcelona T +34 93 494 74 82 F +34 93 419 62 90
Emilio Arrieta, 6 1º Derecha 31002 Pamplona T +34 94 822 16 01