TEMA 13 LA PROTECCIÓN DE DATOS. RÉGIMEN JURÍDICO. EL ... · la protecciÓn de datos. rÉgimen...
15
TEMA 13 LA PROTECCIÓN DE DATOS. RÉGIMEN JURÍDICO. EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL, RELATIVO A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y A LA LIBRE CIRCULACIÓN DE ESTOS DATOS. PRINCIPIOS Y DERECHOS. OBLIGACIONES. EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ADMINISTRACIONES PÚBLICAS. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS. 1. LA PROTECCIÓN DE DATOS. RÉGIMEN JURÍDICO .......................................................................... 1 2. EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL RELATIVO A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y LA LIBRE CIRCULACIÓN DE ESTOS DATOS. PRINCIPIOS Y DERECHOS. OBLIGACIONES........... 3 3. EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ADMINSITRACIONES PÚBLICAS .................... 11 4. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ................................................................... 13 1 LA PROTECCIÓN DE DATOS. RÉGIMEN JURÍDICO. a) Concepto de datos personales El término datos personales hace alusión a toda información sobre una persona física, cuya identidad puede determinarse, directa o indirectamente, mediante un nombre, un número de identificación, datos de localización, y en general, uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. b) Origen del derecho a la intimidad y a la protección de datos personales La primera mención al derecho a la intimidad fue realizada por Lord William Pitt, Conde de Chatham, en 1763, en un célebre discurso ante la Cámara de los Comunes del Reino Unido. Más tarde, en 1890 los juristas norteamericanos Samuel D. Warren y Louis Branden escribieron un artículo titulado «El derecho a la privacidad», en el que reclamaban la existencia de un derecho «a ser dejado en paz» o derecho a la exclusión de la atención de otros o a ser observado en sitios privados. c) El derecho a la protección de datos personales en el ámbito europeo Se reconoció por primera vez en la Sentencia del 15 de diciembre de 1983 del Tribunal Constitucional de la República Federal Alemana, en un asunto sobre la interpretación de las obligaciones que imponía la Ley del censo alemana a sus ciudadanos, como derecho a la autodeterminación informativa o derecho a la protección de datos personales. Por otro lado, el 1 de octubre de 1985 entró en vigor el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de
Transcript of TEMA 13 LA PROTECCIÓN DE DATOS. RÉGIMEN JURÍDICO. EL ... · la protecciÓn de datos. rÉgimen...
TEMA 13
LA PROTECCIÓN DE DATOS. RÉGIMEN JURÍDICO. EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL, RELATIVO A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y
A LA LIBRE CIRCULACIÓN DE ESTOS DATOS. PRINCIPIOS Y DERECHOS. OBLIGACIONES. EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS
ADMINISTRACIONES PÚBLICAS. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
1. LA PROTECCIÓN DE DATOS. RÉGIMEN JURÍDICO .......................................................................... 1
2. EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL RELATIVO A LA PROTECCIÓN DE LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS PERSONALES Y LA LIBRE CIRCULACIÓN DE ESTOS DATOS. PRINCIPIOS Y DERECHOS. OBLIGACIONES. .......... 3
3. EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ADMINSITRACIONES PÚBLICAS .................... 11
4. LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS ................................................................... 13
1 LA PROTECCIÓN DE DATOS. RÉGIMEN JURÍDICO.
a) Concepto de datos personales
El término datos personales hace alusión a toda información sobre una persona física, cuya identidad puede determinarse, directa o indirectamente, mediante un nombre, un número de identificación, datos de localización, y en general, uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
b) Origen del derecho a la intimidad y a la protección de datos personales
La primera mención al derecho a la intimidad fue realizada por Lord William Pitt, Conde de Chatham, en 1763, en un célebre discurso ante la Cámara de los Comunes del Reino Unido.
Más tarde, en 1890 los juristas norteamericanos Samuel D. Warren y Louis Branden escribieron un artículo titulado «El derecho a la privacidad», en el que reclamaban la existencia de un derecho «a ser dejado en paz» o derecho a la exclusión de la atención de otros o a ser observado en sitios privados.
c) El derecho a la protección de datos personales en el ámbito europeo
Se reconoció por primera vez en la Sentencia del 15 de diciembre de 1983 del Tribunal Constitucional de la República Federal Alemana, en un asunto sobre la interpretación de las obligaciones que imponía la Ley del censo alemana a sus ciudadanos, como derecho a la autodeterminación informativa o derecho a la protección de datos personales.
Por otro lado, el 1 de octubre de 1985 entró en vigor el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de
carácter personal, hecho en Estrasburgo el 28 de enero de 1981, y ratificado por España el 27 de enero de 1984, reconoce el derecho a la intimidad y a la protección de datos.
El derecho a la intimidad y a la protección de datos es reconocido en la Carta de los Derechos Fundamentales de la Unión Europea del año 2000, que incorpora todos los derechos civiles, políticos, económicos y sociales de los ciudadanos europeos, agrupados en seis secciones: dignidad, libertad, igualdad, solidaridad, ciudadanía y justicia, y constituye la síntesis de las tradiciones constitucionales y obligaciones internacionales que son comunes a los Estados miembros. Los derechos descritos en la Carta se agrupan. Aunque en su origen la Carta era únicamente un documento político, pasó a ser jurídicamente vinculante como derecho primario de la UE (véase el arto 6, apartado 1, del TUE) con la entrada en vigor del Tratado de Lisboa el 1 de diciembre de 2009.
La Carta no solo garantiza el respeto a la vida privada y familiar (art. 7), sino que también establece el derecho a la protección de datos (art. 8.1), elevando explícitamente el nivel de dicha protección al de derecho fundamental en el derecho de la UE. En el art. 8.2 hace referencia a los principios clave en materia de protección, y por último, el artículo 8, apartado 3, de la Carta garantiza el control de la aplicación de dichos principios por parte de una autoridad independiente.
El derecho primario de la UE también incluye una competencia general de la UE para legislar en materia de protección de datos (art. 16 del TFUE). Tanto las instituciones de la UE como los Estados miembros deberán respetar y garantizar este derecho, que también es aplicable a los Estados miembros cuando apliquen el derecho de la UE (art. 51 de la Carta).
En el derecho derivado de la UE se hace mención por primera vez a la protección de datos de carácter personal en la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales ya la libre circulación de estos datos. A ella siguió la Directiva 97/63 de protección de datos personales en las comunicaciones electrónicas, que son previas a la Carta de los Derechos Fundamentales de la Unión Europea del año 2000.
En el año 2016 se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD). Este responde a la necesidad de armonizar las diferentes regulaciones estatales en esta materia, dado que eran muy dispares y ello influía en el tratamiento de la protección de los datos personales por parte de los poderes públicos y, sobre todo, en el sector privado, que venía demandando desde hace tiempo una seguridad jurídica equivalente dentro de toda la UE.
d) El derecho a la protección de datos personales en España
La Constitución de 1978 (CE) prevé en su artículo 18.1 que se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen y, en el artículo 18.4, que el legislador limitará el uso de la informática para proteger los derechos fundamentales de los ciudadanos.
El artículo 18 CE se encuentra en la sección 1ª del capítulo II del título 1 de la Constitución, están sometidos a reserva de ley orgánica (art. 81 de la CE), que en todo caso deberá respetar su contenido esencial, vinculan a todos los poderes públicos (art. 53.1 CE) y entre las garantías jurisdiccionales podrá recabarse la tutela de los tribunales ordinarios mediante un procedimiento basado en los principios de preferencia y sumariedad y, subsidiariamente, la tutela del Tribunal Constitucional mediante un recurso de amparo (art. 53.2 CE).
El derecho a la intimidad se vincula a la esfera más reservada de las personas (STC 151/1997, de
29 de septiembre), vinculada con la dignidad y el libre desarrollo de la personalidad (art. 10.1 de la CE). Se reconoce incluso a las personas más expuestas al público (STC 134/1999, de 15 de julio), y no solo al individuo aisladamente considerado, sino también al núcleo familiar (SSTC 197/1991, de 17 de octubre, o 231/1988, de 2 de diciembre).
Por su parte, nuestra Constitución fue una de las primeras en introducir la protección de los datos frente al uso de la informática, dado que es precisamente en los años de su redacción cuando comienzan a apreciarse los peligros que puede entrañar el archivo y uso ilimitado de los datos informáticos. Nuestros constituyentes tomaron, en este caso, el ejemplo de la Constitución portuguesa, solo dos años anterior a la española.
Una primera interpretación llevó a considerar este derecho como una especificación del derecho a la intimidad, pero el Tribunal Constitucional ha interpretado que se trata de un derecho fundamental independiente, aunque obviamente estrechamente relacionado con aquel (SSTC 254/1993, de 20 de julio, 290/2000, y 292/2000, de 30 de noviembre). El Alto Tribunal además señaló la vinculación directa de este derecho para los poderes públicos sin necesidad de desarrollo normativo (STC 254/1993).
En concreto, la Sentencia del Tribunal Constitucional 94/1988 señaló que nos encontramos ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados; de esta forma, el derecho a la protección de datos se configura como una facultad del ciudadano para oponerse a que determinados datos personales sean usados para fines distintos a aquel que justificó su obtención.
El derecho fundamental a la protección de datos de carácter personal, al igual que sucede con los derechos al honor, a la intimidad e imagen, tampoco tiene carácter absoluto, por lo que en caso de colisión con otros derechos y, según las circunstancias del caso concreto, puede ceder ante la necesidad de preservar otros bienes jurídicos, como por ejemplo la libertad de expresión e información.
El desarrollo del derecho fundamental a la protección de datos de carácter personal en España se produjo en el año 1992 con la Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD). La ley tenía por objeto desarrollar el derecho fundamental a la autodeterminación informativa reconocido en el artículo 18.4 de la Constitución.
La LORTAD fue derogada por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) tenía por objeto la transposición de la Directiva 95/46/CE.
En el año 2007, se aprobó el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprobaba el Reglamento de desarrollo de la LOPD (RDLOPD).
Por último la LOPD fue derogada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, que complementa el Reglamento (UE) 2016/679 (RGPD).
2 EL REGLAMENTO (UE) 2016/679, DE 27 DE ABRIL, RELATIVO A LA PROTECCIÓN DE
LAS PERSONAS FÍSICAS EN LO QUE RESPECTA AL TRATAMIENTO DE DATOS
PERSONALES Y A LA LIBRE CIRCULACIÓN DE ESTOS DATOS. PRINCIPIOS Y DERECHOS.
OBLIGACIONES.
En el año 2016 se aprobó el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos, RGPD). Este responde a la necesidad de armonizar las diferentes regulaciones estatales en esta materia, dado que eran muy dispares y ello influía en el tratamiento de la protección de los datos personales por parte de los poderes públicos y, sobre todo, en el sector privado, que venía demandando desde hace tiempo una seguridad jurídica equivalente dentro de toda la UE.
El RGPD es una norma que goza de primacía y efecto directo, por lo que no precisa de medida ni norma de ejecución alguna y es objeto de aplicación directa e inmediata en el ordenamiento español, sin precisar de transposición a la normativa nacional. Por ello, la nueva Ley orgánica de protección de datos deberá tener carácter meramente complementario.
Si bien, se ha concedido a los países miembros un periodo de 2 años para su aplicación debido a su complejidad. Por tanto, si bien el Reglamento general de protección de datos entró en vigor el 25 de mayo de 2016, no se aplicó hasta el 25 de mayo de 2018, conforme a lo establecido en su artículo 99.
El nuevo RGPD cambia la filosofía de la protección de datos; de reactiva a proactiva. Desde un doble punto de vista; jurídico y tecnológico. Introduce los conceptos de protección de datos desde el diseño y, por defecto, exige al responsable que implante desde los primeros momentos de concepción de un nuevo sistema de información las medidas y procedimientos técnicos y organizativos apropiados para garantizar su conformidad con la normativa de protección de datos y, así, garantizar los derechos y libertades de las personas cuyos datos serán tratados.
Igualmente, se deberá garantizar que, por defecto, solo se traten los datos personales estrictamente imprescindibles para la finalidad o finalidades legítimas del tratamiento y que no se conserven más allá del tiempo mínimo necesario para conseguir dichas finalidades y, en particular, se garantizará que, también por defecto, los datos personales no sean accesibles a un número indeterminado de personas.
En cuanto a su objeto y ámbito de aplicación (artículos 1 a 3), el RGPD se aplica al tratamiento total o parcialmente automatizado, así como al tratamiento no automatizado de datos personales en el contexto en el marco de sus actividades, por responsables o encargados de tratamiento establecidos en la UE o en aquellos lugares fuera de la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la UE o como consecuencia de una monitorización y seguimiento de su comportamiento.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la UE, que actuará como punto de contacto de las autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades.
Asimismo queda bien definido que el RGPD no será de aplicación a los datos de las personas jurídicas. También queda comprendido en esta exclusión el supuesto de que la persona jurídica contenga los nombres de una o más personas físicas.
Por otro lado, se establecen en los artículos 8, 9 y 10 las condiciones para el tratamiento de categorías especiales de datos personales, el tratamiento de datos personales relativos a condenas e infracciones penales y el tratamiento que no requiere identificación.
Define a los siguientes sujetos (artículo 4) que participan en el tratamiento de datos de carácter personal:
Responsable del tratamiento, que es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;
Encargado del tratamiento, que es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. El tratamiento por el encargado se regirá por un contrato u otro acto jurídico (artículo 28.3 RGPD);
Destinatario, que es la persona física o jurídica, autoridad pública, servicio u otro organismo al que se comuniquen datos personales, se trate o no de un tercero.
No se considerarán destinatarios las autoridades públicas que puedan recibir datos personales en el marco de una investigación concreta de conformidad con el Derecho de la Unión o de los Estados miembros; el tratamiento de tales datos por dichas autoridades públicas será conforme con las normas en materia de protección de datos aplicables a los fines del tratamiento;
Tercero, que es la persona física o jurídica, autoridad pública, servicio u organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable o del encargado;
En el artículo 5 del RGPD se establecen los principios relativos al tratamiento, según los cuales los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente
Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
El responsable del tratamiento será responsable del cumplimiento de estos principios y capaz de demostrarlo («responsabilidad proactiva»).
Por otro lado, el tratamiento solo será lícito si se cumple al menos una de las condiciones establecidas en el artículo 6 del RGPD. Entre ellas se encuentra la condición de que si interesado dé su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.
El RGPD define el consentimiento del interesado como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.
En los artículos 7 y 8 del RGPD se establecen las condiciones para el consentimiento. En concreto, para poder considerar que el consentimiento es inequívoco, el RGPD requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado.
El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Será preciso que la declaración u acción se refiera explícitamente al consentimiento y al tratamiento en cuestión.
El consentimiento también tiene que ser verificable ante una auditoría y quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento a través de sistemas de registro al efecto.
El RGPD establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad es necesario el consentimiento de padres o tutores.
Se sustituyen los denominados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) por los siguientes derechos del interesado recogidos en el capítulo III del RGPD:
a) Transparencia e información
La información que se deba facilitar a los interesados será de forma inteligible y utilizando un lenguaje claro, sencillo y adaptado a los mismos y, de forma muy especial, cuando dicha información se dirija a los niños.
b) Acceso a los datos personales
El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se
están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a tales datos personales.
El responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento. El responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos. Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
c) Rectificación y supresión (derecho al olvido)
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la Sentencia del Tribunal de Justicia de la Unión Europea, de 13 de mayo de 2014, asunto Google vs. España, que reconoció por primera vez el derecho al olvido recogido ahora en el reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
En este caso, el responsable de dicha publicación, además de suprimirlos de sus propios sistemas, adoptará todas las medidas razonables, incluidas las de carácter técnico, para informar a los terceros que estén tratando dichos datos de que deben suprimir cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
Finalmente, se obliga a que el responsable ponga en marcha mecanismos adecuados que garanticen primero, la fijación de los plazos de conservación de la información, y segundo, los mecanismos necesarios para asegurar que se respetan los plazos fijados para la supresión de datos personales o, en su caso, la evaluación periódica de la necesidad de conservar los datos.
d) Limitación del tratamiento
El tratamiento de los datos de carácter personal se limitará para una finalidad determinada, por el tiempo necesario para ello y que no sean accesibles a un número indeterminado de personas, sino únicamente a aquellas que deban participar en su tratamiento.
e) Portabilidad de los datos
Este derecho implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.
Asimismo, se establecen las siguientes obligaciones para los responsables del tratamiento:
a) Elaborar un registro de actividades de tratamiento (RAT)
El registro que será público, se mantendrá actualizado, y contendrá la siguiente información:
La existencia de un fichero o actividad de tratamiento de datos de carácter personal;
La identidad del responsable y el encargado de la actividad de tratamiento;
La finalidad de la recogida de los datos;
La norma legal que ampara la obtención de los datos personales;
Su período de conservación;
Las categorías de destinatarios de la información;
La posibilidad de hacer cesiones de datos;
Las medidas de seguridad impuestas frente a posibles accesos indebidos.
De esta forma desaparece la necesidad de declaración de los ficheros de datos a las autoridades de control.
b) Facilitar información relativa a la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
Esta información también deberá ser pública y se mantendrá actualizada junto con el RAT.
c) Elaborar una evaluación de impacto relativa a la protección de datos (EIPD)
Para cada una de las actividades de tratamiento (bases de datos) incluidas en el RAT se realizará una evaluación de impacto relativa a la protección de datos (EIPD), en la que se valorará si la naturaleza de la base de datos, el alcance, el contexto o los fines, entrañan un alto riesgo para los derechos y libertades de las personas físicas.
El contenido mínimo de esta evaluación incluirá una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a dichos riesgos y las garantías, medidas de seguridad y mecanismos destinados a salvaguardar la protección de datos personales y a probar la conformidad con la legislación de protección de datos.
d) Elaborar un análisis de riesgos relativo a la protección de datos (ARPD)
Cuando de la evaluación de impacto relativa a la protección de datos se extraiga la conclusión de que las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, en el que se describan tanto los posibles riesgos relacionados con la protección de datos personales, como las medidas de seguridad técnicas y organizativas establecidas para hacerles frente por los responsables y encargados de la actividad de tratamiento.
Desaparece, por tanto, la clasificación obligatoria de los tres niveles de seguridad básicos, medio y alto que están vigentes en España, dejando al libre criterio del responsable la adopción de las medidas.
A este respecto, la Comisión Europea se reserva la posibilidad de establecer y especificar criterios condiciones aplicables a las medidas de seguridad.
e) Documentar adecuadamente todas las operaciones de tratamiento de datos personales
Esta obligación se establece tanto a los responsables y como a los encargados de tratamiento de datos personales.
f) Notificar las violaciones de la seguridad de los datos personales a la autoridad de control
En un plazo máximo de 72 horas desde que se tiene conocimiento de las mismas.
g) Nombrar un delegado de protección de datos
Tanto en las Administraciones públicas, como en empresas de más de 250 trabajadores o en aquellas en las que, aun no alcanzando este número de trabajadores, su actividad principal esté vinculada al tratamiento de datos de carácter personal.
El delegado de protección de datos podrá ser empleado por el responsable o el encargado del tratamiento o desempeñar sus tareas sobre la base de un contrato de servicios.
El responsable o el encargado del tratamiento comunicarán el nombre y los datos de contacto del delegado de protección de datos a la autoridad de control y al público.
Por último, otra novedad del RGPD es que se agrava el régimen sancionador, que se aplica sin distinción tanto a los responsables y como a los encargados de tratamiento. Sin embargo no establece sanciones pecuniarias para las Administraciones Públicas.
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE de 6 de diciembre)
El nuevo RGPD es una norma de la UE que se caracteriza de gozar de primacía y efecto directo, por lo que no precisa de medida ni norma de ejecución alguna y es objeto de aplicación directa e inmediata en el ordenamiento español, sin precisar de transposición a la normativa nacional. Sin embargo su inclusión en el ordenamiento jurídico español requiere, en suma, la elaboración de una nueva Ley Orgánica que sustituya la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que complemente y adapte al ordenamiento jurídico español lo establecido en el RGPD.
Por ello se ha aprobado la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (BOE de 6 de diciembre), que, según su DF 16ª al día siguiente de su publicación en BOE (7 de diciembre de 2018).
Además de derogar la LO 15/1999, de 13 de diciembre, se ha derogado también el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos, y cuantas disposiciones de igual o inferior rango contradigan, se opongan, o resulten incompatibles con lo dispuesto en el Reglamento (UE) 2016/679 y en la Ley Orgánica 3/2018, de 5 de diciembre.
Esta Ley Orgánica consta de noventa y siete artículos estructurados en diez títulos, veintidós disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y dieciséis disposiciones finales.
Según su DF 1ª tiene el carácter de ley orgánica. No obstante, las siguientes partes tienen carácter de ley ordinaria:
el Título IV,
el Título VII, salvo los artículos 52 y 53, que tienen carácter orgánico,
el Título VIII,
el Título IX,
los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X,
las disposiciones adicionales, salvo la disposición adicional segunda y la disposición adicional decimoséptima, que tienen carácter orgánico,
las disposiciones transitorias,
y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico.
Las principales novedades de la Ley Orgánica 3/2018, de 5 de diciembre son:
La regulación de los datos referidos a las personas fallecidas, pues, tras excluir su tratamiento del ámbito de aplicación de la presente ley orgánica, se permite que las personas vinculadas al fallecido por razones familiares o de hecho o sus herederos puedan solicitar el acceso a los mismos, así como su rectificación o supresión, en su caso con sujeción a las instrucciones del fallecido.
Excluye de su ámbito de aplicación los tratamientos que se rijan por disposiciones específicas, en referencia, entre otras, a la normativa que transponga la Directiva (UE) 2016/680, previéndose en su DT4ª la aplicación a estos tratamientos de la Ley Orgánica 15/1999, de 13 de diciembre, hasta que se apruebe la citada normativa.
Adapta al Derecho español el principio de transparencia en el tratamiento del reglamento europeo, que regula el derecho de los afectados a ser informados acerca del tratamiento y recoge la denominada «información por capas» ya generalmente aceptada en ámbitos como el de la video-vigilancia o la instalación de dispositivos de almacenamiento masivo de datos (tales como las «cookies»), facilitando al afectado la información básica, si bien, indicándole una dirección electrónica u otro medio que permita acceder de forma sencilla e inmediata a la restante información.
Se recogen «Disposiciones aplicables a tratamientos concretos», tales como la video-vigilancia, los ficheros de exclusión publicitaria o los sistemas de denuncias internas en que la licitud del tratamiento proviene de la existencia de un interés público, en los términos establecidos en el artículo 6.1.e) del RGPD.
La figura del delegado de protección de datos adquiere una destacada importancia en el RGPD y así lo recoge la Ley Orgánica, que parte del principio de que puede tener un carácter obligatorio o voluntario, estar o no integrado en la organización del responsable o encargado y ser tanto una persona física como una persona jurídica. La designación del delegado de protección de datos ha de comunicarse a la autoridad de protección de datos competente.
La AEPD mantendrá una relación pública y actualizada de los delegados de protección de datos, accesible por cualquier persona. Los conocimientos en la materia se podrán acreditar mediante esquemas de certificación. Asimismo, no podrá ser removido, salvo en los supuestos de dolo o negligencia grave. Se articula para el interesado una reclamación ante el delegado de protección de datos permite configurar un medio para la resolución amistosa de reclamaciones, cuando no sea atendido por el responsable o encargado del tratamiento.
Se concretan en el ámbito del régimen sancionador las conductas típicas, estableciendo la distinción entre infracciones muy graves, graves y leves, partiendo de la base de que
el RGPD establece un sistema de sanciones o actuaciones correctivas que permite un amplio margen de apreciación, procede a describir.
Su Título X reconoce y garantiza un elenco de derechos digitales de los ciudadanos conforme al mandato establecido en el artículo 18.4 de la Constitución, en tanto en cuanto una futura reforma de la Constitución eleve a rango constitucional una nueva generación de derechos digitales, que, en algunos casos, ya han sido perfilados por la jurisprudencia ordinaria, constitucional y europea.
En particular, son objeto de regulación los derechos y libertades predicables al entorno de Internet como la neutralidad de la Red y el acceso universal o los derechos a la seguridad y educación digital así como los derechos al olvido, a la portabilidad y al testamento digital.
Ocupa un lugar relevante el reconocimiento del derecho a la desconexión digital en el marco del derecho a la intimidad en el uso de dispositivos digitales en el ámbito laboral y la protección de los menores en Internet. Finalmente, resulta destacable la garantía de la libertad de expresión y el derecho a la aclaración de informaciones en medios de comunicación digitales.
Por último, según su DA 14ª, la normativa relativa a las excepciones y limitaciones en el ejercicio de los derechos que hubiese entrado en vigor con anterioridad a la fecha de aplicación del RGPD, y en particular los artículos 23 y 24 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, seguirá vigente en tanto no sea expresamente modificada, sustituida o derogada. La pervivencia de esta normativa supone la continuidad de las excepciones y limitaciones que en ella se contienen hasta que se produzca su reforma o abrogación.
Así, por ejemplo, en virtud de la referida DA 14ª, las Administraciones tributarias responsables de los ficheros de datos con trascendencia tributaria a que se refiere el artículo 95 de la Ley 58/2003, de 17 de diciembre, General Tributaria, podrán, en relación con dichos datos, denegar el ejercicio de los derechos a que se refieren los artículos 15 a 22 del RGPD, cuando el mismo obstaculice las actuaciones administrativas tendentes a asegurar el cumplimiento de las obligaciones tributarias y, en todo caso, cuando el afectado esté siendo objeto de actuaciones inspectoras.
3 EL DELEGADO DE PROTECCIÓN DE DATOS EN LAS ADMINISTRACIONES PÚBLICAS.
El delegado de protección de datos viene regulado dentro de la sección 4 del capítulo IV del RGPD (artículos 35, 36 y 37).
Siempre que el tratamiento sea llevado a cabo por una autoridad u organismo públicos es obligatorio de designar un delegado de protección de datos, por parte del responsable o el encargado del tratamiento, para un mandato mínimo de 2 años renovables, atendiendo a sus cualidades profesionales (debe ser funcionario del subgrupo A1) y, en particular, a sus conocimientos especializados de la legislación y las prácticas en materia de protección de datos y a su capacidad para ejecutar las tareas encomendadas.
El delegado de protección de datos podrá ser designado para varias de sus entidades, teniendo en cuenta la estructura organizativa de la autoridad u organismo públicos.
En la actualidad, los Reales Decretos que desarrollan la estructura orgánica básica de los Departamentos ministeriales establecen que la coordinación y la supervisión de la política de protección de datos y el ejercicio de las competencias relativas al delegado de protección de datos para el ámbito del Ministerio corresponden a las Subdirecciones Generales de Recursos, Publicaciones y Documentación, dependientes de las Secretarías Generales Técnicas.
El responsable o el encargado del tratamiento velarán por que el delegado de protección de datos desempeñe sus funciones y tareas con independencia y no reciba ninguna instrucción en lo que respecta al ejercicio de sus funciones. Le respaldarán en el desempeño de sus tareas y le facilitarán el personal, los locales, los equipamientos y cualesquiera otros recursos necesarios para el desempeño de las funciones. El delegado de protección de datos informará directamente a la dirección del responsable o del encargado del tratamiento.
Durante su mandato, el delegado de protección de datos solo podrá ser destituido si deja de cumplir las condiciones requeridas para el ejercicio de sus funciones.
El responsable o el encargado del tratamiento velarán porque cualesquiera otras funciones profesionales del delegado de protección de datos sean compatibles con sus tareas y funciones en calidad de delegado de protección de datos y no planteen conflictos de intereses.
Las tareas del delegado de protección de datos en relación con el responsable o al encargado del tratamiento, son las siguientes:
Informar y asesorar de sus obligaciones documentar esta actividad y las respuestas recibidas.
Supervisar la implementación y aplicación del RGPD, en particular por lo que hace a los requisitos relativos a la protección de datos desde el diseño, la protección de datos por defecto y la seguridad de los datos, así como a la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos.
Los interesados tendrán derecho a contactar con el delegado de protección de datos para tratar todas las cuestiones relativas al tratamiento de datos que les conciernan y a solicitar el ejercicio de sus derechos.
Supervisar la implementación y aplicación de las políticas de protección de datos personales en sus organizaciones, incluida la asignación de responsabilidades, la formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
Velar por la conservación del contrato o acto jurídico que rige la relación entre el responsable y el encargado del tratamiento.
Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.
Supervisar la realización de la evaluación de impacto relativa a la protección de datos por parte del responsable o del encargado del tratamiento.
Supervisar la respuesta a las solicitudes de la autoridad de control y, en el marco de las competencias del delegado de protección de datos, cooperar con la autoridad de control a solicitud de esta o a iniciativa propia.
Actuar como punto de contacto para la autoridad de control sobre las cuestiones relacionadas con el tratamiento y consultar con la autoridad de control, si procede, a iniciativa propia.
4 LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS.
La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal de control independiente encargada de velar por el cumplimiento de la normativa sobre protección de datos. Garantiza y tutela el derecho fundamental a la protección de datos de carácter personal de los ciudadanos.
Se configura como una autoridad administrativa independiente conforme a lo establecido en el artículo 84 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que se relaciona con el Gobierno a través del Ministerio de Justicia. Tiene personalidad jurídica propia y plena capacidad pública y privada.
La existencia de una autoridad independiente que vele por este derecho está ya prevista en el Convenio 108 del Consejo de Europa, de 1981, y España se creó en 1992 con la Ley Orgánica de regulación del tratamiento automatizado de los datos de carácter personal (LORTAD), y comenzó a funcionar en 1994. Forma parte del Comité Europeo de Protección de Datos, conforme a lo establecido en el RGPD.
En la actualidad su régimen se encuentra regulado en el Título VII de la Ley Orgánica 3/2018, de 5 de diciembre, que se dedica a las autoridades de protección de datos, siguiendo el mandato del RGPD, que establece que se han de regular por ley nacional.
Su estatuto fue aprobado por el Real Decreto 428/1993, de 26 de marzo, aunque en la actualidad se está tramitando un proyecto de nuevo estatuto. La AEPD está sujeta al derecho Administrativo tanto en:
Ejercicio de sus competencias: se rige por la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las Administraciones Públicas y la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Régimen patrimonial: resulta aplicable la Ley 33/2003, de 3 de noviembre, del patrimonio de las Administraciones públicas (DA 5ª).
Contratación: está sujeta a la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.
Régimen presupuestario: está sometida a los preceptos de la Ley 47/2003, de 26 de noviembre, general presupuestaria que le sean de aplicación, y cuenta con un presupuesto integrado en los Presupuestos Generales del Estado. El control externo se ejerce por el Tribunal Cuentas y el interno por la Intervención General del Estado-IGAE.
Régimen de personal: se rige por el Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público y su normativa de desarrollo. Se dota tanto de personal funcionario de las Administraciones Públicas, como de personal laboral contratado al efecto, según la naturaleza de las funciones asignadas a cada puesto de trabajo.
La Asesoría Jurídica es realizada por la Abogacía del Estado designada en la AEPD.
La representación de la AEPD la ostenta su Director, que es elegido de entre los miembros del Consejo Consultivo de la AEPD. Su nombramiento se produce mediante real decreto a propuesta del Ministro de Justicia.
Conforme a lo establecido en los artículos 57 y 58 del RGPD, la AEPD está encargada de velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación. En concreto, sus funciones son las siguientes:
Atender a las peticiones y reclamaciones de los afectados e informarles de sus derechos.
Recabar de los responsables de las actividades de tratamiento la ayuda e información que precise para el ejercicio de sus funciones.
Dictar las instrucciones y recomendaciones precisas para adecuar las actividades de tratamiento a la normativa vigente en materia de protección de datos.
Establecer las clausulas tipo de los contratos o actos jurídicos y de los códigos de conducta que rigen la relación entre el responsable y el encargado del tratamiento.
Emitir las autorizaciones previstas en la normativa vigente en materia de protección de datos, y en concreto autorizar las transferencias internacionales de datos.
Velar porque los responsables y encargados de las actividades de tratamiento cumplan con las obligaciones establecidas en la normativa vigente en materia de protección de datos, recibir las notificaciones de las eventuales quiebras de seguridad que se produzcan y que puedan afectar a datos personales, y requerir en su caso medidas de corrección al efecto, en especial en el ámbito de las comunicaciones electrónicas.
Ordenar, en caso de ilegalidad, el cese en el tratamiento y la cancelación de los datos.
Ejercer la potestad sancionadora.
Informar los proyectos de normas de desarrollo o que incidan en materia de protección de datos.
Promover campañas de difusión a través de los medios.
Representación de España en los foros internacionales en la materia, y cooperación con diversos organismos internacionales y con los órganos de la UE en materia de protección de datos.
Control y observancia de lo dispuesto en la Ley reguladora de la función estadística pública.
Elaboración de una memoria anual, que es presentada por el director de la Agencia ante las Cortes.
Por último, manteniendo el esquema que se venía recogiendo en sus antecedentes normativos (Directiva 95/46/CE), la actual Ley Orgánica también refleja la existencia de las autoridades autonómicas de protección de datos y la necesaria cooperación entre las autoridades de control. En concreto las siguientes Comunidades Autónomas crearon Agencias propias:
Madrid (Creada en 2001 y suprimida en 2012).
Cataluña (Creada en 2003).
País Vasco (Creada en 2004).
