Guías para interpretar el Reglamente General de Protección de Datos

Written on 30 Jan 2017

El Grupo de Trabajo del Artículo 29, creado por dicho artículo de la Directiva 95/46/CE, ha emitido una serie de directrices/guía de ayuda a la interpretación y a la aplicación de las novedades que ha traído a nivel europeo el Reglamento General de Protección de Datos, en relación con tres importantes aspectos del mismo: el derecho a la portabilidad; el delegado de protección de datos; y la determinación de la autoridad de control principal para un responsable o encargado del tratamiento.

El 16 de diciembre de 2016 el Grupo de Trabajo del Artículo 29 hacía públicas tres guías, con sus correspondientes anexos, con los que el mismo pretende servir cierta ayuda a los afectados por la entrada en vigor del Reglamento General de Protección de Datos a nivel europeo a la hora de interpretar el mismo. De esta manera, se establecen las primeras directrices en esta materia una vez que el mencionado reglamento fue aprobado en la primera mitad de 2016. Las mismas se antojan necesarias, habida cuenta de la complejidad que se ha predicado del proceso legislativo que ha llevado al texto final del Reglamento y de que dicho Grupo de Trabajo es el organismo a través del cual las autoridades nacionales emiten su opinión a nivel continental.

Las guías se pronuncian sobre una serie de aspectos que se cuentan entre los más relevantes en un primer estadio de preparación para la llegada definitiva del Reglamento, que será aplicable a partir del 25 de mayo de 2018. Así, las empresas y demás entidades íntimamente afectadas por la publicación del Reglamento deberán estar atentas a estas guías que pueden adelantar un poco el enfoque que pretenden dar al texto del mismo las autoridades nacionales.

Delegado de protección de datos

El Reglamento General de Protección de Datos regula por primera vez la figura del delegado de protección de datos, que no tenía un reflejo en la normativa de protección de datos a nivel nacional. El principal mensaje que transmite el Grupo de Trabajo es el de que las entidades afectadas nombren un delegado de protección de datos de manera voluntaria, incluso en los casos en que no resulte obligatorio. El nombramiento de un delegado de protección de datos será obligatorio para cualquier autoridad y organismo público, para aquellas entidades cuyas actividades principales impliquen una “observación habitual y sistemática de interesados a gran escala”, y para aquellas cuyas actividades principales impliquen el tratamiento a gran escala de categorías especiales de datos personales.

El Grupo de Trabajo trata aspectos como el concepto de “a gran escala”, “actividades principales” y “observación habitual y sistemática de interesados”, describiendo los factores que se han de tenerse en cuenta y dando ejemplos. Otros conceptos como el empleo de un delegado para varias entidades también son tratados.

Determinación de la autoridad de control principal

A modo de preámbulo, el Grupo de Trabajo analiza conceptos como “tratamiento transfronterizo” o conceptos no definidos por el Reglamento como “substancialmente afectado”, incluidos en la definición del anterior, y analiza la componente de probabilidad, el efecto sustancial sobre los interesados debe ser, al menos, probable. Así mismo, le Grupo de Trabajo ofrece una serie de factores que se deberán tener en cuenta a la hora de valorar si un interesado es “sustancialmente afectado” por un tratamiento o no.

Por otro lado, el Grupo de Trabajo pasa a analizar la determinación de la autoridad de control principal en el caso de los responsables del tratamiento. Se analiza el amplio abanico de posibilidades: una autoridad para varios tratamientos transfronterizos por parte del establecimiento principal, tratamientos transfronterizos autónomos realizados por establecimientos no principales, etc. El Grupo pone especial énfasis en proyectar la figura de la autoridad de control principal sobre tratamientos particulares, de tal suerte que un mismo responsable deberá lidiar con un número variable de autoridades.

Se analiza un caso en particular: el del grupo de empresas que no tiene su centro de decisiones en la UE. En estos casos habrá que designar el establecimiento principalmente encargado de implementar las decisiones dentro de la UE, para permitir que el grupo se beneficie del principio one-stop-shop, evitando que se produzca el denominado forum shopping.

Derecho a la portabilidad

Por último, el Grupo de Trabajo del Artículo 29 interpreta el modo y los casos en que los interesados podrán ejercer el derecho a la portabilidad de los datos. El derecho a la portabilidad de los datos precisa de la concurrencia cumulativa de tres condiciones: (i) tratamiento automático y basado en el consentimiento o ejecución de un contrato; (ii) datos que se refieran al interesado y que hayan sido facilitados por este; y (iii) que el ejercicio del derecho no afecte a los derechos de terceros.

Este derecho no afectará a las obligaciones de conservación de los datos y se aplicará sobre aquellos datos aportados por los interesados o derivados de la mera observancia del comportamiento de los mismos, pero no de los generados a partir de ellos por el responsable del tratamiento. Así mismo, se permitirá a los responsables negarse o cobrar ciertas cantidades en el caso de solicitudes infundadas, excesivas o repetitivas por el mismo usuario. No se podrá tener en cuenta el volumen total de solicitudes o los costes totales soportados por el responsable.

Así, se configura un derecho de nueva creación por parte del legislador europeo, respecto del cual se pueden hacer algunas consideraciones:

  • Se puede anticipar dificultades en la interpretación de los límites entre datos aportados (o inferidos de los aportados) y datos generados por el responsable.
  • En determinados casos, los datos cubiertos por el derecho serán difícilmente separables de datos de terceros, lo cual puede suponer de primeras un obstáculo interpretativo.
  • La limitación del derecho a datos obtenidos por el previo consentimiento o la existencia de un contrato que ejecutar, deja huérfanos otros fundamentos legales para el tratamiento que establece el Reglamento.
  • Se pueden anticipar dificultades en la compaginación de este derecho con otros. El Grupo de Trabajo aclara que un interesado podrá seguir utilizando un servicio ofrecido por un responsable después de ejercer su derecho a la portabilidad de los datos.
  • Los datos personales generados por actividades de segmentación del responsable, podrían no entrar dentro del derecho a la portabilidad de los datos.
  • Para tratar los datos de terceros que resulten inseparables de los datos del ejerciente del derecho, el receptor de los datos tendrá que recabar su consentimiento.
  • Se debe tener en cuenta el impacto sobre otros derechos de terceros que el ejercicio de este derecho puede tener (e.g. derechos de imagen).