TOP

COMENTARIOS AL BORRADOR DEL REGLAMENTO DE PROTECCION DE DATOS DE LA UE

Javier Sempere

Como muchos sabrán, se ha filtrado este documento cuya aprobación está prevista en este año que acaba de empezar y que sustituirá a la actual Directiva 95/46.

Para realizar este trabajo he optado por comentar algunos artículos –el texto del borrador de Reglamento es bastante extenso- pero no sólo de manera expositiva, sino que he tratado de relacionarlo, en algunos supuestos, con la normativa vigente, realizando también reflexiones sobre algunas cuestiones.
Asimismo, encontrarán algunos pies de páginas referidos a documentos de los cuales recomiendo su lectura.
Para facilitar la lectura y su comprensión, he seguido una estructura de comentar “artículo por artículo”.
Como he comentado al principio, se trata de un borrador y por tal carácter su contenido hay que tomarlo con mucha cautela, aunque sirve para darnos una idea de cuál va a ser la reforma definitiva, o al menos, el espíritu de la misma, que no es otro que reforzar y proteger el derecho fundamental a la protección de datos personales.
Artículo 2. “Ámbito de aplicación”.
Trata de solucionar el llamado problema de “ley aplicable” en sus diferentes vertientes (“cloud computing”, tratamiento de datos por empresas que no tengan sede en la Unión Europea…) utilizando para ello la base del Dictamen 8 /2010[1] sobre Derecho Aplicable elaborado por el Grupo de Trabajo de la Unión Europea del Artículo 29 de la Directiva.
De esta forma, se define el ámbito de la siguiente manera:
1. Cuando el tratamiento se realice en el marco de las actividades llevadas a cabo por el responsable o encargado cuyo establecimiento se encuentre en la Unión Europea.
2. Cuando el tratamiento de datos afecte a los ciudadanos de la Unión aunque el responsable no tenga establecimiento en la misma, siempre que el citado tratamiento esté dirigido a obtener/tratar los datos de los afectados o se utilicen para controlar su comportamiento. Esta referencia, hay que conectarla con el artículo 22 del borrador, que se refiere a la designación de un representante cuando el responsable no tenga sede en el territorio de la Unión.
Sobre esta cuestión, el Dictamen 8/2010 se refiere en el sentido de que se utilicen medios en los Estados de la Unión para la recogida de datos aunque el responsable esté fuera de la misma, poniendo como ejemplo el uso de vehículos para la recogida de información sobre punto de acceso wifi o la propia computación en nube usando la instalación de cookies o javascripts.
No obstante, dicho dictamen abre la puerta a que este criterio de los medios se complemente con “un factor de conexión más específico, que tuviera en cuenta la oportuna orientación hacia las personas”. Por lo tanto, este apartado sobre el ámbito de aplicación supondría la aplicación de la normativa de protección de datos, cuando la empresa esté fuera de la Unión Europea, en base al criterio de “orientación hacia las personas”.
1. Cuando el tratamiento de los datos personales se realice por medios total o parcialmente informatizados o que no sean automatizados pero vayan a formar parte de un archivo. De este apartado puede deducirse dos interpretaciones: por una parte, estamos ante el supuesto “clásico” del fichero (ver también la definición de archivo en la parte del borrador sobre las definiciones –artículo 3-); por otra, podemos entender que aparece el criterio de los medios al que me he referido en el apartado anterior.
2. Cuando el tratamiento de datos personales se realice por un responsable que no esté establecido en la Unión Europea pero se aplique la ley de un Estado miembro de la Unión en base al Derecho Internacional Público. El Dictamen 8/2010 nos aclara esta cuestión cuando dice que “Así puede ocurrir cuando el Derecho internacional público o acuerdos internacionales determinan el Derecho aplicable a una embajada o consulado, o el aplicable a un buque o una aeronave. En estos casos, cuando el responsable del tratamiento está establecido en uno de estos lugares específicos, el Derecho nacional de protección de datos aplicable se determinará por el Derecho internacional”.
Sobre los cuatro supuestos, resaltar que en todo momento se habla de tratamiento coincidiendo con la doctrina actual, que ha evolucionado de la “existencia del fichero” para aplicar la LOPD al mero “tratamiento”. Esta cuestión, a su vez, ha derivado en lo que se conoce como “LOPD para todo”, es decir, que en la medida en que se estén tratando datos de carácter personal se puede aplicar la LOPD, independientemente de la existencia de un fichero[2].
En cuanto a los supuestos de no aplicación, destacar la actividad doméstica queda fuera de la protección de datos de carácter personal excepto que se haya procedido a la publicitación de los datos personales de manera que los mismos sean accesibles para una pluralidad de personas. En este supuesto, se introduce el criterio establecido en la conocida sentencia Lindqvist[3].
Asimismo, aunque la excepción se refiere a la actividad doméstica habría que valorar si los supuestos de no aplicación de la LOPD recogidos por su Reglamento de desarrollo, tal y como se ha interpretado hasta la fecha, dicha exclusión alcanza también la posibilidad de publicar esos datos en Internet[4].
Artículo 3. “Definiciones”.
Aparecen nuevas definiciones que no sólo no se encuentran en la actual Directiva 95/46 sino tampoco en la LOPD o en su Reglamento de desarrollo. Así, podemos citar como ejemplo, los referentes a “brechas de seguridad”, las conocidas “BCR’s” o el “establecimiento principal” (este último ligado al nuevo ámbito de aplicación). Asimismo, se introduce dentro de la definición de dato de carácter personal la “ip” o los datos de localización[5].
Me gustaría detenerme en tres definiciones, dos de las cuales aparecen como nuevas –si bien ya estaban plasmadas en algunos documentos del Grupo del Artículo 29[6]-, y que son los “datos genéticos”, “datos biométricos”, y los “datos de salud”.
Respecto a los dos primeros, el artículo 30 del borrador exige que cuando el tratamiento vaya a afectar a este tipo de datos, se realice un “Informe de Impacto de Privacidad” (Privacy Impact Asessement), por lo que se opta por una mayor protección de este tipo de datos.
En este sentido, y respecto a los datos biométricos habrá que valorar si al gozar de una mayor protección debido no sólo con la introducción en el apartado de definiciones sino también como consecuencia de tener que realizar los citados “Informes de Impacto de Privacidad”, la normativa española tendría que modificarse en el sentido de especificar que las medidas de seguridad de estos datos sean al menos de carácter medio.
Así, podemos citar que en la actualidad, el uso de la huella para el control fichaje se considera un dato identificativo y por tanto las medidas de seguridad serán las de carácter básico. Sobre el uso de la huella dactilar, en los países del centro de Europa, existe una mayor conciencia respecto al dato de la huella dactilar debido, sobre todo, por ser países que han sufrido las investigaciones indiscriminadas que realizaba la antigua policía de la extinta RDA (la Stasi), por lo que en los citados países se considera como un dato especialmente protegido.
Más discusión puede plantear el uso de otros tipos de datos biométricos, como el iris que podría revelar datos de salud (por ejemplo, alguna enfermedad).
En el caso de los datos genéticos, con el RD de desarrollo de la LOPD ya se les otorga una especial protección, ya que de conformidad con el artículo 5.1.g) se les considera como datos de carácter personal relacionados con la salud.
En cuanto a los “datos de salud” amplía ostensiblemente el contenido de la definición de los mismos hasta el punto de considerar como dato de salud la información contenida en los pagos que se realicen por una prestación sanitaria (pongamos por ejemplo, que un recibo de pagar la visita al médico de cabecera sin que en dicho pago apareciese ningún tipo de enfermedad, ya que en cambio, si fuese un especialista, aunque no se sepa si esa persona tiene o no la enfermedad que es tratado por el mismo, revela más información que en el primer supuesto), y el número que pueda identificar a una persona en relación con la prestación sanitaria, en otras palabras, el número de la tarjeta de la seguridad social.
Pues bien, al igual que en el supuesto de los datos biómetricos (también habrá que realizar el “Informe de Impacto de Privacidad”), veremos cómo afecta esta nueva definición a las excepciones que ha recogido el Reglamento de desarrollo de la LOPD en relación con los citados datos (por ejemplo, el artículo 81.5.b) sobre el tratamiento incidental o accesorio de los datos especialmente protegidos), ya que el reforzamiento o ampliación de su contenido puede llevarnos a que no se apliquen las mencionadas excepciones.

Autor: Fco. Javier Sempere Samaniego Asesor de Apoyo Técnico-Jurídico. Agencia Protección de Datos de la Comunidad de Madrid.

Imágenes