Aspectos legales a nivel español y europeo de la Protección de Datos de Carácter Personal

En el artículo del anterior 4 de mayo vimos la diferencia entre el tratamiento de datos de carácter personal en territorio europeo y en territorio estadounidense. Así como una referencia a la normativa existente para el tratamiento de los datos entre ambos territorios. Por ello, el objeto del presente artículo versa sobre la normativa nacional (España) y europea.

En primer lugar, debemos de destacar la importancia de la Ley 34/2002, de 11 de junio, de servicios de la sociedad de la información y de comercio electrónico (en adelante “LSSI”). Esta Ley surgió como consecuencia de la trasposición de la Directiva 2000/31/CE, de Comercio Electrónico, en la que se recogían por primera vez las bases para regular a nivel europeo Internet.

La propia exposición de motivos de la LSSI, establece que la “sociedad de la información” no sólo supone un “vehículo de transmisión e intercambio de todo tipo de información”, también supone “el incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de empleo.

La Directiva europea resalta la importancia de aclarar vacíos legales ante los que nos encontramos, a través de un marco jurídico que genere confianza. Partiendo de dichos elementos, la LSSI intenta recoger los aspectos que tienen que ver con el ejercicio de la vía electrónica, de ahí su importancia superlativa.

En segundo lugar, debo mencionar la importancia de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de carácter personal (en adelante, LOPD), ley que el próximo 25 de mayo de 2018 coexistirá con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante “Reglamento”). Deberemos prestar atención a las posibles contradicciones, puesto que el Reglamento europeo prima sobre la LOPD y por tanto lo regulado por esta última no será de aplicación. A pesar de ello, la AEPD está elaborando un borrador de Ley Orgánica para adaptar la LOPD al nuevo Reglamento, en el que tal y como indica Rafael García Gonzalo, jefe del área internacional de la AEPD, “el criterio que se ha seguido es el de elaborar una nueva Ley Orgánica de Protección de Datos que sea la norma transversal que facilite el cumplimiento del Reglamento.”

En un primer aspecto, El Reglamento amplía el ámbito de aplicación subjetivo respecto a la anterior regulación prevista por la Directiva. En consecuencia, entidades responsables del tratamiento de datos no establecidas en la Unión Europea que ofrecen bienes o servicios a ciudadanos residentes, o que intervienen en la actuación de éstos en dicho territorio, se ven en la obligación de cumplir con lo establecido en el Reglamento.

Asimismo, el Reglamento exige el consentimiento expreso, bien obtenido por escrito, bien con una declaración verbal, debiendo ser el responsable del tratamiento de datos capaz de demostrar que el interesado ha prestado su consentimiento expreso. Con el nuevo reglamento se precisa consentimiento expreso para cada tipo de finalidad que el encargado y el responsable de los datos cedidos vayan a realizar. Ante esto, cabe traer a colación la reciente resolución del Tribunal Superior de Justicia de la Unión Europea (De fecha 15 de marzo de 2017 asunto C-536/15, Tele 2 (Netherlands) BV, Ziggo BV y Vodafone Libertel BV versus Autoriteit Consument en Markt (ACM)).

Dicha resolución, declaró procedente la cesión de datos de las prestadoras de servicio de telecomunicaciones a servicios de información de Estados Miembro distintos, sin necesidad de consentimiento previo del usuario;  que el consentimiento en primera instancia del usuario con su prestadora nacional, supone asimismo consentimiento expreso para el tratamiento de sus datos a nivel internacional. Por lo tanto, nos encontramos ante un supuesto que es incompatible con la nueva regulación, que puede dar qué hablar en un futuro no muy lejano.

Tribunal Superior de Justicia de la Unión Europea

Tribunal Superior de Justicia de la Unión Europea

Por otro lado, se impone el nombramiento de un Delegado de Protección de Datos (en adelante DPO), encargado de supervisar, informar y asesorar sobre el cumplimiento de la normativa aplicable. No se indica la formación y/o titulación específica que ha de tener, por lo que queda a libre elección de la entidad. Lo que sí que está claro, es que esta nueva figura va a ser de gran importancia e imprescindible para muchas entidades.

Igualmente, el Reglamento suprime la actual exigencia de la inscripción de sus ficheros; agilizando en gran medida el tratamiento y funcionamiento de los datos. La autorización previa para exportar datos a terceros países u organizaciones internacionales también queda suprimida siempre y cuando no suponga un perjuicio del nivel de protección.

No debemos olvidar la importancia de la creación de una nueva autoridad, el Consejo Europeo de Protección de Datos que tendrá la capacidad de adoptar decisiones jurídicamente vinculantes.

A mayor abundamiento, se recoge por primera vez la posibilidad de ejercer el derecho al olvido (que se ha venido aplicando en los últimos años y ha sido reconocido por la jurisprudencia europea); solicitando a las entidades que sus datos personales sean suprimidos (por ejemplo, cuando sean extemporáneos, innecesarios para la finalidad por la que fueron recogidos, se haya revocado el consentimiento, etc.).

En cuanto al régimen sancionador de los responsables del tratamiento, se establece que las entidades deberán notificar a la Autoridad de Protección de Datos correspondiente cualquier violación, cuando la misma suponga un riesgo para los derechos y libertades de los ciudadanos. En dicho caso, deberán comunicarla también al afectado. Las sanciones administrativas alcanzan cantidades muy relevantes, pudiendo ascender en el caso de infracciones muy graves hasta un importe de 20.000.000 euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior.

De todo lo anterior, podemos observar que la protección de los datos de carácter personal de los usuarios es mayor, y las entidades (sobre todo tecnológicas) que traten con datos de dicha naturaleza deberán prestar más atención e invertir en su negocio para tomar las medidas adecuadas exigidas por el Reglamento.

Por último, me gustaría dar una pincelada a la ciberdelincuencia. Esta actividad, está a la orden del día en enlaces e emails, que acaban siendo malware que se encargan de apropiarse de los datos de carácter personal e incluso encriptan los documentos contenidos en los dispositivos y piden un “rescate” por ellos. Estos actos ilícitos están revolucionando la tipología de los delitos recogidos en el Código Penal. Como bien dijo Javier López, Socio de Procesal y Arbitraje del despacho Écija en la ponencia sobre la prueba digital en el II Congreso de la Abogacía Madrileña el pasado 25 de mayo, las infracciones y delitos son los mismos, lo que ha cambiado es nuestra manera de realizarlos. Por ello, a medida que la tecnología avanza y la posibilidad de que seamos víctimas de estos ataques con ella, las medidas de protección que han de tomar las plataformas online han de ser meticulosas, ya que tal y como indicamos en la edición anterior, nuestros datos son el nuevo petróleo.

Natalia Antúnez

Natalia Antúnez

Natalia Antúnez Larrañaga

Abogada especializada en Derecho Digital y Nuevas Tecnologías: Derecho de Propiedad Intelectual, Industrial, Protección de Datos y actualmente de Derecho de Internet, investigando tecnologías exponenciales, robots y el derecho del futuro.

Déjanos tu comentario:

comentarios

2017-06-10T06:37:04+00:00

About the Author:

Este artículo fue escrito por uno de nuestros invitados especiales. Si quieres publicar en Resiliente Digital como invitado especial (guest blogging), contáctanos en info@resilientedigital.com