25
Sat, Nov

Eurodatos: seguros y protegidos

Typography

Los avances tecnológicos han puesto de manifiesto la necesidad de un marco más sólido y coherente para la protección de datos en la UE. La autora explica cómo será el escenario cuando se aplique la nueva regulación europea en materia de protección de datos y su impacto en el ámbito de las ‘smart cities’. Durante un período de dos años, los Estados miembros deberán adaptar su normativa a las disposiciones del RGPD.

Ha sido necesario revisar el marco jurídico creado por la Directiva y aprobarlo mediante reglamento europeo, obligatorio y de efecto directo para todos los Estados miembros

El pasado 25 de mayo entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril d 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se derogaba la Directiva 95/46/CE (‘RGPD’, publicado en el DOUE, L 119/87, de 4 de mayo). A diferencia de las directivas que exigen la adopción de normas de trasposición, se trata, por la propia naturaleza jurídica de las normas reglamentarias europeas, de una norma obligatoria en todos sus elementos y directamente aplicable en cada Estado miembro. No obstante, por su propia disposición, el RGPD sólo comenzará a ser aplicable a partir del 25 de mayo de 2018.

 

El RGPD sólo comenzará a ser aplicable a partir del 25 de mayo de 2018

 

Durante este período de dos años, los Estados miembros deberán adaptar su normativa a las disposiciones del RGPD. Entretanto, siguen plenamente aplicables tanto la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (‘Directiva’) como las normas nacionales adoptadas por los Estados miembros en trasposición de la misma. Así, en el caso español, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y su reglamento de desarrollo.

El RGPD parte, como no puede ser de otra forma, del reconocimiento de que la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental, tal y como resulta del artículo 8.1 de la Carta de los Derechos Fundamentales de la Unión Europea (UE) y el artículo 16, apartado 1, del Tratado de Funcionamiento de la UE, que establecen que toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan. 

La Exposición de Motivos del RGPD desarrolla de forma detallada las razones por las que ha sido necesario revisar el marco jurídico creado por la Directiva y aprobarlo mediante reglamento europeo, obligatorio y de efecto directo para todos los Estados miembros. Así, aunque se reconoce que los objetivos y principios de la Directiva siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la UE se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las actividades en línea. Ello, unido a la rápida evolución tecnológica y la globalización, ha planteado nuevos retos para la protección de los datos personales. 

Como afirma el RGPD, la magnitud de la recogida y del intercambio de datos personales ha aumentado de manera significativa. La tecnología permite que tanto las empresas privadas como las autoridades públicas utilicen datos personales en una escala sin precedentes a la hora de realizar sus actividades. Las personas físicas difunden un volumen cada vez mayor de información personal a escala mundial. La tecnología ha transformado tanto la economía como la vida social, facilitando la libre circulación de datos personales dentro de la UE y la transferencia a terceros países y organizaciones internacionales. Estos avances han puesto de manifiesto la necesidad de un marco más sólido y coherente para la protección de datos en la UE, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. 

Si bien, como decíamos, el RGPD no será aplicable hasta dentro de dos años, durante este período, tanto los Estados miembros de la UE como el sector privado deben adoptar las medidas pertinentes para adaptarse a las disposiciones del nuevo marco jurídico europeo. En particular, las organizaciones responsables o encargadas del tratamiento de datos deben hacerlo para no exponerse a la comisión de una infracción cuando el RGPD devenga aplicable (teniendo cuenta las importantes sanciones que tipifica esta norma). Ello significa que cualquier actuación que pretenda realizarse en el marco de políticas relacionadas con el desarrollo de smart cities deberá tener en cuenta lo dispuesto por el RGPD. Y lo deberá tener en cuenta tanto la Administración, en el diseño de políticas y en la toma de decisiones públicas, como los distintos agentes de la cadena de valor que ofrezcan servicios, soluciones y aplicaciones a la Administración.

Cualquier actuación en el marco de políticas relacionadas con el desarrollo de ‘smart cities’ deberá tener en cuenta el RGPD

 

El caso español 

La Agencia Española de Protección de Datos (AEPD) ha identificado cuáles son los aspectos más relevantes del RGPD. Destacan, por lo que aquí atañe, los siguientes:

 

1. El Reglamento introduce nuevas herramientas de protección para los ciudadanos relativas al control de sus propios datos personales, como el ‘derecho al olvido’ y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.  

El ‘derecho al olvido’ (definido por la AEPD como “la manifestación de los tradicionales derechos de cancelación y oposición aplicados a los buscadores de internet”), debe reconocerse en todos aquellos supuestos en los que la retención de datos infringe el presente RGPD o el Derecho de la UE o de los Estados miembros aplicable al responsable del tratamiento. En particular, los interesados deben tener derecho a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen. No obstante, la retención ulterior de los datos personales se considera lícita cuando sea necesaria para el ejercicio de la libertad de expresión e información, para el cumplimiento de una obligación legal, para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, o para la formulación, el ejercicio o la defensa de reclamaciones, en los términos del RGPD.

A fin de reforzar el ‘derecho al olvido’ en el entorno online, el derecho de supresión se amplía de tal forma que el responsable del tratamiento que haya hecho públicos datos personales está obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Y ello, en consonancia con la doctrina del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, en el asunto C-131/12, Google Spain, S.L. y Google Inc. Vs. Agencia Española del Medicamento y MCG (http://goo.gl/5nnKFs).  

En cuanto al ‘derecho a la portabilidad’, éste consiste en que el interesado tiene derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.

 

Cualquier actuación en el marco de políticas relacionadas con el desarrollo de ‘smart cities’ deberá tener en cuenta el RGPD

 

2. Reconocimiento del principio de responsabilidad proactiva por parte de las organizaciones que tratan datos.  

Ello significa que tales organizaciones deben adoptar medidas que aseguren el cumplimiento de los principios, derechos y garantías que el RGPD establece. La nueva regulación parte del criterio de que una reacción ex post (la tipificación de una infracción y la consiguiente sanción), no siempre constituye la mejor estrategia de salvaguarda de los intereses protegidos por la normativa, por cuanto que la conducta realizada puede causar daños a los interesados de muy difícil o imposible reparación, y por cuanto que no siempre un régimen sancionador es disuasorio en materia de ‘ciberseguridad’. Por tanto, deben adoptarse medidas ex ante encaminadas a garantizar la protección de las personas físicas en relación con el tratamiento de datos personales en tanto que derecho fundamental. Por ello, el Reglamento prevé un conjunto de actuaciones y obligaciones que deberán implementarse y cumplirse por parte de las organizaciones que traten datos con la finalidad de proteger a las personas físicas. Por ejemplo, la protección de datos desde el diseño, la protección de datos por defecto, medidas de seguridad, mantenimiento de un registro de tratamientos, realización de evaluaciones de impacto sobre la protección de datos, nombramiento de un delegado de protección de datos, notificación de violaciones de la seguridad de los datos, promoción de códigos de conducta y esquemas de certificación.

 

3. Se intensifica la protección del ciudadano mediante una regulación más detallada del consentimiento, base fundamental para el tratamiento de los datos. 

El RGPD establece que el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

 

Se prevé que cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular, en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección, o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno

 

4. La regulación de la ‘seudonimización’, entendida como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable. Este mecanismo, junto con la ‘anonimización’, han de fomentar el crecimiento de los servicios big data a nivel europeo, pues se considera que el nuevo marco jurídico genera una sólida confianza en punto a la protección de los derechos de los ciudadanos respecto de los datos obtenidos a través de mecanismos como los citados, para su uso en la prestación de tales servicios.

 

 

Ciberseguridad, ciberataque 

Los anteriores son tan sólo breves apuntes, sin ánimo de exhaustividad, sobre las novedades que introduce el RGPD, que no podrán ser obviados por ningún proyecto que se adopte en el ámbito de las llamadas smart cities. De todas ellas, me aventuro a destacar la relevancia del principio de responsabilidad proactiva en materia de protección de datos, por su inescindible relación con la ‘ciberseguridad’. Como es tristemente conocido,  cada vez son más frecuentes los ‘ciberataques’ contra organizaciones presentes en el mundo online. Las Administraciones Públicas no son ajenas a estos ataques. 

La ciberseguridad y su impacto -entre otros ámbitos- en la protección de los datos personales de los ciudadanos debe constituir una de sus principales preocupaciones públicas. A nivel de las Administraciones locales, las más cercanas a los ciudadanos, esta preocupación tiene que ser prioritaria a la hora de decidir qué tipo de proyectos smart serán desarrollados en las distintas ciudades o ámbitos supramunicipales, evitando poner en jaque los datos personales de los ciudadanos para usos fraudulentos. En materia de ciberseguridad, el sector también opta por mecanismos de responsabilidad activa, implementado medidas preventivas contra los ciberataques. Estos mecanismos preventivos tienen su reflejo, en materia de protección de datos, en el reiterado principio de responsabilidad proactiva. Hoy, el éxito de las políticas smartcities depende del nivel de protección de los datos de carácter personal que las ciudades garanticen a sus ciudadanos en su implementación (por ejemplo, extremando la exigencia de responsabilidad activa impuesta por el RGDP a las organizaciones que traten datos de los ciudadanos en la prestación de servicios smart a las ciudades) frente a eventuales, cada vez más frecuentes, ciberataques. Las redes y sistemas, propios y de terceros, que permiten a las Administraciones locales prestar servicios smart a los ciudadanos no son invulnerables y éstas y sus proveedores deben tomar conciencia de ello.

Carme Briera Dalmau