martes, 18 de febrero de 2020
El tiempo - Tutiempo.net

Gloria Mariela Centurión

Abogada, Profesora e Investigadora. Paraguay. mariela_centurion@uc.edu.py

El Reglamento Europeo de protección de datos (Parte I)

El Reglamento Europeo de protección de datos y su proyección hipotética en la administración pública paraguaya, con especial énfasis en los gobiernos locales.
I Introducción
 
La era digital o era de la información gira en torno a las nuevas tecnologías e Internet y genera profundos cambios de la sociedad. Transforma nuestros hábitos, el lenguaje y las costumbres, como una verdadera revolución que nos envuelve a pesar de que muchos de nosotros nacimos cuando todo era analógico. En junio de 1996 se habilitó en Paraguay la primera conexión full Internet y hoy es indudable que el funcionamiento de las entidades públicas reposa en la plataforma digital[1]. A la dinámica que imponen los medios electrónicos para la difusión de información aparecen nuevos retos para la protección de datos personales.
El concepto de datos personales – ausente en la legislación paraguaya – es amplio en las normativas que lo han incorporado y refiere a toda información sobre una persona física identificada o identificable[2].
Haremos un breve repaso del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de datos personales y a la libre circulación de estos datos (RGDP), que entró en vigencia el 25 de mayo de 2018, valorando sus principales innovaciones y pensando el futuro del manejo de los datos personales en la Administración pública paraguaya y los gobiernos locales[3]. Hay que destacar que en el Derecho Comunitario, el Reglamento es una norma directamente aplicable en el ordenamiento de los Estados miembros[4].
A través de la Comunicación al Parlamento Europeo y al Consejo, la Comisión Europea - el Gobierno de la UE - declara: “El conjunto único de normas directamente aplicables a los ordenamientos jurídicos de los Estados miembros, garantizará la libre circulación de los datos de carácter personal entre los Estados miembros de la UE y reforzará la confianza y la seguridad de los consumidores, dos elementos imprescindibles para un verdadero mercado único digital”[5].
La protección de los datos personales es “una reivindicación y reforzamiento del derecho humano a la privacidad y a la autodeterminación informativa”[6] que opera en equilibrio con otros derechos fundamentales[7], en el ámbito administrativo y judicial, con arreglo al principio de proporcionalidad.
Siendo un cambio de paradigma para el tratamiento de datos personales en la UE, el efecto globalizador es inminente y en ese orden, “es posible que un nuevo mundo - e internet es un nuevo mundo - requiera un nuevo derecho”[8].
II El Reglamento Europeo de protección de datos
En el Derecho Comunitario de la UE, el Reglamento es un instrumento jurídico que se equipararía a la ley en nuestro sistema normativo, pero con fuerza coercitiva en los 27 Estados miembros.
El Reglamento no se refiere a todos los datos, de tal forma no se aplica al tratamiento de datos respecto de una persona física en el curso de una actividad exclusivamente personal o doméstica, que no guarde conexión con una actividad profesional o comercial, que no sean identificables[9] o personas fallecidas[10].
No obstante, el Reglamento sí se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales vinculados con esas actividades personales y domésticas[11]. Por ejemplo, son actividades personales y domésticas la interacción en las redes sociales o los registros de direcciones de correos electrónicos.
Enfoque de proactividad y accountability. Refuerzo del deber de información y encargo de tratamiento[12].
La proactividad implica que las empresas que gestionan datos de usuarios, prevención y cumplimiento activo, harán campañas de concienciación, brindarán charlas y formación a los empleados para que sepan lo que pueden y no pueden hacer con esos datos. La proactividad es un gran compromiso para las entidades públicas y privadas. Por ejemplo, una pequeña despensa y una compañía de seguros no pueden tener el mismo programa de prevención.
El “responsable” del tratamiento de la protección de datos es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros determine los fines y medio de tratamiento[13]. La arquitectura del sistema institucional y de la gestión de protección de datos ubica a este responsable en una posición estratégica pues le corresponde, con el fin de garantizar el cumplimiento de los requisitos del Reglamento, la adopción de medidas técnicas y organizativas apropiadas[14], que se actualizarán y controlarán cuando sea preciso. Podrá demostrar la conformidad con el Reglamento por medio de la adhesión a códigos de conducta y un mecanismo de certificación, así como deberá acoger medidas que cumplan los principios de protección de datos desde el diseño y por defecto.
Junto a la figura del responsable, se encuentra otra, la del encargado de tratamiento[15]. El encargado de tratamiento actúa por cuenta del responsable, a quien se vincula a través de un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros[16].
El “tratamiento” según el RGPD es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción[17].
Son bases legales diferenciadas el consentimiento, la relación contractual, los intereses vitales del interesado o terceras personas, la obligación legal para el responsable, el interés público o el ejercicio de poderes públicos.
Reconocimiento de nuevos derechos a los interesados
La Directiva 95/46/CE reconocía los derechos denominados ARCO (acceso, rectificación, cancelación y oposición), no obstante, el Reglamento añade el derecho de portabilidad, derecho al olvido y limitación de tratamiento.
Introduce el derecho a la portabilidad de datos[18], una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado debe ofrecerse en un formato estructurado, de uso común y lectura mecánica.
Este derecho sólo puede ejercerse cuando el tratamiento se efectúe por medios automatizados; cuando se base en el consentimiento o en un contrato y cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos que se desprenden de la propia actividad del interesado.
El derecho al olvido[19] (que podría ser llamado derecho a la cancelación) se refiere al derecho de los interesados a que sus datos personales se supriman y dejen de tratarse si ya no son necesarios para los fines para los que fueron recogidos o tratados de otro modo, si los interesados han retirado su consentimiento para el tratamiento o se oponen al tratamiento de datos personales que les conciernen, o si el tratamiento de sus datos personales incumple de otro modo el Reglamento.
El Reglamento reconoce que los niños y niñas merecen una protección específica de datos personales y establece para ellos un derecho al olvido más claro. El consentimiento para el tratamiento de datos de niños y niñas lo debe presentar o autorizar el titular de la patria potestad o tutela.
Se afianzan los principios de protección de datos
Como parte de los principios de protección de datos se consagra la licitud del tratamiento; el consentimiento que da el interesado para el tratamiento de datos[20]; las condiciones que se establecen al consentimiento del niño/a; las categorías especiales de datos y las relativas a las condenas y las infracciones penales.
En adelante, el consentimiento debe ser “…como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta”[21].El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial[22].
Obtenido el consentimiento del interesado para la operación de tratamiento, el responsable debe ser capaz de demostrarlo. Además, el interesado tiene derecho a retirar su consentimiento en cualquier momento y será tan fácil retirar el consentimiento como darlo[23], lo cual refuerza el poder del titular.
A fin de demostrar la conformidad con el Reglamento, el responsable debe adoptar políticas y medidas que cumplan los principios de protección de datos desde el diseño y por defecto. Quiere decir que todo sistema de tratamiento de datos se adapta al RGPD desde las etapas iniciales de proyecto y que abarque todo su desarrollo.
Aumento de obligaciones.
Cada responsable y, en su caso, su representante llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad, que deberá contener información que establece el RGPD[24]. Las entidades deben describir con detalle qué datos recoge, con qué fin los trata, a quién los comunica, si los transfiere a terceros países, cómo preserva su seguridad y en qué momento podrá suprimirlos.
La Autoridad de control es la encargada de supervisar la aplicación del Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión, siendo cada Estado miembro el que establecerá que sea responsabilidad de una o varias autoridades públicas independientes[25].
El responsable y el encargado designan al Delegado de Protección de datos[26], una figura que crea el Reglamento, cuya designación será bajo criterios estrictos tales como cualidades profesionales, conocimientos en derecho y práctica en la protección de datos.
En virtud a la responsabilidad proactiva, antes del tratamiento, incumbe al responsable realizar una evaluación de impacto sobre la protección de datos a efectos de valorar el riesgo, teniendo en cuenta la naturaleza, ámbito, contexto y fines del tratamiento y los orígenes del riesgo[27].
El riesgo debe ponderarse sobre la base de una evaluación objetiva mediante la cual se determine si las operaciones de tratamiento de datos suponen un riesgo o si el riesgo es alto[28].
Si se da el quiebre o la violación de la seguridad (cyberataques) de los datos personales, “el responsable del tratamiento debe notificar a la Autoridad de control competente sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación”[29].
Cuando sea probable que la violación pueda comportar un alto riesgo para los derechos de los interesados, el responsable lo deberá comunicar a las personas afectadas sin dilaciones indebidas y en lenguaje claro y sencillo, excepto que el responsable hubiera adoptado medidas de protección adecuadas, haya aplicado medidas ulteriores que garanticen que ya no existe la probabilidad de que se concrete el alto riesgo o suponga un esfuerzo desproporcionado.
Algunas de las medidas que el RGPD establece, se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.
De la adecuada sensibilización de todos aquellos a quienes conciernen las nuevas normas depende el éxito del Reglamento y a ese efecto, la Comisión (el gobierno europeo) asigna recursos para ayudar a los tres públicos destinatarios principales: los ciudadanos, las empresas (concretamente las pymes) y otras organizaciones y las administraciones públicas[30]. 

[1] El primer plan de acción de Gobierno Abierto data de 2012 y desde ese mismo año nuestro país es miembro pleno de la Alianza internacional para el Gobierno Abierto (AGA). La Secretaría Técnica de Planificación del Desarrollo Económico y Social (STP) es el punto de contacto ante la Alianza internacional para el Gobierno Abierto y la Red Iberoamericana de Protección de Datos. 
[2] En términos en armonía se define “datos personales”, por ejemplo, en el art. 4 del Reglamento 2016/679 y en el art. 2 de Ley argentina N° 25.326 del año 2000.[3] La distinción de las Municipalidades obedece, en primer lugar, a que se constituyen en las entidades de poder de mayor proximidad al ciudadano (lo que se refuerza en el hecho de estar gobernadas por autoridades elegidas por voto popular) y en segundo lugar, porque las Municipalidades emergen como el centro de las redes de funcionamiento de las distintas entidades del gobierno central que prestan servicios públicos esenciales, con presencia en los territorios que ocupan.  
[4] El acto de transposición (también llamado «medida nacional de ejecución») consiste en que el legislador nacional debe adoptar en el Derecho interno la legislación nacional a tenor de los objetivos definidos en la Directiva establecida por el Consejo.
[5] Comunicación de la Comisión al Parlamento Europeo y al Consejo (COM 43). Orientaciones de la Comisión sobre la aplicación directa del Reglamento General de protección de datos a partir del 25 de mayo de 2018. Bruselas, 24.1.2018. Pág. 1. A través de la Comunicación al Parlamento Europeo y al Consejo, la Comisión - el Gobierno de la UE - declara: “El conjunto único de normas directamente aplicables a los ordenamientos jurídicos de los Estados miembros, garantizará la libre circulación de los datos de carácter personal entre los Estados miembros de la UE y reforzará la confianza y la seguridad de los consumidores, dos elementos imprescindibles para un verdadero mercado único digital”. El Reglamento reaviva el mercado único digital que, de acuerdo a noticias oficiales, “podría aportar hasta 415 000 millones de euros cada año a la economía de la UE, y además puede convertir a la UE en un líder digital a nivel mundial” (http://www.consilium.europa.eu/es/policies/digital-single-market/). Según algunas estimaciones, el valor de los datos personales de los ciudadanos europeos podría crecer hasta una cifra cercana al billón de euros al año, de aquí a 2020 (Preguntas y respuestas: Reglamento General de protección de datos. Comisión Europea: hoja informativa. IP/17/386. Bruselas, 24 de enero de 2018. Pág. 2). 
[6] López Calvo, José. Ob. citada. Pág. 3.
[7] El capítulo II de nuestra Carta Magna, De la Libertad, acoge garantías y principios que son la base de los derechos humanos a la libertad de expresión, la libertad de informarse, de hacer uso de la propia imagen, al goce de la intimidad personal y familiar, y sus derechos conexos. El habeas data es una garantía constitucional cuyo proyecto de ley reglamentaria se encuentra en estudio parlamentario, no obstante se aplica con el procedimiento del Recurso de Amparo del Código de Procedimientos Civiles.
[8] López Calvo, José. “Un Reglamento poliédrico que necesita un acercamiento poliédrico”, Pág. 7. La LEY 3726/2018. Diario La Ley, Nº 17, Sección Ciberderecho, 3 de Mayo de 2018, Editorial Wolters Kluwer, España.
[9] Considerando 26.
[10] Considerando 27.
[11] Considerando 18.
[12] El “tratamiento” según el RGPD es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción (art. 4, 2).
[13] Art. 4.7. RGPD.
[14] Art. 78. ídem.
[15] Art. 28. ídem.
[16] Considerando 81. Ídem.
[17] Art. 4, 2. Ídem.
[18] Art. 20. Ídem.
[19] Art. 15 a 19 y 21. Ídem.
[20] Art. 6. RGPD.
[21] Nuestros Tribunales han reconocido reiteradamente que la inexistencia de autorización es un condicionamiento para la divulgación de información del incumplimiento de obligaciones no reclamadas judicialmente, en casos judiciales que involucraron a INFORCONF.
[22] Considerando 50.
[23] Art. 7. RGPD.
[24] Art. 30. Ídem. Obligatorio para empresas de más de 250 trabajadores, tratamientos de datos que entrañen riesgo para derechos y libertades, tratamiento de categorías especiales de datos, tratamientos de datos relativos a condenas e infracciones penales.
[25]En ese contexto, la Autoridad de control principal es la que representa al Estado ante el Comité. Por ejemplo, en España existen actualmente la Autoridad Española de Protección de datos (AEPD), la Autoridad Vasca de Protección de datos (AVPD), la Autoridad Catalana de Protección de datos (ACPD) y en formación, la Autoridad Andaluza de Protección de datos. Por otro lado, el Supervisor Europeo de Protección de Datos (SEPD) tiene por cometido defender el cumplimiento de las estrictas normas de protección de la intimidad que regulan esas actividades, creado de conformidad con el artículo 286 del Tratado de la Comunidad Europea. A su vez, Supervisor Europeo de Protección de Datos y el director de una autoridad de control de cada Estado miembro o sus representantes respectivos, conforman el Comité Europeo de Protección de Datos.
[26] Art. 37. Ídem.
[27] Considerando 84, 90 y art. 24. Ídem.
[28] Considerando 75.
[29] Art. 34. Ídem.
[30] Comunicación de la Comisión al Parlamento Europeo y al Consejo. COM (2018) 43 final. Bruselas, 24.1.2018

 

Volver