FS Abr 18

A partir del 25 de mayo será aplicable el nuevo Reglamento Europeo para la protección de datos personales

El Reglamento UE 2016/679, del 27 de abril de 2016 (conocido como “GDPR”), será aplicable a partir del 25 de mayo de 2018. Éste regula la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de ellos, derogando la normativa anterior, es decir, la Directiva 95/46/CE.

El Reglamento sienta sus fundamentos en la era tecnológica, donde las personas físicas difunden una gran cantidad de datos personales constantemente (un nombre, una foto, una dirección de correo electrónico, datos bancarios, registros médicos o la dirección IP de un ordenador).

La nueva regulación unifica y moderniza la normativa europea sobre protección de datos, permitiendo a los ciudadanos un mejor control de sus datos y a las empresas un mejor aprovechamiento de las oportunidades del mercado único (digital), reduciendo la burocracia y beneficiándose de una mayor confianza de los consumidores.

Actualmente existe en Uruguay una ley de protección de datos personales, que se basa en la Directiva 95/46/CE, hoy derogada expresamente por el Reglamento. Por lo que, es probable estimar, que la entrada en vigencia del Reglamento repercutirá directamente en nuestra normativa en el mediano plazo.

Tal como señaló oportunamente la Unidad Reguladora y de Control de Datos Personales “[…] Dentro de las reformas que presenta el nuevo reglamento hay dos aspectos que tienen un impacto directo en Uruguay: a) la adecuación para la transferencia internacional de datos personales; y b) la nueva delimitación del ámbito de aplicación territorial, así como su dimensión extraterritorial. […]”.

A continuación, detallamos algunos de los principales cambios impartidos por el Reglamento.

Triple Objetivo.
El Reglamento GDPR nace con un triple objetivo:

(a) Establecer las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación.

(b) Proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.

(c) Ampliar la libre circulación de los datos personales en la Unión, a los efectos que la misma no pueda ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas.

Ámbito Territorial.
El Reglamento se aplica “al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. […] al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.” (artículo 3 del Reglamento)

Es decir, el Reglamento, podrá ser aplicable al tratamiento de datos incluso fuera de la Unión Europea.

Principios Rectores.
Hay una serie de principios que se encuentran inmersos en el Reglamento, que difieren, en parte, con los establecidos previamente por la Directiva, dado que se entiende que con la nueva normativa se pone fin a los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), dando lugar a los principios de transparencia, información, acceso, rectificación, supresión (derecho al olvido), limitación del tratamiento, portabilidad de datos y oposición.

Los principios rectores, dispuestos en el artículo 5 del Reglamento, son los siguientes: (i) los datos personales deberán ser tratados de manera lícita, leal y transparente en relación con el interesado (licitud, lealtad y transparencia); (ii) los datos personales deberán ser recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; (iii) los datos personales deberán ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, así como exactos; (iv) los datos deberán ser actualizados, para ello se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan; (v) los datos personales deberán ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; y (vi) los datos personales deberán ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Por su parte, en el cuerpo del Reglamento se disponen otra serie de principios rectores. Por ejemplo, queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física, salvo excepciones dispuestas en el Reglamento (apartado 2, artículo 9).

Este tipo de prohibiciones se dirigen a prevenir la explotación de datos personales con el objetivo de incidir sobre la opinión pública, tal y como se ha planteado recientemente en el caso de Facebook y Cambridge Analytica.

El tratamiento de datos personales relativos a condenas e infracciones penales o medidas de seguridad sólo podrá llevarse a cabo bajo la supervisión de las autoridades públicas o cuando lo autorice el Derecho de la Unión o de los Estados miembros que establezca garantías adecuadas para los derechos y libertades de los interesados. Solo podrá llevarse un registro completo de condenas penales bajo el control de las autoridades públicas.

Derecho al Olvido.
El Reglamento contempla una regulación específica para el denominado “derecho al olvido” o “derecho de supresión”, que supone que cualquier titular de datos personales tendrá derecho a obtener, sin dilación indebida, la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias citada en el artículo 17 del Reglamento: (i) los datos personales que ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo; (ii) los datos personales para los que el interesado retire el consentimiento en que se basa el tratamiento de conformidad; (iii) los datos personales para los que el interesado se oponga a su tratamiento; (iv) los datos personales hayan sido tratados ilícitamente; (v) los datos personales que deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento; y (vi) los datos personales que se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.

No procederá el derecho al olvido, en los siguientes casos: (a) para ejercer el derecho a la libertad de expresión e información; (b) para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable; (c) por razones de interés público en el ámbito de la salud pública; (d) con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos; o (e) para la formulación, el ejercicio o la defensa de reclamaciones.

Este derecho ya ha sido reconocido en varias oportunidades, por la jurisprudencia del Tribunal de Justicia de la Unión Europea, pero no existía hasta el momento, una disposición expresa que lo regulara.

Notificación de Violación.
El Reglamento incorpora, asimismo, la obligación para quien se entiende como responsable del tratamiento de los datos, de notificar al titular de los mismos de una violación de la seguridad de sus datos personales, así como también a la autoridad de control.

En caso de violación de la seguridad de los datos personales, el responsable del tratamiento notificará a la autoridad de control competente, a más tardar setenta y dos (72) horas después que se haya tenido constancia de la misma, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si la notificación a la autoridad de control no tiene lugar en el plazo de setenta y dos (72) horas, deberá ir acompañada de indicación de los motivos de la dilación.

Transferencias Internacionales.
El Reglamento dispone que solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en la normativa, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional.

Podrá realizarse una transferencia de datos personales a un tercer país u organización internacional cuando la Comisión Europea haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional, garantizan un nivel de protección adecuado. Dicha transferencia no requerirá ninguna autorización específica.

A falta de decisión expresa de la Comisión, de acuerdo a lo antes dispuesto, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas. La normativa precisa las garantías que se pueden otorgar para tal efecto.

Consentimiento del Interesado.
Es imprescindible contar con el consentimiento de la persona física, mediante un acto afirmativo claro, que refleje una manifestación de voluntad libre, específica, informada e inequívoca de aceptar el tratamiento de datos de carácter personal que le conciernen, no permitiéndose el consentimiento tácito.

Este consentimiento se puede obtener si se dispone de una declaración por escrito (incluyendo medios electrónicos), marcando una casilla en un sitio web o con una declaración verbal.

El silencio, la existencia de casillas ya marcadas o la inacción no constituyen un consentimiento.

En todo caso, el responsable del tratamiento de datos debe ser capaz de demostrar que, en efecto, el interesado ha prestado su consentimiento.
Sanciones.

Se prevé la imposición de sanciones administrativas, que deberán imponer las autoridades nacionales de protección de datos, y cuyo importe puede llegar a alcanzar los 20.000.000 euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, en el caso de infracciones muy graves.

El Reglamento incluye un régimen sancionador completo, que detalla las agravantes y las atenuantes.

Esperamos que esta información sea de utilidad y quedamos a su disposición por cualquier aclaración o ampliación que consideren necesaria.

Paula Porteiro