Protecciondedatos

Nuevo Reglamento Europeo para la Protección de Datos Personales

Ponemos en su conocimiento que a partir del día 25 de mayo de 2018 comenzó a regir el Reglamento UE 2016/679, emitido con fecha 27 de abril de 2016 (conocido como “GDPR” y en adelante, el “Reglamento”), el cual tiene por finalidad regular la libre circulación de datos personales. Este Reglamento deroga la normativa anterior, es decir, la Directiva Nro. 95/46/CE (en adelante, la “Vieja Directiva”).

El Reglamento busca unificar la normativa que existe hasta la fecha de protección de datos, beneficiando no solo a los titulares de datos, sino también a las empresas que los recolectan; agilizando y mejorando los procesos de recepción y almacenamiento. En particular lo que busca es ampliar la libre circulación de los datos, entre los países de la Unión, en principio. 

El objeto del Reglamento está contemplado en su artículo 1, el cual dispone lo siguiente: “1. El presente Reglamento establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos. […] protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales. 3. La libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales.”

En su artículo 4 el Reglamento da una serie de definiciones por demás relevantes a los efectos de entender las distintas aristas que engloban los datos personales.

En nuestro país, la Ley Nro. 18.331 de Protección de Datos Personales se basa en la Vieja Directiva, y por tal razón la normativa nacional se ha adaptado o está tendiendo a adaptarse – en cierto sentido – a este nuevo Reglamento.

Tal como señaló oportunamente la Unidad Reguladora y de Control de Datos Personales (en adelante, la “URCDP”) “[…] Dentro de las reformas que presenta el nuevo reglamento hay dos aspectos que tienen un impacto directo en Uruguay: a) la adecuación para la transferencia internacional de datos personales; y b) la nueva delimitación del ámbito de aplicación territorial, así como su dimensión extraterritorial. […]”.

A continuación, detallamos algunos de los principales aspectos del Reglamento.

I. Ámbito de aplicación.

El Reglamento dispone que se aplicará al tratamiento total o parcial – automatizado – de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero (artículo 2).

En lo que respecta al ámbito territorial, de acuerdo a lo dispuesto en el artículo 3 del Reglamento, éste se aplica “[…] al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no […] al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión […] al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público” (el subrayado nos pertenece).

Es decir que no es necesario ser miembro de la Unión Europea para tomar como referencia los principios y disposiciones establecidos en el presente Reglamento, por tal motivo, la URCDP está utilizando sus lineamientos para ajustar la normativa nacional al mismo.

II. Principios rectores del Tratamiento de Datos Personales.

Quien sea el responsable de la base de datos será el responsable de hacer aplicar los principios rectores del Reglamento. 

Estos principios se encuentran descriptos en el artículo 5 del Reglamento y suponen que sean: “a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»); c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»); d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud») […]”, entre otros.

III. Licitud del Tratamiento de Datos Personales.

Señala el Reglamento que el tratamiento de datos será lícito, si y solo si, el interesado dio su consentimiento para el tratamiento de sus datos personales; o cuando éste sea necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación a petición de este de medidas precontractuales; o cuando sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; o cuando sea necesario para proteger intereses vitales del interesado o de otra persona física; o cuando sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; o cuando sea necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

IV. Consentimiento.

Dice el artículo 7 del Reglamento que cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales. Este mismo artículo dispone que el interesado tendrá derecho a retirar su consentimiento en cualquier momento; la retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. 

En el caso de menores de edad, y por ello se entiende, menor de dieciséis (16) años, el tratamiento únicamente se considerará lícito si el mismo lo autorizó el titular de la patria potestad o tutela sobre el niño, y solo para aquella finalidad que expresamente se autorizó.

Dice el Reglamento que los Estados miembros podrán disminuir la minoría de edad, dependiendo de sus propias normativas, siempre que la misma no se reduzca a los trece (13) años de edad.

V. Tratamiento de Datos Personales calificados como “especiales”.

Dispone el artículo 9 del Reglamento que quedará prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.

El mismo artículo dispone que existirán excepciones, entre las que se encuentran: “[…] proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento; […] en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados; […] datos personales que el interesado ha hecho manifiestamente públicos […]”.

VI. Derechos del interesado.

El capitulo III del Reglamento precisa lo que son los derechos del interesado. Sin perjuicio que no ahondaremos en el mismo, se entiende que estos son los siguientes: (a) transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado; (b) información y acceso a los datos personales; (c) rectificación y supresión; (d) limitación del tratamiento; (e) derecho de oposición y decisiones individuales automatizadas. 

Dentro de estos derechos se encuentra, el denominado Derecho al Olvido

De acuerdo al inciso primero del artículo 17 del Reglamento, el interesado tendrá derecho a obtener sin dilación la supresión de los datos personales que le conciernan, cuando concurra alguna de las circunstancias siguientes: a) los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo; b) el interesado retire el consentimiento en que se basa el tratamiento; c) el interesado se oponga al tratamiento, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento; d) los datos personales hayan sido tratados ilícitamente; e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento; y f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información.

Quedamos a disposición para evacuar cualquier consulta sobre estas u otras disposiciones contenidas en el Reglamento.

Fernández Secco & Asociados