Protección de datos

Fecha de elaboración de ficha: 19-12-2017

Fecha de revisión: 16-06-2021

Protección de datos en la Unión Europea

 Enlace: https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_es#financiacin

RESUMEN DEL ACTO

El artículo 8 de la Carta de Derechos Fundamentales de la UE (la Carta) establece que “toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan”. Asimismo, el citado precepto impone requisitos para el adecuado tratamiento de los datos, exige la facultad de acceso y rectificación de los mimos por parte de la persona a la que conciernen y regula el control de la protección por medio de una autoridad independiente.

La normativa europea en materia de protección de datos tiene como objetivo, por tanto, garantizar el derecho a dicha protección reconocido en la Carta, marcándose como fines:

  • Preparar a Europa para la era digital.
  • Asegurar el mismo derecho a la protección de datos en toda la UE, con independencia del lugar donde se realice su tratamiento.

En términos generales, son dos los instrumentos principales de la UE en esta materia:

I. RGPD

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

El RGPD refuerza y crea nuevos derechos de las personas físicas en la materia, y crea nuevas oportunidades para las personas físicas.

  1. Derechos de las personas físicas:
  • Acceso más sencillo a sus datos.
  • Nuevo derecho a la portabilidad de los datos que facilite la transmisión de datos personales entre proveedores de servicios.
  • Derecho más claro a la supresión («derecho al olvido») cuando no se desee que se sigan tratando sus datos.
  • Derecho a saber cuándo se han pirateado los datos personales: las empresas y organizaciones tendrán que informar rápidamente a las personas sobre cualquier infracción grave relativa a los datos personales.
  1. Reglas para las empresas:
  • Conjunto único de normas aplicables en toda la UE.
  • Designación, por parte de las autoridades públicas y las empresas que procesen datos a gran escala, de un delegado de protección de datos.
  • Mecanismo de ventanilla única: las autoridades deben tratar con una única autoridad supervisora (en el país de la UE donde tengan su sede principal).
  • Normas de la UE para las empresas de fuera de la UE: las empresas con sede fuera de la UE deben aplicar las mismas normas al ofrecer productos o servicios o realizar una supervisión del comportamiento de las personas dentro de la UE.
  • Técnicas respetuosas con la privacidad, como la seudonimización (cuando los campos identificativos de un registro de datos se sustituyen por uno o más identificativos artificiales) y el cifrado (cuando se codifican los datos de tal manera que solamente puedan leerlos las partes autorizadas).
  • Eliminación de las notificaciones: las nuevas normas sobre protección de datos eliminan la mayoría de las obligaciones de notificación y los costes asociados a estas.
  • Evaluaciones de impacto cuando el tratamiento de datos pueda ocasionar un mayor riesgo para los derechos y libertades de las personas.
  • Mantenimiento de registros: las pymes no están obligadas a mantener registros de sus actividades de tratamiento, salvo que dichas actividades sean regulares o probablemente puedan ocasionar un riesgo para los derechos y las libertades de la persona cuyos datos están siendo procesados.

II. Directiva sobre protección de datos en el ámbito penal

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo.

La Directiva tiene por objeto mejorar la protección de los datos de las personas cuando estos son tratados por las autoridades policiales y de justicia penal, así como mejorar la cooperación en la lucha contra el terrorismo y la delincuencia transfronteriza en la Unión Europea (UE) permitiendo a las autoridades policiales y de justicia penal de los países de la UE intercambiar la información necesaria para las investigaciones de una forma más eficaz y eficiente.

En concreto, la Directiva exige que los datos recogidos por las autoridades policiales sean:

  • Tratados de forma lícita y legal.
  • Recogidos con fines determinados, explícitos y legítimos y tratados en consonancia con dichos fines.
  • Adecuados, pertinentes y no excesivos en relación con el fin para el que son tratados.
  • Conservados de forma que permita identificar a la persona durante un período no superior al necesario para el fin del tratamiento.
  • Protegidos adecuadamente, incluida la protección frente al tratamiento no autorizado o ilícito.

Además, la norma fija el concepto de persona afectada por el tratamiento de datos, “interesados”, y exige a las autoridades policiales que establezcan una distinción clara entre los datos de distintas categorías de personas, como: personas respecto de las cuales existen motivos fundados para presumir que han cometido o van a cometer una infracción penal, las personas que han sido condenadas por una infracción penal, las víctimas de infracciones penales o las personas respecto de las cuales se considere razonablemente que podrían ser víctimas de infracciones penales, las personas que son partes involucradas en una infracción penal (incluidos los posibles testigos).

La Directiva también reconoce el derecho de las personas a tener acceso a cierta información a través de las autoridades policiales (nombre, datos de la autoridad competente sobre el tratamiento de datos, el derecho a presentar una reclamación ante la autoridad de control, el derecho de acceso y corrección o supresión). Asimismo, las autoridades nacionales deben adoptar medidas técnicas y organizativas con el fin de garantizar un nivel de seguridad para los datos personales que se adecue al riesgo, especialmente cuando el tratamiento de datos sea automatizado.

 

AUTORIDADES DE CONTROL

Los países de la UE han creado organismos nacionales responsables de proteger los datos personales tal como establece el artículo 8, apartado 3, de la Carta de los Derechos Fundamentales de la UE.

Igualmente, a nivel europeo se ha creado el Comité Europeo de Protección de Datos (CEPD), organismo independiente que garantiza la aplicación coherente de las normas de protección de datos en toda la Unión Europea. Este organismo fue creado en virtud del RGPD.

Las principales tareas del CEPD son proporcionar orientaciones generales sobre los conceptos clave del RGPD y de la Directiva sobre protección de datos en el ámbito penal, asesorar a la Comisión Europea sobre cuestiones relacionadas con la protección de los datos personales y la nueva legislación que se proponga en la Unión Europea y adoptar resoluciones vinculantes en caso de conflicto entre las autoridades nacionales de control.

PROTECCIÓN DE DATOS EN LAS INSTITUCIONES Y ORGANISMOS DE LA UE

El objetivo de garantizar la protección en el tratamiento de datos también afecta a las instituciones y organismos de la UE. En este sentido, existen una norma y una autoridad de control específicas para el tratamiento de datos por dichas entidades. Estas son:

  • El Reglamento (UE) 2018/1725, el cual establece las normas aplicables al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión. Sus disposiciones se ajustan al Reglamento General de Protección de Datos y a la Directiva sobre protección de datos en el ámbito penal. Comenzó a aplicarse el 11 de diciembre de 2018.
  • El Supervisor Europeo de Protección de Datos (SEPD), creado e n virtud del Reglamento (UE) 2018/1725. El SEPD es un organismo de la UE que se encarga de supervisar la aplicación de las normas sobre protección de datos en las instituciones europeas y de investigar las denuncias.

Finalmente, la Comisión Europea ha nombrado un delegado de protección de datos responsable de supervisar la aplicación de las normas sobre protección de datos en la Comisión Europea. El delegado de protección de datos garantiza de manera independiente la aplicación interna de las normas, en cooperación con el Supervisor Europeo de Protección de Datos.

 

Documentos de interés:

ETAPAS ANTERIORES

La Comisión Europea presentó su reforma de protección de datos de la UE en enero de 2012 para hacer que Europa se adapte a la era digital.

El 15 de diciembre de 2015, el Parlamento Europeo, el Consejo y la Comisión alcanzaron un acuerdo sobre las nuevas normas de protección de datos, estableciendo un marco de protección de datos moderno y armonizado en toda la UE. La Comisión de Libertades Civiles del Parlamento Europeo y el Comité de Representantes Permanentes (Coreper) del Consejo aprobaron los acuerdos con una gran mayoría. Los acuerdos también fueron acogidos con satisfacción por el Consejo Europeo de los días 17 y 18 de diciembre como un gran paso adelante en la implementación de la estrategia del mercado único digital .

El 8 de abril de 2016, el Consejo adoptó el reglamento y la directiva. El 14 de abril de 2016 fueron adoptados por el Parlamento Europeo. El 4 de mayo de 2016, los textos oficiales se publicaron en el Diario Oficial de la UE en todas las lenguas oficiales. El reglamento entró en vigor el 24 de mayo de 2016 y se aplicará a partir del 25 de mayo de 2018. La directiva entró en vigor el 5 de mayo de 2016 y los países de la UE deben transponerla a su legislación nacional antes del 6 de mayo de 2018.

ESTADO ACTUAL

Tanto el RGPD como la Directiva 2016/680 están en vigor y son de aplicación. En cuanto a la Directiva, todos los Estados miembros han adoptado ya normas de transposición, con la excepción de Dinamarca, donde la Directiva no es de aplicación.

 

FUTURO: Estrategia europea de datos

El 19 de febrero de 2020, la Comisión publicó su Comunicación sobre una Estrategia Europea de Datos, donde se establece la hoja de ruta de la UE sobre medidas políticas e inversiones que hagan posible la economía de datos de los próximos cinco años.

Las principales propuestas legislativas en este ámbito son:

1. La propuesta de Ley de Gobernanza de datos. La iniciativa pretende abordar los problemas en la limitación intercambio de datos en la UE. Esta circunstancia se debe a tres motivos principales: la escasa confianza en el intercambio de datos, -las dificultades para la reutilización de determinados datos del sector público y para la recopilación de datos con fines altruistas, los obstáculos técnicos a la reutilización de datos. El objetivo es aumentar la confianza en el intercambio de datos, reforzar los mecanismos que amplían la disponibilidad de datos y superar los obstáculos técnicos a su reutilización. Para ello, la propuesta establece normas sobre:

  • La reutilización de determinadas categorías de datos protegidos conservados por organismos del sector público (Capítulo II).
  • Requisitos aplicables a los servicios de intercambio de datos (Capítulo III).
  • La cesión altruista de datos (Capítulo IV).
  • Autoridades competentes y disposiciones procedimentales (Capítulo V).
  • La creación de un Comité Europeo de Innovación en materia de datos (Capítulo VI).

2. Iniciativa de una Ley de Datos (se espera que se presente la iniciativa en el tercer trimestre de 2021). En mayo de 2021, la Comisión publicó la evaluación inicial de impacto sobre la futura propuesta.  Esta iniciativa tendrá como objetivo mejorar el acceso a los datos y su posterior uso, de modo que más agentes públicos y privados puedan beneficiarse de técnicas como el Big Data y el aprendizaje automático. Asimismo, tratará de garantizar la equidad en la asignación del valor económico entre los actores de la economía de los datos. Esto es especialmente importante en el contexto de la transformación digital de todos los sectores y ecosistemas de la industria, para lo que se requiere claridad en las normas con respecto al acceso B2B y el intercambio de datos, tanto no personales como personales, garantizando en particular que los datos puedan ser compartidos de forma segura y no malversados, y en línea con la legislación aplicable de la UE.

ACTORES PRINCIPALES
  • Comisión: Margrethe Vestager, Vicepresidenta Ejecutiva; Thierry Breton, Comisario de Mercado Interior.
  • Comisión de Industria Investigación y Energía del Parlamento Europeo: Angelika Niebler, ponente sobre la Ley de Gobernanza de datos.

Comparte: