Resumen: El Reglamento (UE) 2016/679 representa un cambio significativo en relación a cómo debe entenderse la protección de los datos de naturaleza personal en la Unión Europea. En él se traslada el centro de gravedad desde los ficheros de datos hacia los tratamientos, dotando de mayor cobertura a los derechos y libertades de los ciudadanos ante los nuevos retos que surgen fruto del progreso tecnológico.
Autor del artículo Colaboración
José Luis Colom Planas Equipo jurídico de GOVERTIS
Actualizado
24 de septiembre
de 2016
Índice
1. Introducción 2. Cambio estratégico en el RGPDUE
3. Los conceptos de tratamiento y de fichero
4. Pese a todo, los ficheros seguirán existiendo
5. ¿Dónde aplicar los principios de protección de datos?
6. Registro de las actividades de tratamiento
7. Epílogo
8. Bibliografía consultada
9. Control de cambios del artículo
10. Derechos de autor
1. Introducción
Es cierto que el RGPDUE introduce un elenco de novedades, tratadas exhaustivamente por diferentes compañeros. [2] Incluso han sido analizadas a partir del borrador, años antes de su aprobación definitiva, con elevado nivel de acierto. [5]
No obstante, a mi entender, de todas ellas hay dos que son las más relevantes, especialmente la segunda:
- La primera novedad es la Evaluación de Impacto en la Protección de Datos (EIPD), también conocida en lengua anglosajona como Privacy Impact Assessment (PIA), que ha sido tratada con exhaustividad en este mismo blog y por otros autores. [4] Viene a sustituir la actual clasificación cualitativa basada en niveles de los datos personales -básico, medio y alto-, y las consecuentes medidas de seguridad asociadas (Vid. Art. 7 LOPD y Art. 81 RLOPD), sustituyéndola en el RGPDUE por una evaluación de riesgo respecto a los derechos y libertades que representan los tratamientos aplicados sobre esos datos. Dichos valores de riesgo se obtendrán mediante la realización de una EIPD.Pese a todo, se continúan identificando en el artículo 9 RGPDUE las categorías especiales de datos, prohibiéndose su tratamiento salvo que concurra alguna circunstancia de las que en el mismo artículo se determinan. La EIPD es un instrumento fundamental en la Privacidad desde el Diseño (PbD) y por defecto, según se señala en el artículo 25 RGPDUE. [3]
- La segunda novedad es estratégica y emana del propio Reglamento en su conjunto. Para mí es la principal, ya que marca un cambio significativo respecto a la legislación anterior (todavía vigente en el momento de redactar este artículo al encontrarse el RGPDUE en período de “vacatio legis” hasta mayo de 2018, fecha en que será de aplicación directa a todos los estados miembros de la unión). La comentaré seguidamente.
2. Cambio estratégico en el RGPDUE
De alguna manera con el RGPDUE se desplaza el centro de gravedad de la norma jurídica, desde proteger ficheros, cómo estábamos acostumbrados mediante la LOPD y RLOPD, hacia asegurar tratamientos.
- Se pasa de un concepto de protección estática a protección dinámica que ya se vislumbra si comparamos el título de la LOPD “Ley Orgánica 15/1999, de 13 de diciembre, de Protección de DATOS de Carácter Personal” con el del nuevo RGPD “Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al TRATAMIENTO de datos personales y a la libre circulación de estos datos”.
- No se requiere publicitar los ficheros en el Registro General de Protección de Datos (RGPD) de la Autoridad de Control, en España la AEPD, lo que corrobora esa traslación desde los datos personales, pese a ser el bien jurídico a proteger, hacia los tratamientos sobre esos datos, que son los que entrañan riesgo. Recordaré que en última instancia el mero hecho de poseer datos personales (almacenarlos), ya se considera una forma de tratamiento.
NOTA DEL EDITOR: No confundir las siglas RGPD correspondientes al Registro General de Protección de Datos de la AEPD, con las siglas RGPDUE correspondientes al Reglamento General de Protección de Datos de la Unión Europea. Por desgracia coinciden en parte pero, por suerte, el primero quedará en desuso con la aplicación efectiva del segundo, evitándose confusiones a partir de entonces.
Como ya he señalado, este planteamiento lo corrobora el hecho de que ya no sea necesario publicitar los ficheros en el correspondiente registro general de la Autoridad de Control competente, debiendo en cambio mantener, el responsable o el encargado del tratamiento, registros de las actividades de tratamiento bajo su responsabilidad. Sobre estos registros volveré más adelante en este mismo artículo.
3. Los conceptos de tratamiento y de fichero
Si consultamos las diferentes normas jurídicas relacionadas con la privacidad en los distintos ordenamientos jurídicos sobre la definición de tratamiento, veremos conceptos similares, aunque con sutiles diferencias.
Según el artículo 4.2) RGPDUE: “«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;”.
Si la comparamos en España con la LOPD y RLOPD respectivamente:
- Según el artículo 3.c) LOPD: “Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”
- Según el artículo 5.t) RLOPD: “Tratamiento de datos: cualquier operación o procedimiento técnico, sea o no automatizado, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, modificación, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.”.
Vemos que en las Normas españolas, se insistía en operaciones técnicas, cuando en el RGPDUE es cualquier operación o conjunto de operaciones, dando así la máxima amplitud de significado al que deviene en eje central del Reglamento europeo.
Mientras que la definición de fichero es, según el artículo 4.6) RGPDUE: “«fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica”.
Aquí yo hubiera abogado por definirlo como “todo conjunto de datos personales” sin distinción en estructurados o desestructurados, ya que las principales bases de datos empleadas como repositorios de Big Data son desestructuradas o “No SQL”. La experiencia demuestra que concretar mucho no siempre es la mejor solución en base al principio de universalidad.
Existe otra forma de ver el mayor nivel de empoderamiento de los tratamientos, frente a un fichero:
- El fichero tiene per se una única finalidad asociada, que es agrupar un conjunto de datos para facilitar su acceso y localización, llevando siempre asociado de forma inherente un tratamiento, que es el de almacenamiento y conservación de su contenido.
- El tratamiento incorpora múltiples posibilidades: comunicación y transferencia de datos, obtención de resultados, reelaboración de los datos de partida posibilitando crear otros de nuevos, etc.
Una curiosidad al respecto es que no puede existir fichero sin tratamiento (aunque sea el mero almacenamiento), pero sí tratamiento sin fichero, como podría ser el visionado de imágenes de videovigilancia sin grabación, por un vigilante de seguridad.
4. Pese a todo, los ficheros seguirán existiendo
Es una obviedad, como ya he dicho, que el dato personal es el bien jurídico a proteger, y el que da sentido a los tratamientos. Sin datos personales no pueden existir los tratamientos sobre ellos.
Luego el contenido esencial del derecho fundamental a la protección de datos está basado en un conjunto de normas (principios y reglas) de obligado cumplimiento para el que trata la información personal y que van dirigidas a proteger el dato personal considerado en sí mismo, a la vez que se limitan los tratamientos a que pueda ser sometido. Para ello se definen un conjunto de medidas preventivas de defensa, tanto jurídicas como organizativas y técnicas, que protejan a la información personal desde el mismo momento que se recaba, y a los tratamientos que se le aplicarán, durante todo su ciclo de vida.
En base a esta idea, no se puede prescindir ni del uno, ni del otro, dentro de cualquier marco jurídico de protección de datos. Y técnicamente tampoco, ya que, con independencia de declararlos en la Autoridad de Control, o no, los ficheros físicos siguen existiendo como requerimiento técnico para soportar los datos.
Para mí, lo que introduce el RGPDUE es más bien una variación en el enfoque más que una discusión ontológica. No se trata de buscar la esencia del fichero o del tratamiento, ya que ambos siempre han existido y existirán. Nada cambia respecto a ellos. Únicamente el fichero cede protagonismo frente a los tratamientos debido al abanico de posibilidades que deben ser tenidas en cuenta en las evaluaciones, pero no implica que el primero deba ser ninguneado.
5. ¿Dónde aplicar los principios de protección de datos?
Una primera aproximación de partida podría ser la siguiente, pese a no existir un absoluto consenso en su elaboración:
(*) Nota: (ARC)=Acceso, Rectificación y Cancelación; (OS)= Oposición y Supresión (Olvido).
Principio de protección de datos (sin pretender ser una relación exhaustiva) Elemento al que aplica principalmente
Consentimiento informado Tratamientos Ficheros
Limitación en el recabado de datos Tratamientos Ficheros
Calidad de los datos
Ficheros
Especificación del propósito
Tratamientos
Limitación de la finalidad
Tratamientos
Transparencia Tratamientos Ficheros
(*) Ejercicio de derechos (ARC) (OS) (OS) Tratamientos (ARC) Ficheros
Rendición de cuentas
Tratamientos
Velar por las Transferencias Internacionales de
Datos (TID)
Tratamientos
También podría verse desde la perspectiva de Ficheros si no fuera una cesión “intencionada”. En caso contrario, esa actividad o acción de ceder constituiría un Tratamiento.
Velar por las cesiones de datos
Tratamientos
También podría verse desde la perspectiva de Ficheros si no fuera una cesión “intencionada”. En caso contrario, esa actividad o acción de ceder constituiría un Tratamiento.
Principio de seguridad Tratamientos Ficheros
Vemos que a pesar de predominar el color verde en la aplicación de principios de la protección de datos sobre tratamientos, el color naranja, que he asignado arbitrariamente a los ficheros, en absoluto desaparece.
6. Registro de las actividades de tratamiento
El artículo 24.3 RGPDUE dispone “Los registros a que se refieren los apartados 1 y 2 se establecerán por escrito, inclusive en formato electrónico. El responsable y el encargado del tratamiento harán que los registros estén disponibles para la autoridad de control a solicitud de esta”.
Afortunadamente las exigentes excepciones de aplicación que se determinaban en el texto del borrador del RGPDUE, parecidas a las que se exigen para la obligatoriedad de disponer de un DPO, desaparecieron en el texto definitivo. Yo mismo he sido un acérrimo defensor de suprimirlas por carecer de coherencia jurídica con la ratio legis del Reglamento europeo. Recordaré lo que señalaba el superado borrador en su momento: “Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10”.
No es menos cierto que, según mi opinión personal, en el borrador se producía una flagrante contradicción jurídica, ya que:
- Por una parte, se señalaba la necesidad de documentar siempre las actividades de tratamiento para poder demostrar, en calidad de responsable o encargado, el debido control sobre las mismas y dar así cumplimiento al principio de “accountability” (traducido en la versión española por “responsabilidad proactiva”) introducido por el artículo 5.2 RGPDUE.
- Y por otra parte, se restringía la obligatoriedad de registrar las actividades de tratamiento a empresas de 250 o más trabajadores, algo que excluye, por ejemplo, a más del 90% de las empresas españolas.
7. Epílogo
Para mí el artículo 24 RGPDUE, sobre los registros de las actividades de tratamiento (RAT), debería ser la dovela central del Reglamento General Europeo de Protección de Datos. Es el hilo conductor del principio de “accountability” en relación a las actividades de tratamiento sobre los datos de naturaleza personal.
Ya hemos visto que los tratamientos se vuelven nucleares en el RGPDUE, junto al propio dato personal en sí mismo. Incluso el considerando (82) señala “Para demostrar la conformidad con el presente Reglamento, el responsable o el encargado del tratamiento debe mantener registros de las actividades de tratamiento bajo su responsabilidad. Todos los responsables y encargados están obligados a cooperar con la autoridad de control y a poner a su disposición, previa solicitud, dichos registros, de modo que puedan servir para supervisar las operaciones de tratamiento”.
Yendo un poco más allá, las EIPD deben hacerse, según dispone el artículo 35.1 RGPD, “Cuando sea probable que un tipo de TRATAMIENTO, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas”. No se hace una EIPD sobre un fichero de datos, sino sobre un tratamiento de datos personales.
Por todo lo desarrollado aquí, vemos que el RGPDUE dota a la protección de los derechos y libertades de los ciudadanos de la Unión Europea de mayor grado de coherencia y homogeneidad en sus disposiciones por el hecho de poner, con mayor intensidad, el foco en los tratamientos.
8. Bibliografía consultada
- [2] Eduard Chaveli Donet. “Algunas novedades del recientemente aprobado Reglamento General de Protección de Datos de la Unión Europea”. Tribuna de la publicación COMUNICAV del Ilustre Colegio de Abogados de Valencia. Pág. 28 y 29. Agosto 2016. Novedades RGPDUE
- [3] José Luis Colom. “Recopilación de entradas sobre Privacidad desde el Diseño (PbD)”. Blog Aspectos Profesionales. Junio de 2015. Privacidad desde el Diseño (PbD)
- [4] Eduard Chaveli Donet. “Cómo realizar una Evaluación de Impacto en Protección de Datos (EIPD) en el marco del Reglamento General de Protección de Datos de la Unión Europea (RGPDUE)”, parte 1 (6 de septiembre 2016), parte 2 (13 de septiembre 2016) y parte 3 (20 de septiembre 2016). Blog de GOVERTIS. Cómo realizar una EIPD, Parte 1
Cómo realizar una EIPD, Parte 2
Cómo realizar una EIPD, Parte 3
- [5] Emilio Aced Félez. “La nueva Propuesta de Reglamento General de Protección de Datos de la Unión Europea”. Blog Aspectos Profesionales. Enero de 2013. Comentarios al borrador del RGPDUE
9. Control de cambios del artículo
Siguiendo voluntariamente las disposiciones de la cláusula 7.5.3 del “Anexo SL” en las normas ISO, se incorpora el control de cambios a los artículos de este Blog permitiendo conocer la trazabilidad de los mismos una vez han sido publicados por primera vez. Todo ello en concordancia con el último párrafo de la cláusula general de exclusión de responsabilidad del Blog.
Fecha Cambio Responsable
24/09/2016 Redacción inicial del artículo Autor
10. Derechos de autor
Imágenes bajo licencia 123RF internacional. La licencia únicamente es válida para su publicación en este blog.
Tablas creadas por el autor.
Sobre el autor:
A nivel de especialización jurídica, ha realizado el postgrado de Especialista Universitario en Protección de Datos y Privacidad en la Facultad de Derecho de la Universidad de Murcia, disponiendo de la certificaciónCDPP (Certified Data Privacy Professional) del ISMS Fórum Spain. También ha cursado el programa superior de Compliance Officer (Controller jurídico) en la Escuela Legal WKE y se ha especializado respecto a los delitos de blanqueo de capitales en la UOC, en colaboración con el Ilustre Colegio de Abogados de Barcelona (ICAB). Es experto externo en prevención de blanqueo de capitales, certificado por INBLAC y registrado en el Servicio Ejecutivo de la Comisión de Blanqueo de Capitales (SEPBLAC).
A nivel de especialización técnica y de gestión, ha cursado Ingeniería técnica de Telecomunicaciones en “la Salle BCN” estando adscrito a la AEGITT (Asociación Española de Graduados e Ingenieros Técnicos de Telecomunicación). Es Auditor e Implantador de SGSI (Gestión de la Seguridad de la Información) por AENOR (Asociación Española de Certificación y Normalización). Leader Auditor & Implanter ISO 27001 e ISO 22301 by BSI (British Standards Institution). Auditor del esquema de certificación STAR para prestadores de servicios de Cloud Computing (BSI + Cloud Security Alliance). Ha obtenido la certificación internacional CISA (Certified Information Systems Auditor) by ISACA (Information Systems Audit and Control Association). Dispone de las certificaciones ISO 20000 PMI (Process Management Improvement) e ITIL Service Management by EXIN (Examination Institute for Information Science).
Desempeña su labor profesional en GOVERTIS Advisory Services cómo Compliance, Management & IT Advisor, incidiendo en Compliance Penal, PBCyFT, asesoramiento respecto a cumplimiento normativo, privacidad y gestión de la seguridad de la información. Ha participado como lead implementer y lead auditor de diferentes sistemas de gestión basados en Normas ISO, individuales o integrados, y en la optimización de sus procesos. Ha realizado diferentes niveles de auditorías de cumplimiento legal ya sea para organizaciones sujetas a Derecho público o privado.
También colabora con BSI como auditor jefe de certificación e impartiendo formación para la obtención de la certificación de lead auditor, en diferentes marcos normativos. A partir de su dilatada experiencia, edita el Blog temático “Aspectos Profesionales”.
Convencido del valor que aportan las organizaciones profesionales, es asociado sénior de la APEP (Asociación Profesional Española de Privacidad), miembro de ISACA (Information Systems Audit and Control Association), miembro de ISMS Forum Spain (Asociación Española para el Fomento de la Seguridad de la Información), miembro de itSMF (IT Service Management Forum), ATI (Asociación de Técnicos de Informática), ENATIC (Asociación de expertos nacionales de la abogacía TIC), CUMPLEN (Asociación de Profesionales de Cumplimiento Normativo) y asociado de INBLAC (Instituto de expertos en prevención del Blanqueo de Capitales), habiendo sido ponente o colaborado en casi todas las referidas organizaciones. También lo es de la iniciativa del Observatorio Iberoamericano de Protección de Datos (OIPRODAT) habiendo obtenido, junto a algunos colaboradores del mismo, un premio compartido otorgado por la AEPD.