Siguiendo el procedimiento legislativo correspondiente, se está a la espera de que el Parlamento Europeo emita su informe respecto a la Propuesta de Reglamento sobre protección de datos en la UE que presentó la Comisión Europea en 2012. La comisión responsable es la de Libertades Civiles, Justicia y Asuntos de Interior, que va a estudiar el informe presentado por el ponente el alemán Jan Philipp Albretch, del grupo de los verdes

 El Parlamento Europeo considera que el consentimiento del interesado debe seguir siendo la piedra angular de la protección de datos en la UE.

Como se explica en el último Boletín “Europa al Día” del Departamento Internacional de la OMC, los datos sanitarios son extremadamente sensibles y sólo podrán utilizarse sin el consentimiento del interesado si sirven intereses públicos de excepcional importancia y, en tal caso, deberán anonimizarse o seudonimizarse tomando todas las medidas necesarias para prevenir la reidentificación de los interesados.

En el Boletín Europa al día nº 375, informamos de la Propuesta de Reglamento sobre protección de datos en la UE que presentó la Comisión Europea en 2012.

Siguiendo el procedimiento legislativo, es ahora el PE el que tiene que emitir su informe y la comisión responsable es la de Libertades Civiles, Justicia y Asuntos de Interior, siendo ponente el alemán Jan Philipp Albretch, del grupo de los verdes.

El objetivo es sustituir la Directiva 95/46 por un Reglamento directamente aplicable, ya que esto reducirá la fragmentación del enfoque de la protección de datos entre los Estados miembros y consolidará el derecho a la protección de datos personales, garantizando al mismo tiempo un marco legal unificado y reduciendo las cargas administrativas de los responsables del tratamiento.

No obstante, el Reglamento deja un margen a los Estados miembros para mantener o adoptar normas específicas en relación con cuestiones tales como la libertad de expresión, el secreto profesional, la salud y el empleo (artículos 81-85).

Tomando como base el artículo 16 (1) del Tratado UE y que nos encontramos ante un Derecho Fundamental recogido en el artículo 8 (2) de la Carta de Derechos Fundamentales de la UE, el ponente refuerza en su informe los siguientes ámbitos:

-La protección de datos por diseño y por defecto se acoge como la innovación fundamental que introduce la reforma. Esta innovación garantizará que solo se traten realmente los datos necesarios para un fin específico. (artículos 5 y 23). La limitación de la finalidad es un elemento fundamental de la protección de datos, ya que protege a los interesados de una extensión imprevisible del tratamiento de los datos.

-El alcance territorial de la protección de datos: El Reglamento también debería aplicarse a un responsable del tratamiento no establecido en la Unión en caso de que las actividades de tratamiento se refieran a la oferta de bienes o servicios a interesados dentro de la Unión. (artículo 3, apartado 2).

-La anonimización y seudonimización de los servicios: los datos sanitarios son extraordinariamente sensibles y solo podrán utilizarse sin el consentimiento del interesado, si sirven intereses públicos de excepcional importancia, y, en tal caso, deberán anonimizarse o seudonimizarse utilizando las normas técnicas más seguras, y se tomarán todas las medidas necesarias para prevenir la reidentificación de los interesados. Dicho tratamiento requerirá la autorización previa de la autoridad de control competente, de conformidad con el artículo 34, apartado 1. (artículo 81, s bis (nuevo). Esta es la línea que sigue también la Recomendación del Consejo de Europa R(97)5 sobre la protección de los datos médicos, en su apartado 9.

-El consentimiento como piedra angular del enfoque de la UE en materia de protección de datos, ya que esta es la mejor manera de que las personas controlen las actividades de tratamiento de datos. La información de los interesados debe presentarse de una forma comprensible, por ejemplo mediante logos o iconos (artículo 11, apartado 2, letras a) y b)).

El artículo 4.8 define el «consentimiento del interesado»: como toda manifestación de voluntad, libre, específica, informada y explícita, mediante la que el interesado acepta, ya sea mediante una declaración ya sea mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernen para uno o varios fines específicos (3).

El artículo 7.4 bis nuevo: El consentimiento expirará tan pronto como el tratamiento de los datos personales deje de ser necesario para alcanzar el fin para el que fueron recogidos.
-El ponente apoya el refuerzo del derecho de acceso con el derecho de portabilidad de los datos, es decir, la posibilidad de trasladar los datos propios de una plataforma a otra. En la era digital los ciudadanos, también en su papel de consumidores, pueden aspirar legítimamente a poder recibir su información personal en un formato electrónico de uso extendido (artículo 15, apartado 2, letra a).

-El derecho de supresión y el derecho de rectificación siguen siendo importantes para los interesados, ya que cada vez se difunde más información que puede tener repercusiones importantes. El «derecho al olvido»

debe contemplarse en este sentido; las enmiendas propuestas aclaran estos derechos para el entorno digital, manteniendo al mismo tiempo la excepción general para la libertad de expresión. En el caso de datos transferidos a terceros o publicados sin un fundamento jurídico adecuado, el responsable del tratamiento original debe tener la obligación de informar a dichos terceros y de asegurar la supresión de los datos. Sin embargo, si la persona ha aceptado que se publiquen sus datos, el «derecho al olvido» no es ni legítimo ni realista (artículo 17 y considerando 54).

-El derecho a oponerse a un tratamiento de datos ulterior debe ser siempre gratuito y ofrecerse explícitamente al interesado utilizando un lenguaje claro, sencillo y adaptado (artículo 19, apartado 2).

-El refuerzo de la dimensión global adquiere una importancia aún mayor con el desarrollo de la computación en nube. Por ello se propone un nuevo artículo 43 bis para abordar el problema planteado por las solicitudes de acceso de autoridades públicas o tribunales de terceros países a los datos personales almacenados y tratados en la UE. La transferencia solo debería garantizarla la autoridad de protección de datos previa verificación de su conformidad con el Reglamento, en particular, con su artículo 44, apartado 1), letras d) o e).

-Principio de minimización del tratamiento de datos personales: Los datos sanitarios son extraordinariamente sensibles y merecen la máxima protección. El principio de minimización del tratamiento de datos personales también se aplica en caso de que esté regulado por la legislación del Estado miembro.

-Artículo 81 – apartado 1 bis (nuevo): 1 bis. Cuando los fines mencionados en las letras a) a c) del apartado 1 puedan alcanzarse sin recurrir a los datos de carácter personal, estos últimos no se utilizarán para esos fines.

-Artículo 81.2: 2. El tratamiento de datos personales relativos a la salud que sea necesario para los fines de la investigación histórica, estadística o científica solo se autorizará con el consentimiento del interesado y estará supeditado al cumplimiento de las condiciones y garantías contempladas en el artículo 83.

-Los códigos de conducta y las certificaciones y sellos necesitan normas más claras sobre los principios que deben incluir y sobre las consecuencias relativas a la legitimidad del tratamiento de datos, la responsabilidad y los asuntos conexos. Los códigos de conducta que la Comisión declare conformes con el Reglamento conferirán derechos exigibles a los interesados. Los sellos de certificación deben establecer el procedimiento formal para la emisión y retirada del sello y deben garantizar la conformidad con los principios de protección de datos y los derechos de los interesados (artículos 38 y 39).

-Elaboración de perfiles: Se propone introducir un nuevo artículo 4. 3 ter sobre la «elaboración de perfiles», definidos como toda forma de tratamiento automatizado de datos personales destinado a evaluar determinados aspectos personales propios de una persona física o a analizar o predecir en particular su rendimiento profesional, sus circunstancias económicas, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento. Para garantizar un consentimiento informado de las actividades de elaboración de perfiles, estas deben estar definidas y reguladas. Artículos 14, apartado 1, letras g), g bis) y g ter), 15, apartado 1, y 20.

Entre las figuras que crea la propuesta de Reglamento, podemos destacar:

-El Consejo Europeo de Protección de Datos que sustituirá al actual “Grupo de trabajo del artículo 29”. Una autoridad de protección de datos, APD, será competente para controlar las operaciones de tratamiento realizadas en su territorio o que afecten a interesados residentes en su territorio. El Reglamento garantizará un marco de trabajo unificado para todas las APD. Es esencial que las APD sean totalmente independientes y cuenten con recursos suficientes para la realización eficaz de sus tareas (artículo 47). La APD del Estado miembro en que esté situado el establecimiento principal será la autoridad principal, que actuará como punto de contacto único para el responsable o el encargado del tratamiento (ventanilla única).

-El ponente propone ampliar el período de notificación de una violación de los datos personales a la autoridad de control de 24 a 72 horas. Además, para evitar el «cansancio de notificaciones» a los interesados, únicamente deberán notificarse al interesado los casos en los que sea probable que una violación afecte negativamente a la protección de los datos personales o la intimidad del interesado, por ejemplo en caso de usurpación de identidad o fraude, pérdidas económicas, daños físicos, humillación grave o daño a la reputación. La notificación también debe incluir una descripción de la naturaleza de la violación de datos personales e información sobre los derechos, incluidas las posibilidades existentes en materia de recurso (artículos 31 y 32).

-Delegado de protección de datos: En la era de la computación en nube, el límite a partir del cual hay que designar a un delegado de protección de datos no debe basarse en la dimensión de la empresa, sino más bien en la importancia del tratamiento de los datos (categoría de los datos personales, tipo de actividad de tratamiento y número de personas cuyos datos deben tratarse) (artículo 35). Se aclara que la función de delegado de protección de datos puede ejercerse a tiempo parcial, dependiendo de la dimensión de la empresa y del volumen del tratamiento de datos (considerando 75).

NOTAS:

(1)-El artículo 16 del TFUE, establece lo siguiente:

1.Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2. El Parlamento Europeo y el Consejo establecerán, con arreglo al procedimiento legislativo ordinario, las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal por las instituciones, órganos y organismos de la Unión, así como por los Estados miembros en el ejercicio de las actividades comprendidas en el ámbito de aplicación del Derecho de la Unión, y sobre la libre circulación de estos datos. El respeto de dichas normas estará sometido al control de autoridades independientes.

(2)-El artículo 8 de la Carta de Derechos Fundamentales de la UE establece que:

1.Toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan.

2. Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. Toda persona tiene derecho a acceder a los datos recogidos que le conciernan y a obtener su rectificación.

3. El respeto de estas normas estará sujeto al control de una autoridad independiente.

(3)-El texto que figura en negrita es el que incluye el Parlamento Europeo en sus enmiendas.