Europa aprueba nuevas directrices sobre la aplicación del RGPD

El pasado mes de diciembre, las autoridades europeas aprobaron varias directrices y cuestiones relacionadas con la aplicación del Reglamento General de Protección de Datos (RGPD UE 2016/679). El denominado Grupo de Trabajo del artículo 29 adoptó una serie de decisiones respeto al RGPD, las cuales tratan, principalmente, sobre el derecho a la portabilidad de datos, la figura del Delegado de Protección de Datos y los criterios de identificación de la “autoridad líder”.

Derecho a la portabilidad de datos 

El artículo 20 del RGPD crea un nuevo derecho a la portabilidad de los datos, derecho que permite a los interesados tener más control sobre los datos personales que le incumben y facilita la transmisión directa de estos de un Responsable de Tratamiento a otro, fomentando la libre competencia y favoreciendo el mercado único digital.

El Grupo de Trabajo elaboró una guía de interpretación del nuevo derecho. Así, se establece que para que se aplique el derecho a la portabilidad deberán darse tres circunstancias:

• Que los datos se traten de forma automatizada en base al consentimiento del interesado.
• Los datos deben incumbir al interesado y haberse facilitado por éste.
• El ejercicio del derecho no debe afectar negativamente los derechos y libertades de terceros.

Además, la directriz establece que los responsables del tratamiento:

• Deben empezar a desarrollar medios para garantizar este derecho.
• Se recomienda que informen sobre este derecho antes que un interesado abandone su cuenta, con el fin que este pueda conservar su información e incluso transmitirla a un nuevo sistema/proveedor.
• Tendrán que garantizar la interoperabilidad de los datos transmitidos e incluir en los paquetes de información todos los metadatos posibles.
• Serán los responsables de la seguridad de los datos en su transmisión.

¿Qué es un Delegado de Protección de Datos? 

Respecto a esta figura, las directrices aclaran algunos conceptos que se recogen en el artículo 37 del RGPD (sobre la designación del Delegado de Protección de Datos). Así, fija que:

• Cuando se habla de “actividad principal” se hace referencia a aquellas operaciones clave para alcanzar los fines del Responsable o Encargado del Tratamiento. Por ejemplo, el tratamiento de datos de salud por parte de los hospitales lo serían, pero no actividades secundarias como el pago de los salarios a los trabajadores.
• Para determinar que se considera un tratamiento a “gran escala” se tendrán en cuenta el número de interesados afectados, el volumen de datos, la duración y el ámbito geográfico del tratamiento.
• El concepto de “observación habitual y sistemática” incluye cualquier forma de monitorización o realización de perfiles en internet.

Asimismo, las directrices también establecen que el Delegado pueda operar de forma efectiva tanto a nivel interno de la empresa como a nivel externo frente a los interesados y las Autoridades de Control. Por lo tanto, el Delegado deberá poder expresarse en el idioma que estos utilicen.

El Grupo de Trabajo también establece que, para garantizar la independencia del Delegado, éste no debe recibir instrucciones en relación al ejercicio de su trabajo, ni ser penalizado por ejercer sus funciones, así como tampoco deben existir conflictos de intereses con otras funciones. Finalmente, la directriz establece que no se puede hacer personalmente responsable al Delegado de los incumplimientos del RGPD.

Criterios de identificación de la “autoridad líder” 

En relación a la identificación de la autoridad líder, el documento del Grupo de Trabajo señala que la identificación de esta figura solamente es necesaria cuando se produzca un tratamiento transfronterizo de datos (situación que regula el artículo 4.23 del RGPD).

La guía esclarece que se deberá analizar caso por caso para establecer si “afecta sustancialmente” a más de un Estado miembro y se deberá tener en cuenta el contexto: tipo de datos tratados, si el tratamiento puede provocar daños, limitar el derecho o afectar a la salud o calidad de vida de las personas, etc.

El Reglamento General de Protección de Datos entró en vigor el pasado 25 de mayo de 2016 y será plenamente aplicable el 25 de mayo de 2018.