EL BALANCE DEL PRIMER AÑO DE APLICACIÓN DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS POR LA COMISIÓN EUROPEA

La protección de los datos personales se ha convertido en nuestros días en un asunto de capital importancia para todos los gobiernos y organismos supranacionales.

A continuación publicamos la valoración que realiza Jorge Pérez Miras, Jefe de Sección de Legislación y Secretario del Consejo de Comunidades Andaluzas,  del Informe que realiza la Comisión de la Unión Europea sobre la evaluación y revisión del  Reglamento General de Protección de Datos.

El 24 de julio de 2019 la Comisión Europea presenta Comunicación al Parlamento y al Consejo en relación con el primer año de aplicación del Reglamento General de Protección de Datos (COM(2019) 374 final) 1, que según el artículo 99.2 del mismo, viene siendo aplicable desde el 25 de mayo de 2018.

Recordemos además que el último artículo del Reglamento, el artículo 97, en su apartado primero, establecía respecto a los informes de la Comisión, que “a más tardar el 25 de mayo de 2020 y posteriormente cada cuatro años, la Comisión presentará al Parlamento Europeo y al Consejo un informe sobre la evaluación y revisión del presente Reglamento. Los informes se harán públicos…”. El término propio de esa Comunicación se podría traducir como “hacer balance” o “hacer inventario” de este año de implementación efectiva 2.

El documento incide en la gran importancia que la protección de datos, en su sentido amplio, tiene en el mundo global y globalizado actual, y la importancia de la regulación europea como referencia de garantía de esa protección. Lo concibe, así, como un sistema de protección integral dentro de la gobernanza mundial, que ciertamente coincide con el espíritu no solo del Reglamento, sino con el del conjunto del paquete legislativo de protección que se vino a aprobar en 2016, y que ha ido conformándose hasta la fecha de hoy. 

En este sentido, además del Reglamento General 2016/79 de 27 de abril de 2016 y la Directiva 2016/680 del Parlamento Europeo y del Consejo, también de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las autoridades competentes a efectos de la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y a la libre circulación de estos datos, que podríamos decir, comparten el mismo marco jurídico de reforma, debemos destacar la paulatina aparición de normas europeas sobre la materia que van completando ese marco desde el 25 de mayo de 2018. Así podemos citar el Reglamento 2018/1725 del Parlamento Europeo y del Consejo de 23 de octubre de 2018 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento 45/2001 y la Decisión 1247/2002/CE, así como el Reglamento 2018/1807 del Parlamento Europeo y del Consejo, de 14 de noviembre de 2018, relativo a un marco para la libre circulación de datos no personales en la Unión Europea.

La Comunicación llega a definir este marco normativo europeo como piedra angular de la aproximación a la innovación centrada en el ser humano, y la conceptúa como un cimiento sobre el que se asentarán una amplia gama de políticas públicas que tengan especial relación con la protección de datos.

De igual manera hace hincapié en la armonización conseguida en todo el continente a través de un conjunto normativo coherente, habiendo conseguido la adaptación a la misma de todos los países miembros (si bien con retraso en Grecia, Portugal y Eslovenia). En este sentido contempla cierto margen de mejora y pone de relieve la necesidad de hacer completa esa armonización, sobre todo en los siguientes ámbitos:

– La consecución de una independencia total de las autoridades de control en todos los países miembros.

– La culminación de la no restricción por parte de normas nacionales sobre los derechos subjetivos de los europeos y europeas en cuanto a sus datos personales.

– Evitar que las legislaciones nacionales impongan mayores requerimientos que el Reglamento Europeo, allí donde no haya margen de desarrollo legislativo del mismo.

– La conciliación efectiva del derecho a la protección de datos con la libertad de información y la libertad de expresión.

De igual manera, la Comisión se muestra satisfecha con cómo se van encajando las piezas del puzzle del sistema de gobernanza referido a la protección de datos, y destaca la eficiente colaboración de las autoridades de control de los diferentes Estados de la Unión, y la cooperación en sus investigaciones. Define igualmente al Comité Europeo de Protección de Datos en este primer año como operativo en su función y destaca la creación de una verdadera cultura europea en relación con la protección de datos.

En este sentido, se conecta con el mayor empoderamiento de los ciudadanos europeos sobre sus datos, si bien incide en que la concienciación debe mantenerse de manera continuada. Hay, por tanto, mayor ejercicio de los derechos de protección y mayor conciencia individual y colectiva sobre los mismos, según la Comisión, si bien sigue persistiendo cierta confusión sobre estos derechos y la posibilidad de ejercerlos 3.

También el órgano ejecutivo de la Unión se muestra complacido por el ritmo de adaptación de las empresas y negocios al nuevo marco legal europeo, que parecen estar poniendo énfasis en la gestión integral y en la privacidad en el diseño a todos los niveles de estas organizaciones. Elemento, recordemos, de especial relevancia en el dictado del Reglamento General. Además no observa la Comisión riesgo de incumplimiento por parte de las pequeñas y medianas empresas, asunto que resultó de gran preocupación en los momentos de elaboración y aprobación de la Norma. En este sentido destaca las cláusulas tipo de protección de datos como elementos de utilidad y ayuda en este periodo de aplicación del Reglamento.

Por otro lado se pone de relieve por la Comisión la importancia internacional del sistema normativo de protección de datos europeo. Y ello por el nivel de interrelación “on line” tan extendido, que ha provocado la necesaria adaptación de multitud de empresas al marco normativo de la Unión, junto con la influencia que este marco está teniendo en otras regiones del planeta (incluyendo aquí el Protocolo 108 del Consejo de Europa, que ha experimentado una importante modificación en lo que se conoce como Protocolo 108+)

En este sentido, al igual que la Comisión, creemos que la influencia internacional del paquete normativo europeo es innegable. Ejemplo claro e importante que ilustra esta fuerza internacional europea en la materia lo tenemos en el instrumento normativo plasmado en la Decisión de Ejecución (UE) 2019/419 de la Comisión de 23 de  enero de 2019 con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativa a la adecuación de la protección de los datos personales por parte de Japón en virtud de la ley sobre la  protección de la información personal, que pone de relieve esa influencia en este periodo de aplicación del Reglamento General.

La Unión Europea se manifiesta así como un actor internacional de primera magnitud en la defensa de la protección de datos a nivel global, y de tal manera ejerce en los foros internacionales, en una materia tan transversal y tan ligada al comercio mundial, llegando a influir, asimismo, en las grandes compañías transnacionales, especialmente en las tecnológicas.

En otro ámbito de actuación la Comisión se congratula de lo que supone esta influencia para la persecución criminal a escala global, permitiendo un mejor intercambio de información con autoridades policiales y judiciales de fuera de la Unión con el fin de evitar el terrorismo internacional. Aquí, el paradigma es el “Umbrella Agreement”, si bien este Acuerdo se firmó con anterioridad a la aplicación del Reglamento 5. Es un Acuerdo entre los Estados Unidos de América y la Unión Europea sobre la protección de datos personales relativa a la prevención, investigación, detección o enjuiciamiento de infracciones penales que se firma sobre la base del artículo 37.1, letra a), de la Directiva (UE) 2016/680 y que prevé, con las garantías apropiadas, las transferencias de datos transatlánticas por los Estados miembros.

Igualmente es ejemplo de ello, si bien también firmado con anterioridad al 25 de mayo de 2018, la Directiva 2016/681 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativa a la utilización de datos del registro de nombres de los pasajeros (“Passenger Name Record” o PNR) en la que se prevé una “unidad única de información” donde se deben transmitir dichos datos. 

Estos acuerdos, si bien la Comisión los referencia en su documento como ejemplo del modelo europeo de gobernanza de datos internacional, podríamos entenderlos, en una aproximación crítica, como elementos propios de la vigilancia global que entrarían en contradicción, en muchas ocasiones, con la protección de datos de los ciudadanos de la Unión. 

Por último destaca la Comunicación la fuerza transversal de este sistema de protección, que tiene cabida en la práctica totalidad del panorama de actuación pública en la Unión Europea, como hemos apuntado. Así se potencia su importancia en los servicios de Telecomunicaciones y Electrónicos, en los servicios de Salud, Investigación, Transporte, Energía, en la Política de Competencia y en los asuntos de Interior. Se presta especial atención, por razones muy de actualidad y de futuro, al contexto electoral y al de la Inteligencia Artificial.

En conclusión podemos observar que la Comisión está muy satisfecha con este primer año de vida útil del Reglamento Europeo de Protección de Datos y de sus normas acompañantes. Aunque echamos en falta un mayor elemento crítico, entendemos que este sistema de protección es una de las mayores apuestas jurídico políticas de la Unión (quizá la más importante de la anterior legislatura 2014-2019); y es lógico que su Gobierno realice una evaluación positiva de su repercusión en las personas, sobre todo en las naturales, si bien destaca también la adaptación de las jurídicas. Y es comprensible (y acertada) esa posición y representación de la Unión Europea como “punta de lanza” global en materia de protección, que parece desplegar una influencia normativa y política de referencia en esta protección que nos afecta a todos y es símbolo inequívoco del tiempo que nos ha tocado vivir.


 

1. Documento titulado “COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL. Data protection rules as a trust-enabler in the EU and beyond – taking stock”

2.   Es de destacar que la Comisión ha tenido en cuenta el documento de fecha 13 de junio de 2019 elaborado por un Grupo de Expertos, reunidos al efecto y formado por miembros de la sociedad civil, las empresas y la universidad: “Contribution from then multistakeholder expert group to the stock-taking exercise of june 2019 on one year of GDPR application Multistakeholder Expert Group to support the application of Regulation (EU) 2016/679”

3.  A modo de ejemplo se indica que desde la aplicación del Reglamento en mayo de 2018 ha habido 144.376 quejas y reclamaciones al conjunto de autoridades de control de los países europeos, aumentando respecto a momentos previos a su puesta en marcha. Destacan los 50 millones de euros de multa del regulador en Francia a Google por falta de consentimiento conectada a su publicidad.

4. Adoptado en mayo de 2018, precisamente, y entre otras razones, por la necesidad de coherencia con el Reglamento Europeo. 128th Session of the Committee of Ministers (Elsinore, Denmark, 17-18 May 2018) “Modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data.” En este sentido conviene citar la Decisión 2019/682 del Consejo de 9 de abril de 2019 por la que se autoriza a los Estados  miembros a firmar, en interés de la Unión Europea, el Protocolo que modifica el Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

5.  Tratado Internacional aprobado por Decisión (UE) 2016/2220 del Consejo de 2 de diciembre de 2016.

Para enviar sugerencias, comentarios o colaboraciones, escribe a revista.iaap@juntadeandalucia.es

Si te ha gustado este artículo, encontrarás más contenidos interesantes en nuestro monográfico sobre Protección de Datos.

Y no dejes de ver qué tenemos publicado en los distintos números de EnRed@2.0.