PROPUESTA DE REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DEL PARLAMENTO EUROPEO Y DEL CONSEJO: Cuándo y cómo afectará a las empresas que tratan datos de carácter personal

El rápido desarrollo de las Tecnologías de la Información y Comunicación y su implantación en casi todas las esferas de la vida cotidiana (tanto económica o empresarial como social) han generado grandes retos para la protección de los datos de carácter personal. En este contexto, la Comisión Europea consideró necesario establecer un marco normativo más sólido y coherente con los últimos avances tecnológicos (cloud computing, redes sociales, smartphones, etc.) y presentó una propuesta legislativa dirigida a reformar la regulación aplicable a la protección de datos en Europa, siendo uno de los pilares fundamentales la “Propuesta de Reglamento General de Protección de Datos” de fecha 25 de enero de 2012 (en adelante, la “Propuesta de Reglamento”).

Sin ánimo de entrar en el análisis del complejo y extenso procedimiento legislativo en la UE, nos limitaremos a destacar que, previsiblemente, la Propuesta de Reglamento será objeto de aprobación definitiva a finales de este año 2014 o, como máximo, principios de 2015. Pero, siendo una norma de origen comunitario ¿cuándo resultará exigible su cumplimiento a las empresas españolas? Y, ¿Cuáles serán las novedades fundamentales? A continuación incluimos unos breves comentarios al objeto de dar respuesta a las citadas cuestiones:

1. ¿Cuándo habrá que cumplir el contenido de la Propuesta de Reglamento?

Una vez aprobado, a finales de 2014 o principios de 2015 tal y como adelantábamos, el Reglamento será de aplicación directa en todos los Estados de la Unión Europea a los dos (2) años de su entrada en vigor, la cual, se producirá el vigésimo día siguiente al de su publicación en el Diario Oficial de la UE. Es decir, no será necesaria la aprobación de ninguna norma de carácter nacional, ni la publicación del Reglamento en el BOE, para que el mismo resulte plenamente exigible en España.

2. ¿Qué empresas se verán afectadas?

Todas las empresas que traten datos de carácter personal y dispongan de un establecimiento en un Estado miembro deberán cumplir el Reglamento, aunque las operaciones materiales de tratamiento de la información se lleven a cabo fuera de la Unión Europea.

Del mismo modo, y esta es la novedad principal, las empresas no establecidas en Europa se verán obligadas a adecuarse a dicho Reglamento cuando traten datos personales de personas residentes en la UE en el ejercicio de actividades relacionadas con la oferta de bienes o servicios a tales sujetos.

3. ¿Cuáles serán las principales novedades?

A continuación se enumeran brevemente algunas de las novedades más significativas del Reglamento respecto de la normativa actual:

  • Nombramiento del Delegado de Protección de Datos – DPO (Data Protection Officer).

A pesar de que se trata de una obligación inexistente en nuestra legislación actual, de facto, las grandes empresas ya cuentan con figuras similares al denominado “Data Protection Officer”. Será a partir de la fecha en que resulte aplicable el Reglamento, cuando existirá la obligación legal de designar un Delegado de Protección de Datos en los siguientes supuestos:   

– Tratamiento de datos de más de 5.000 personas durante 12 meses consecutivos.

– Tratamiento de categorías especiales de datos como, por ejemplo, los relativos a la salud.

– Tratamiento de datos de localización.

– Tratamiento que consista en la monitorización del interesado (ej. navegación);

– Tratamiento de datos de menores y empleados a gran escala.

– Administraciones Públicas.

  • Deber de información y consentimiento.

La información que sobre el tratamiento de sus datos han de proporcionar los responsables a las personas afectadas, deberá ser más extensa, clara y comprensible. En esta línea, se deberá proporcionar información sobre la identidad y datos de contacto del Delegado de Protección de Datos.

Asimismo, destaca la inclusión del “interés legítimo” como supuesto legitimador para el tratamiento de datos, que en la LOPD se recoge con el requisito adicional de que los datos figuren en Fuentes Accesibles al Público. Pese a la anulación del Artículo 10.2.b) del Reglamento de la LOPD, el citado requisito sigue existiendo en la LOPD, pero el mismo debe interpretarse conforme a la conocida Sentencia del Tribunal de Justicia de la UE de 24 de noviembre de 2011 (aplicada en la Sentencia del Tribunal Supremo de fecha 8 de febrero de 2012). Es decir, realizando en cada caso concreto una ponderación entre el interés del Responsable del Tratamiento y los derechos fundamentales de los ciudadanos afectados, con el fin de determinar cuál prevalece atendiendo a las circunstancias concurrentes.

  • Medidas de seguridad.

La Propuesta de Reglamento no detalla los niveles ni las medidas de seguridad aplicables a los tratamientos de datos, tal y como hace la normativa española. De forma que, la obligación actual de implementar medidas concretas en función de la tipología de datos se sustituirá por la necesidad de una “evaluación de riesgos” para determinar las medidas a adoptar.

  • Auditorías de control.

Sera obligatorio realizar una auditoría bienal no solo de las medidas de seguridad, sino, del conjunto de obligaciones relacionadas con la protección de datos.

  • Deber de notificación de incidencias (Data Breach).

Será obligatorio notificar sin demora injustificada a las Autoridades de Control las incidencias que puedan afectar a la seguridad de los datos y, con carácter general, deberán comunicarse también a los afectados.

  • Sello Europeo de Protección de Datos.

Las empresas podrán solicitarlo a las Autoridades de Control que lo otorgarán mediante un proceso previo de certificación realizado por profesionales acreditados. Se podrán certificar tratamientos concretos (no el conjunto de tratamientos de una compañía) y su vigencia será de 5 años.

Es preciso destacar las ventajas que la obtención del Sello Europeo podrá tener en materia sancionadora, ya que, si se dispone del mismo la sanción económica por incumplimiento de las obligaciones previstas en el Reglamento (debemos entender que en relación con el tratamiento certificado y no otros realizados por el mismo responsable) solo podrá ser impuesta en los casos de incumplimiento intencionado o negligente.

  • Infracciones y sanciones.

Desaparece la graduación de sanciones (leve, grave y muy grave). Las multas podrán llegar hasta 100.000.000€, o bien, el 5% del volumen de negocios mundial (si es superior a esos 100 millones).

En nuestra opinión, si bien el contenido del Reglamento no puede calificarse de “revolucionario” en la materia, sí obligará a todas las entidades, públicas y privadas, a hacer un esfuerzo de adaptación real y no meramente conceptual o técnica. Por ejemplo, integrando en sus estructuras la figura del Delegado de Protección de Datos, revisando los supuestos legitimadores de sus tratamientos de datos, realizando la “evaluación de riesgos” con el objetivo de redefinir su riesgo en protección de datos, etc.

EL TRIBUNAL DE JUSTICIA DE LA UNIÓN EUROPEA (TJUE) DECLARA INVÁLIDA LA DIRECTIVA DE CONSERVACIÓN DE DATOS: Sentencia en los asuntos acumulados C-293/12 y C-594/12 de 8 de abril de 2014.

La sentencia del TJUE de 8 de abril de 2014 (en adelante, la “Sentencia”) ha declarado la invalidez de la Directiva 2006/24/CE, la cual, establecía la obligación de los proveedores de servicios de comunicaciones electrónicas, o de aquellos exploten redes públicas de comunicaciones, de recopilar y conservar, durante un período de tiempo mínimo de seis (6) meses y máximo de dos (2) años a partir de la fecha de la comunicación, un número considerable de datos generados o tratados en el marco de las comunicaciones electrónicas efectuadas por los ciudadanos. El objetivo de esta obligación era garantizar la disponibilidad de dichos datos con fines de investigación y enjuiciamiento de actividades delictivas graves, así como el buen funcionamiento del mercado interior. En concreto, se trata de la Directiva 2006/24/CE, de conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones sobre conservación de datos (“Directiva 2006/24/CE”).

En un comunicado de prensa, el mismo Tribunal informa de su decisión de invalidar la Directiva 2006/24/CE y asegura que ésta “constituye una injerencia de gran magnitud y especial gravedad en los derechos fundamentales al respeto de la vida privada y a la protección de datos de carácter personal, sin que esta injerencia se limite a lo estrictamente necesario”.

Además, el TJUE estima que, “al adoptar la Directiva sobre la conservación de datos, el legislador de la Unión sobrepasó los límites que exige el respeto del principio de proporcionalidad”.

Dado que el TJUE no ha limitado en el tiempo su sentencia, la declaración de invalidez surte efectos en la fecha de entrada en vigor de la Directiva. Pero, ¿qué consecuencias podemos esperar a nivel nacional de esta decisión?

Sin perjuicio de un necesario análisis con mayor rigurosidad del contenido de la Sentencia, a continuación mencionamos brevemente las cuestiones más relevantes que suscita la citada resolución:

  • En primer lugar, ¿debemos entender como consecuencia automática de la declaración de invalidez de la Directiva la nulidad sobrevenida de la normativa nacional que la ha incorporado al derecho español? En nuestro caso, la trasposición de la Directiva se realizó a través de la Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (en adelante, la “Ley 25/2007”).

La Ley 25/2007 obliga a los operadores a conservar, durante doce (12) meses desde la fecha de la comunicación (a través de Internet, telefonía vocal o fija), los datos que permiten rastrear el destino y el origen de la misma, así como la identidad de todas las personas implicadas en ella.

  • En segundo lugar, debemos tener en cuenta que en base a la referida Ley 25/2007, se han podido obtener durante los últimos años datos que han sido aportados a procedimientos judiciales como prueba de la comisión de delitos de diversa índole (desde delitos informáticos hasta relacionados con el terrorismo). Por lo tanto, los tribunales españoles encargados del enjuiciamiento de tales asuntos deberán valorar las consecuencias que en el mismo debe tener la declaración de invalidez de la Directiva.

En nuestra opinión, si bien no es posible afirmar que la Ley 25/2007 se vea anulada directamente por la Sentencia, en ningún caso puede obviarse la repercusión que la misma tendrá en los procedimientos judiciales en curso a los que nos hemos referido anteriormente, así como, en la redacción de diversa normativa nacional (como, por ejemplo, la futura reforma de la Ley de Propiedad Intelectual o la Ley de Seguridad Ciudadana).

PRIMERA SANCIÓN DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) EN MATERIA DE COOKIES

La AEPD ha impuesto la primera sanción por incumplimiento del artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI).

En virtud de la Resolución R/02990/2013, cuyo origen fue la denuncia presentada por una persona física, la AEPD ha impuesto las primeras sanciones a dos empresas, por importe de 3.000€ y 500€, respectivamente, por incumplimiento de las exigencias del artículo 22.2 de la LSSI en materia de cookies. Adicionalmente, la AEPD sanciona con 1.500€ a una de las empresas por incumplimiento del artículo 5 de la LOPD (Derecho de información en la recogida de datos), si bien, en esta nota nos referiremos únicamente al incumplimiento relativo al régimen legal de las cookies.

Con carácter previo, conviene realizar una breve referencia tanto al concepto de cookie como a las obligaciones legales que deben cumplirse para su utilización, de conformidad con lo dispuesto en el art. 22.2 de la LSSI tras su modificación por el Real Decreto Ley 13/2012, de 30 de marzo:

La “cookie” es un archivo o dispositivo que se descarga en el equipo terminal de un usuario con la finalidad de almacenar datos que podrán ser actualizados y recuperados por la entidad responsable de su instalación. Existen varias clasificaciones de cookies en función de distintos criterios como, por ejemplo, según quien sea la entidad que gestione el equipo o dominio desde donde se envían las cookies y trate los datos que se obtengan, podemos distinguir cookies propias o de terceros; según la finalidad para la que se traten los datos obtenidos encontramos cookies técnicas, de personalización, de análisis, publicitarias o de publicidad comportamental, etc.

En cuanto al régimen legal que resulta aplicable, a continuación se indican los requisitos previstos en el art. 22.2 LSSI:

  1. En primer lugar, se debe facilitar a los usuarios información clara y completa sobre la utilización de este tipo de dispositivos de almacenamiento y recuperación de datos y, en particular, sobre los fines del tratamiento de los datos. En consecuencia, la información sobre las cookies facilitada debe ser suficientemente completa para permitir a los usuarios entender la finalidad para las que se instalaron y conocer los usos que se les darán. Además de facilitar la información necesaria para que los usuarios puedan prestar un consentimiento valido, es aconsejable que la citada información, y en particular la relativa a la forma a través de la cual pueden gestionar las cookies, esté a su disposición de forma accesible y permanente en todo momento a través la página web desde la que se presta el servicio.
  2. Una vez informado el usuario, para la instalación y utilización de las cookies será necesario, en todo caso, obtener su consentimiento. Este consentimiento podrá obtenerse mediante fórmulas expresas, como haciendo clic en un apartado que indique “consiento”, “acepto”, u otros términos similares. En todo caso la mera inactividad del usuario no implica la prestación del consentimiento por sí misma.

Pero, no todas las cookies se encuentran sometidas al régimen legal previsto en el artículo 22.2 de la LSSI, ya que, existen las denominadas “cookies exceptuadas”, para cuyo uso no sería necesario informar ni obtener el consentimiento del titular de los datos. Se trata de supuestos en los que el almacenamiento o acceso a los datos es de índole técnica y al solo fin de efectuar la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario. La Resolución comentada se refiere a cookies no exceptuadas y por tanto en el ámbito de aplicación de la LSSI.

Durante la tramitación del procedimiento, la AEPD observa que la información sobre el uso de cookies proporcionada por las titulares de las páginas web denunciadas es insuficiente. En este sentido, la Resolución destaca las siguientes carencias: (i) no se incluye una definición de las cookies, (ii) tampoco se detalla mínimamente el tipo de cookies utilizadas, (iii) ni se identifica si son propias o de terceros. Además, la AEPD considera que la citada información se facilitaba de forma poco accesible y sin suficiente visibilidad para el usuario.

Una vez notificado el acuerdo de inicio del procedimiento sancionador a las empresas denunciadas, éstas optan por utilizar el sistema de información por capas. Con carácter general, dicho sistema consiste en ofrecer una información esencial en una primera capa, cuando se accede al sitio web o aplicación, y una información adicional contenida en una segunda capa a la que se accede mediante un enlace.

Sin embargo, tras el análisis efectuado por la AEPD, se concluye que “el sistema de capas utilizado por ambas entidades no contiene la información que se considera necesaria para estimar que resulta completa y clara, en especial en cuanto a la tipología de cookies realmente utilizadas, finalidad de las mismas e identidad de quienes instalan y utilizan las cookies, lo que invalidaría el consentimiento que pueda ser prestado por los usuarios al “Aceptar” la “Política de Cookies” o seguir navegando por los sitios web”.

Finalmente, y aplicando lo dispuesto en el artículo 38.4.g) de la LSSI, se sanciona a ambas empresas por incumplimiento de los deberes de información previstos en el artículo 22.2. En este sentido, el art. 38.4.g) de la LSSI considera infracción leve: ”El incumplimiento de las obligaciones de información o de establecimiento de un procedimiento de rechazo del tratamiento de datos, establecidas en el apartado 2 del artículo 22, cuando no constituya infracción grave”.

Cabe destacar que, habiendo quedado probado que el uso de cookies por las mencionadas entidades se lleva a cabo sin mediar el consentimiento informado al que se refiere el artículo 22.2 de la LSSI, la vulneración de este requisito previo a la instalación de cookies no resulta sancionable en virtud de la redacción del artículo 38.4.g).

A tenor del análisis efectuado por la AEPD y del contenido de la Resolución comentada, resulta evidente la complejidad de esta materia, ya que, a pesar de que ambas empresas adoptaron, después de recibir los requerimientos de información y las notificaciones sobre la incoación de procedimiento sancionador, una serie de medidas tendentes a introducir, modificar y actualizar la información facilitada sobre cookies y obtener el consentimiento informado para su instalación y utilización, tales modificaciones no resultaron suficientes y no pudieron evitar la imposición de las sanciones.