STJUE, elaboraci贸n de perfiles crediticios y decisiones apoyadas en actos o hechos automatizados

La聽Sentencia del Tribunal de Justicia (Sala Primera) de 7 de diciembre de 2023, OQ contra Land Hessen (asunto C-634/21) resulta de especial inter茅s para la protecci贸n de datos en las decisiones apoyadas en la automatizaci贸n. Esta STJUE responde a una Petici贸n de decisi贸n prejudicial planteada por el Verwaltungsgericht Wiesbaden, y resultar谩 influyente en relaci贸n con los retos de la digitalizaci贸n y de la IA.

Los hechos subyacentes giran en torno a la influencia de las decisiones de una agencia de rating聽que elabora perfiles crediticios de consumidores. Concretamente,聽 SCHUFA era una empresa dedicada a facilitar informaci贸n sobre la solvencia (scoring) de los consumidores. Para realizar sus an谩lisis se apoyaba en procedimientos matem谩ticos y estad铆sticos, mediante los que clasificaba a las personas f铆sicas en atenci贸n a su comportamiento pasado e infer铆a la probabilidad de comportamientos futuros similares (generaci贸n de valor de probabilidad) .

Entre los clientes de SCHUFA se encontraban entidades financieras del sector de cr茅dito a consumidores.

En el asunto analizado, una persona f铆sica cuya solicitud de pr茅stamo fue negada por uno de los clientes de SCHUFA (sobre la base del scoring proporcionado por 茅sta) ejerci贸 su derecho de acceso a datos ante esta evaluadora de calidad crediticia. Pero SCHUFA le facilit贸 s贸lo informaci贸n gen茅rica y se neg贸 a divulgar los distintos datos que ten铆a del afectado, as铆 como la ponderaci贸n de estos que hab铆a realizado en forma de valores de probabilidad. La negativa de SCHUFA se apoyaba en que quien hab铆a denegado el cr茅dito eran sus clientes, y no la propia entidad (y al amparo de la legislaci贸n alemana s贸lo se regula el 芦uso禄 del valor de probabilidad, pero no su generaci贸n).

El tribunal alem谩n pregunt贸 si la actividad de SCHUFA deb铆a entenderse sometida al art 22 RGPD,聽 dado que no era ella la que adoptaba la 芦decisi贸n automatizada禄, sino que s贸lo genera el valor de probabilidad. Y esta pregunta se vert铆a para conocer si SCHUFA estaba o no obligada a dar acceso al afectado

Roset贸n Sur. Pulchra Leonina

En esta sentencia el TJUE record贸 que聽 el art 22 RGPD protege a las personas contra los riesgos espec铆ficos que afecten a sus intereses y derechos leg铆timos, en particular el derecho a no ser discriminados. Establece lo que es una 芦decisi贸n individual禄 sometida al art 22, que debe entenderse en sentido amplio. Y aclara que cuando el valor de probabilidad es generado por una agencia de informaci贸n comercial / crediticia. Y cuando as铆 es comunicado a un banco o entidad que concede cr茅ditos, y desempe帽a un papel determinante en la concesi贸n de un cr茅dito, la generaci贸n propiamente dicha de ese valor de probabilidad聽 es una decisi贸n que produce 芦efectos jur铆dicos禄 en un interesado o que聽 le afecta significativamente de modo similar

    • Conforme al TJUE las garant铆as del RGPD abarcan actos, hechos o datos que sustentan las decisiones automatizadas, como los perfiles o ponderaciones automatizadas que han estado en la base de la decisi贸n finalmente adoptada. Por ello, a pesar de que formalmente la decisi贸n se adopte por otra entidad o haya pasado por un proceso de aparente decisi贸n humana, si el componente automatizado es determinante, no puede considerarse como excluido de las garant铆as exigidas en el RGPD.
    • El concepto de 芦decisi贸n禄 聽no est谩 restringido a聽 los actos que producen efectos jur铆dicos directos en un interesado, sino que abarca tambi茅n hechos que cuya influencia en la decisi贸n que finalmente se adopta es relevante. Un ejemplo de esa influencia es la que se dilucidaba en esta sentencia, es decir, la denegaci贸n de una solicitud de cr茅dito en l铆nea (por estar apoyada en un tratamiento automatizado de datos de solvencia)
    • El concepto amplio de 芦decisi贸n禄 incluye la elaboraci贸n de perfiles cuyo valor de probabilidad produce 芦efectos jur铆dicos禄 sobre la decisi贸n final (aqu铆 la concesi贸n o no concesi贸n de un cr茅dito) cuando esa decisi贸n final se base de un modo determinante en ese valor de probabilidad.聽 Lo que es m谩s, la 聽generaci贸n del valor de probabilidad no es 煤nicamente un acto preparatorio; sino que es un acto de tratamiento de datos al que el interesado tiene derecho de acceso.

Por tanto, y teniendo en cuenta que el聽 RGPD establece el derecho de las personas a no ser objeto de una decisi贸n basada 煤nicamente en un tratamiento automatizado, la聽 generaci贸n de un valor de probabilidad聽 o rating (en este caso en relaci贸n con el cr茅dito de las personas f铆sicas) queda comprendido en el 谩mbito de aplicaci贸n del RGPD .聽 Ello implica que est谩 prohibida la adopci贸n de decisiones crediticias apoyadas 煤nicamente en el tratamiento automatizado.聽 La prohibici贸n alcanza a los tratamientos automatizados efectuados por terceros, cuando influyen determinantemente en la decisi贸n final.聽 Aunque, quedan excluidas de la prohibici贸n las decisiones amparadas en alguna de las excepciones previstas en la norma, que se cumplan los requisitos espec铆ficos establecidos en el RGPD.

La cuesti贸n prejudicial giraba tambi茅n sobre el margen de regulaci贸n nacional sobre el art铆culo 22, por la posible actuaci贸n excesiva del legislador alem谩n, al someter la generaci贸n de valor de probabilidad a requisitos de licitud m谩s estrictos que el RGPD. Y es que, conforme al art铆culo 22, el Derecho nacional puede autorizar decisiones automatizadas y, para ello, establecer medidas adecuadas. Y debe legitimar en casos particulares el tratamiento de categor铆as especiales de datos del art铆culo 9.

G贸tico
      • La STJUE recuerda que el legislador nacional 芦debe establecer medidas adecuadas禄 en el 谩mbito del art 22 pero adem谩s queda vinculado por los art铆culos 5 (principios) y 6 (legitimaci贸n).
      • En cambio, trat谩ndose de una norma europea de m谩ximos, los Estados no est谩n facultados para establecer normas complementarias ni pueden apartarse de las exigencias que resultan de la jurisprudencia.
      • En este caso concreto, es el juez nacional es quien debe comprobar que la regulaci贸n nacional es acorde con las exigencias del Reglamento

 

M谩s:

 

Geolocalizaci贸n y protecci贸n de datos

Como es sabido, los datos de ubicaci贸n, pueden servir para inferir y conocer diversa informaci贸n personal que puede ser utilizada con distintos objetivos, entre otros con motivo de establecer perfiles publicitarios

En EEUU se han ido conociendo reclamaciones frente a grandes compa帽铆as de servicios digitales, con base en pr谩cticas de geolocalizaci贸n irrespetuosas con el ordenamiento.

Invierno. By M.A. D铆az
  • En noviembre 2022, un grupo de 40 Attorney General聽 (fiscales generales) de Minesota en EEUU聽 lleg贸 a un acuerdo con Google LLC, a ra铆z de una sobre la presunta violaci贸n por parte de la compa帽铆a de las correspondientes normativas estatales de protecci贸n del consumidor, en el sentido de inducir a error a los consumidores sobre el registro de sus movimientos o geolocalizaci贸n. Poco antes, se hab铆a alcanzado un acuerdo similar en Arizona. Seg煤n ha trascendido, Google habr铆a trasmitido聽 la err贸nea impresi贸n de que cuando los usuarios desactivaban los servicios de seguimiento de localizaci贸n la compa帽铆a dejar铆a de recopilar datos de geolocalizaci贸n sobre ellos. En realidad, Google segu铆a acumulando estos datos y luego los ofrec铆a a terceros que los utilizaban con fines publicitarios. En el acuerdo de Minesota, Google debe abonar 391,5 millones de d贸lares, as铆 como facilitar a los usuarios informaci贸n adicional al activar o desactivar un determinado ajuste relacionado con la localizaci贸n; y tiene que asegurar que la obtenci贸n de informaci贸n clave sobre el seguimiento de la localizaci贸n sea 芦insoslayable禄 para los usuarios , as铆 como proporcionar informaci贸n detallada sobre los tipos de datos de localizaci贸n que recopila y utiliza. M谩s aqu铆
  • En la UE, dado que los sistemas de geolocalizaci贸n capturan, almacenan y analizan la informaci贸n geogr谩fica referenciada de la persona (es decir, un tratamiento de datos personales), resulta de aplicaci贸n el art. 4 RGPD con lo que es necesario determinar el fin admisible de este tratamiento y tener en cuenta todos los requisitos del derecho positivo, entre ellos la legitimaci贸n. Cuando el dispositivo sea propiedad de una persona f铆sica ser谩 necesario obtener el consentimiento del interesado (art. 6.1.a RGPD). Cuando el sistema de geolocalizaci贸n se instale en un dispositivo responsabilidad de una empresa, se podr谩 legitimar por inter茅s leg铆timo del responsable (art. 6.1.f RGPD) basado en el art. 20.3 ET y el art. 90 LOPDGDD. Recu茅rdese que el art. 20.3 del Estatuto de los Trabajadores permite聽芦adoptar las medidas que estime m谩s oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales禄. Estas medidas, deber谩n, siempre, respetar el derecho al honor, a la intimidad personal y familiar y a la propia imagen reconocido en el art. 18 de la Constituci贸n Espa帽ola, en coherencia adem谩s con el deber de informar al trabajador (arts 13 y 14 RGPD). Y, el deber de respetar la finalidad, o prohibici贸n del uso de los datos obtenidos para finalidades distintas de las declaradas en la adopci贸n de la medida. La noci贸n de 鈥渇ines鈥 del art. 5.1.c RGPD, relativo al principio de minimizaci贸n, excluye todo intento de aprovecharse de los datos de car谩cter personal recogidos para obtener nuevos datos personales o para un uso divergente de la finalidad originaria para la que fueron recabados. De igual manera se expresa el art. 6 LOPDGDD, correspondiente al consentimiento del interesado para diversas finalidades. Adem谩s, los datos de localizaci贸n se deben conservar exclusivamente durante el tiempo oportuno en funci贸n de la finalidad que justifique su tratamiento. sin olvidar que el acceso a los datos de localizaci贸n deber谩 restringirse a aquellas personas que, en el ejercicio de sus obligaciones, puedan consultarlas de forma leg铆tima en funci贸n de sus finalidades. Por consiguiente, los empresarios deber谩n adoptar todas las cautelas necesarias para que tales datos se mantengan seguros e impedir el acceso no autorizado a ellos, especialmente mediante la introducci贸n de medidas de verificaci贸n e identificaci贸n.

 

Adem谩s de todo esto, hay que tener en cuenta que los responsables del tratamiento que utilicen sistemas de geolocalizaci贸n estar谩n sujetos a obligaciones del GDPR:

  1. El registro de actividades de tratamiento. Cada responsable del tratamiento y, en su caso, su representante, habr谩n de llevar un registro de las actividades de tratamiento que efect煤en bajo su responsabilidad (art. 30 RGPD).
  2. El an谩lisis de riesgos聽con el fin de establecer las concretas medidas de seguridad y control para garantizar los derechos y libertades de las personas. (art.32 RGPD).
  3. Medidas de seguridad.聽En este documento se van a recoger las medidas t茅cnicas y organizativas de seguridad que garanticen la protecci贸n de los datos personales, y que demuestren la adecuaci贸n con el GDPR, teniendo en consideraci贸n los derechos e intereses leg铆timos de las personas f铆sicas propietarias de los datos personales y de cualquier otra persona afectada.
  4. La evaluaci贸n de impacto聽(DPIA) en el caso el tratamiento se realice a gran escala e implique la observaci贸n, monitorizaci贸n, supervisi贸n, geolocalizaci贸n o control del interesado de forma sistem谩tica y exhaustiva, incluida la recogida de datos y metadatos a trav茅s de redes, aplicaciones o en zonas de acceso p煤blico (art. 35.4 RGPD).

聽Ver tambi茅n聽

En Espa帽a, en enero de 2023, Audiencia Nacional anul贸 una decisi贸n de la AEPD en la que sostuvo que la empresa Virgin telco hab铆a actuado conforme a la ley al denegar a sus clientes el acceso a sus datos de geolocalizaci贸n. El asunto hab铆a sido planteado por una ONG especializada: NOYB.

  • Noyb, cuyas siglas proceden de la expresi贸n inglesa聽None of your business (No es asunto tuyo), es una iniciativa del activista Sr Schrems (conocido por sus litigios en relaci贸n con los acuerdos de trasmisi贸n de datos a EEUU). La ONG especializada en protecci贸n de datos recurri贸 una decisi贸n de la AEPD. NOYB sosten铆a que la聽informaci贸n sobre geolocalizaci贸n es un dato personal y debe facilitarse al amparo del derecho de datos personales.

Un cliente de Virgin telco en Espa帽a solicit贸 acceder a sus datos de geolocalizaci贸n. Le fueron聽denegados por lo que reclam贸 ante la AEPD. La agencia dio la raz贸n a la empresa por lo que Noyb recurri贸 esa decisi贸n en junio de 2022, defendiendo que ya que los proveedores de telecomunicaciones en Espa帽a est谩n obligados a almacenar datos de geolocalizaci贸n de sus clientes, en virtud del principio de tutela de datos personales, tales proveedores deben facilitar esa informaci贸n a los usuarios en caso de ser solicitada. Este planteamiento era distinto al inicial de la AEPD que consideraba que el acceso estaba garantizado s贸lo para las autoridades en el marco de investigaciones penales. La Audiencia Nacional anul贸 la decisi贸n inicial de la AEPD. Ver aqu铆聽 la web de esta ONG

TJUE- De nuevo sobre el despido del DPD. Y compatibilidades del cargo

Springtime

El 9 de febrero de 2023, el Tribunal de Justicia de la Uni贸n Europea (芦TJUE禄) dict贸 sentencia en el asunto X-FAB Dresden (C-453/21).En esta decisi贸n, el TJUE aclar贸 los criterios para evaluar si existe un conflicto de intereses entre la funci贸n de Delegado de Protecci贸n de Datos (芦DPD/DPO禄) y otras tareas o funciones asignadas al mismo DPD/DPO.

  • Los DPD/DPO se encargan de informar y asesorar a los responsables y encargados del tratamiento de datos, supervisar el cumplimiento de la legislaci贸n sobre protecci贸n de datos y las pol铆ticas adoptadas en cada organizaci贸n, y actuar como punto de contacto con las autoridades de control.
  • Para desempe帽ar eficazmente estas tareas debe operar con independencia. A tales efectos, el art铆culo 38, apartado 3, del RGPD establece espec铆ficamente que el DPD/DPO no puede recibir instrucciones sobre el ejercicio de sus funciones y debe responder directamente al m谩s alto nivel directivo (recu茅rdese que el mismo art铆culo proh铆be despedir o sancionar al DPD/DPO por el ejercicio de sus funciones).

En esta sentencia, el TJUE hizo hincapi茅 en que las organizaciones deben asegurarse de que no se encomienden al DPD/DPO tareas o funciones que puedan obstaculizar o dificultar la ejecuci贸n de sus obligaciones como DPD/DPO. En particular, recuerda que el DPD/DPO no es competente (ni puede en funci贸n de otro cargo que compatibilice) determinar los objetivos y m茅todos del tratamiento de datos personales.

Ahora bien, a 聽efectos de establecer la compatibilidad o incompatibilidad con otras funciones, es necesario realizar una evaluaci贸n casu铆stica, para determinar si existe un conflicto de intereses. En esta evaluaci贸n se deben tener en cuenta todas las circunstancias relevantes que concurran. En particular, debe considerarse la estructura organizativa del responsable o del encargado del tratamiento, as铆 como las pol铆ticas del responsable o del encargado del tratamiento y el ordenamiento aplicable. Con respecto a este 煤ltimo aspecto, se plante贸 la cuesti贸n de si esta prohibici贸n se opone a una legislaci贸n nacional que permite a un responsable o encargado del tratamiento despedir a un DPD/DPO que sea miembro del personal 煤nicamente cuando exista una causa justificada, aunque el despido no est茅 relacionado con el ejercicio de las tareas del DPD/DPO. 聽Para llegar a esta conclusi贸n, el Tribunal reiter贸 que los conceptos de 芦destituir禄 y 芦sancionar禄 deben interpretarse con arreglo al lenguaje corriente (v茅ase tambi茅n la sentencia de 22 de junio de 2022, C-534/20) comentada en este blog). Ello significa que un DPD/DPO debe estar protegido contra 芦cualquier decisi贸n que ponga fin a sus funciones, por la que se le coloque en una situaci贸n de desventaja o que constituya una sanci贸n禄. El Tribunal confirm贸 que una medida de despido por parte de un empleador puede constituir una decisi贸n de este tipo.

El Tribunal tambi茅n reiter贸 que la prohibici贸n de despedir o sancionar a un DPD/DPO se aplica independientemente de la naturaleza de la relaci贸n con el DPD/DPO (es decir, independientemente de si el DPD/DPO es un empleado o no). Pero al mismo tiempo s贸lo cuando los motivos subyacentes a la decisi贸n se refieren al desempe帽o de sus funciones. El Tribunal consider贸 que cada Estado miembro es libre de establecer disposiciones espec铆ficas m谩s protectoras frente a los despidos de DPD/DPO, en la medida en que dichas disposiciones sean compatibles con el Derecho de la UE y el RGPD y en la medida en que esa mayor protecci贸n no menoscabe la consecuci贸n de los objetivos del RGPD. Tal menoscabo podr铆a producirse, por ejemplo, cuando la legislaci贸n nacional impidiera el despido de un DPD/DPO que ya no posea las cualidades profesionales requeridas, que no cumpla sus funciones de conformidad con el RGPD o que se vea afectado por un conflicto de intereses.

  • En cuanto al conflicto de intereses, el TJUE se帽ala que el art铆culo 38, apartado 6, del RGPD permite confiar a los DPD/DPO otras tareas y obligaciones (es decir, distintas de las que le impone el art铆culo 39 del RGPD), pero impone la obligaci贸n de garantizar que dichas tareas y obligaciones no den lugar a un conflicto de intereses.
  • Sobre las circunstancias podr铆an suponer tal conflicto de intereses, el Tribunal respondi贸 de forma bastante general que no se pueden encomendar al DPD/DPO tareas u obligaciones que puedan 芦menoscabar la ejecuci贸n de las funciones desempe帽adas por el DPD/DPO禄. M谩s concretamente, el Tribunal confirm贸 que se producir铆a un conflicto de intereses siempre que se encomendara a un DPD/DPO tareas que implicaran la determinaci贸n de los objetivos y m茅todos de tratamiento de datos personales por su parte. Evidentemente, la determinaci贸n de objetivos o m茅todos de tratamiento de datos chocar铆a con el requisito de poder revisar de forma independiente dichos objetivos y m茅todos. La evaluaci贸n de si existe un conflicto de intereses debe realizarse caso por caso a la luz de todas las circunstancias pertinentes (incluida la estructura organizativa y las normas y pol铆ticas aplicables).

Fallo:

1)聽聽聽聽聽聽El art铆culo 38, apartado 3, segunda frase, del RGPD debe interpretarse en el sentido de que no se opone a una normativa nacional que establece que un responsable o un encargado del tratamiento solo puede destituir a un delegado de protecci贸n de datos que forme parte de su plantilla por causa grave, aun cuando la destituci贸n no est茅 relacionada con el desempe帽o de las funciones de dicho delegado, siempre que esa normativa no ponga en peligro la consecuci贸n de los objetivos de ese Reglamento.

2)聽聽聽聽聽El art铆culo 38, apartado 6, del RGPdebe interpretarse en el sentido de que puede existir un 芦conflicto de intereses禄, en el sentido de esta disposici贸n, cuando se encomienden a un delegado de protecci贸n de datos otras funciones o cometidos que llevar铆an a este a determinar los fines y los medios del tratamiento de datos personales en el seno del responsable del tratamiento o de su encargado, lo que incumbe determinar en cada caso al juez nacional sobre la base de todas las circunstancias pertinentes, en particular de la estructura organizativa del responsable del tratamiento o de su encargado y a la luz de toda la normativa aplicable, incluidas las eventuales pol铆ticas de estos 煤ltimos.

M谩s:

 

Sanci贸n belga por conflicto entre DPD y compliance Officer

El 28 de abril de 2020, la Sala de lo Contencioso de la Autoridad de Protecci贸n de Datos belga impuso una multa de 50.000 euros a una sociedad por incumplimiento de los requisitos del Reglamento general de protecci贸n de datos (芦RGPD禄) relativos al nombramiento de un responsable de la protecci贸n de datos (芦DPD禄).

Tras la notificaci贸n de una violaci贸n de datos, la APD belga inici贸 una investigaci贸n sobre las pr谩cticas de protecci贸n de datos y el programa de privacidad de la empresa y su investigaci贸n se centr贸 en tres supuestas infracciones del RGPD,

Canaval_Oma帽a (Le贸n)
  1. el deber de cooperar con la APD;
  2. las obligaciones de rendici贸n de cuentas (evaluaciones de riesgo y violaci贸n de datos); y
  3. los requisitos relacionados con el cargo de DPD de la sociedad.

En su decisi贸n, la Sala de lo Contencioso de la APD belga solo confirm贸 la聽 infracci贸n de los requisitos del DPD del RGPD (art铆culo 38, apartado 6, del RGPD), argumentando que, al nombrar al jefe del departamento de Cumplimiento, Gesti贸n de Riesgos y Auditor铆a a ese DPD, la sociedad hab铆a incumplido su obligaci贸n de garantizar que su DPD est茅 libre de cualquier conflicto de intereses.

En particular, la Sala de lo Contencioso de la APD belga indic贸 en su decisi贸n que:

  • Si el DPO, como Jefe del departamento de Auditor铆a Interna, tiene poder de decisi贸n con respecto al despido de empleados, no es compatible con la funci贸n del DPO.
  • El que los departamentos que dirige la persona que act煤a como DPO de la sociedad cumplan una funci贸n independiente y consultiva en relaci贸n con los dem谩s departamentos de la empresa y, como tales, no tengan poder de decisi贸n con respecto a las actividades de tratamiento de datos de la sociedad, ello no significa necesariamente que las tareas de la persona como Jefe de estos departamentos sean compatibles con sus tareas como DPO de la sociedad.
  • Si en su calidad de responsable de los departamentos de Cumplimiento Normativo, Gesti贸n de Riesgos y Auditor铆a, la persona designada como DPP de la sociedad determina los fines y los medios del tratamiento de datos personales que tiene lugar en el contexto de estos departamentos, es responsable de las actividades de tratamiento de datos y por tanto infringe el RGPD.

En vista de ello, la Sala de lo Contencioso de la APD belga concluye que combinar la funci贸n de jefe de departamento de Cumplimiento Normativo, Gesti贸n de Riesgos y Auditor铆a la de DPO da lugar a un importante conflicto de intereses. En el caso que nos ocupa, la APD belga sostiene que, debido a la combinaci贸n de funciones, existe una falta total de supervisi贸n independiente del DPO en relaci贸n con las actividades de tratamiento de datos que tienen lugar en el contexto de los departamentos de Cumplimiento, Gesti贸n de Riesgos y Auditor铆a. Adem谩s, la APD belga indica que, debido a su doble funci贸n, el DPO puede no ser capaz de ofrecer suficientes garant铆as a los empleados afectados en t茅rminos de confidencialidad y secreto.

En vista de lo anterior, la Sala de lo Contencioso orden贸 modificar la situaci贸n e impuso una multa administrativa de 50.000 euros. (recurrible)

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

 

TJUE: RGPD y Despido del Delegado de Protecci贸n de Datos

En su sentencia de 22 de junio de 2022 (asunto C-534/20; Leistritz), el TJUE se pronunci贸 sobre si el RGPD permite la aplicabilidad de las disposiciones alemanas que rigen la terminaci贸n del empleo de un responsable de la protecci贸n de datos (DPO) de conformidad con el art铆culo 38 (2) y el art铆culo 6 (4) frase 2 de la Ley Federal de Protecci贸n de Datos (Bundesdatenschutzgesetz, BDSG).

No Eume- Ponte do Eume

Antecedentes

La decisi贸n del TJUE se basa en la petici贸n de decisi贸n prejudicial del Tribunal Federal de Trabajo alem谩n (Bundesarbeitsgericht, BAG) formulada mediante la decisi贸n de 30 de julio de 2020 (2 AZR 225/20). El BAG deb铆a pronunciarse sobre la legalidad del despido de una DPO por parte de su empleador.

  • El empleador, una sociedad de Derecho privado que, con arreglo a la legislaci贸n alemana, est谩 obligada a nombrar a un DPO, hab铆a puesto fin a la relaci贸n laboral de la DPO con la debida antelaci贸n debido a una medida de reestructuraci贸n. Los tribunales de primera instancia consideraron que la rescisi贸n no era v谩lida porque eran aplicables las disposiciones que regulan la rescisi贸n de la relaci贸n laboral de un DPO con arreglo al art铆culo 38, apartado 2, y al art铆culo 6, apartado 4, segunda frase, de la BDSG, por lo que la relaci贸n laboral s贸lo pod铆a haberse rescindido por 鈥渃ausa justificada鈥, en el sentido de la BDSG y el RGPD.
            • El art铆culo 6 (4) de la BDSG, establece:鈥No se pondr谩 fin a la relaci贸n laboral del responsable de la protecci贸n de datos a menos que existan hechos que den al organismo 鈥. una causa justa para poner fin a la relaci贸n laboral sin previo aviso. […]禄
  • El BAG ten铆a dudas sobre la compatibilidad de esta disposici贸n (art铆culo 6 (4) de la BDSG) con el art铆culo 38, apartado 3, frase 2, del RGPD (芦El responsable del tratamiento o el encargado del tratamiento no podr谩 despedirlo ni sancionarlo por el desempe帽o de sus funciones芦), ya que las disposiciones alemanas imponen requisitos m谩s estrictos al cese del empleo de un DPO que la disposici贸n de la legislaci贸n de la UE. En este contexto, el BAG plante贸 la siguiente pregunta al TJCE*:

芦驴Debe interpretarse el art铆culo 38, apartado 3, segunda frase, [del RGPD] en el sentido de que se opone a una disposici贸n de Derecho nacional, como el art铆culo 38, apartados 1 y 2, en relaci贸n con el art铆culo 6, apartado 4, segunda frase, de la [BDSG], que declara inadmisible la rescisi贸n ordinaria del contrato de trabajo del delegado de protecci贸n de datos por el responsable del tratamiento, que es su empleador, con independencia de que su contrato se rescinda por el desempe帽o de sus funciones?禄.

En sus razonamientos, el TJUE recuerda que el numeral 97 de los considerandos del RGPD establece que 聽聽los delegados de protecci贸n de datos, sean o no empleados del responsable del tratamiento, deben estar en condiciones de desempe帽ar sus funciones y cometidos de manera independiente.聽Y que el l art铆culo 37 del RGPD, titulado 芦Designaci贸n del delegado de protecci贸n de datos禄, tiene el siguiente tenor: 1.- El responsable y el encargado del tratamiento designar谩n un delegado de protecci贸n de datos siempre聽que:聽 a) el tratamiento lo lleve a cabo una autoridad u organismo p煤blico, excepto los tribunales que act煤en en ejercicio de su funci贸n judicial; b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en raz贸n de su naturaleza, alcance y/o fines, requieran una observaci贸n habitual y sistem谩tica de interesados a gran escala,聽o c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categor铆as especiales de datos con arreglo al art铆culo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el art铆culo聽10.聽El art铆culo 38 del RGPD, titulado 芦Posici贸n del delegado de protecci贸n de datos禄, establece, en sus apartados 3聽y聽5: 芦3.聽El responsable y el encargado del tratamiento garantizar谩n que el delegado de protecci贸n de datos no reciba ninguna instrucci贸n en lo que respecta al desempe帽o de dichas funciones. No ser谩 destituido ni sancionado por el responsable o el encargado por desempe帽ar sus funciones. El delegado de protecci贸n de datos rendir谩 cuentas directamente al m谩s alto nivel jer谩rquico del responsable o encargado.[鈥 5. El delegado de protecci贸n de datos estar谩 obligado a mantener el secreto o la confidencialidad en lo que respecta al desempe帽o de sus funciones, de conformidad con el Derecho de la Uni贸n o de los Estados miembros.禄聽El art铆culo 39 del RGPD, titulado 芦Funciones del delegado de protecci贸n de datos禄, dispone, en su apartado 1, letra聽b): 芦El delegado de protecci贸n de datos tendr谩 como m铆nimo las siguientes funciones:鈥, supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protecci贸n de datos de la Uni贸n o de los Estados miembros y de las pol铆ticas del responsable o del encargado del tratamiento en materia de protecci贸n de datos personales, incluida la asignaci贸n de responsabilidades, la concienciaci贸n y formaci贸n del personal que participa en las operaciones de tratamiento, y las auditor铆as correspondientes;…..

Merindades burgalesas
Merindades burgalesas

La respuesta del TJUE a la pregunta del BAG es que la segunda frase del art铆culo 38, apartado 3, del RGPD debe interpretarse en el sentido de que no se opone a una legislaci贸n nacional que establece que un responsable o un encargado del tratamiento puede rescindir el contrato de trabajo de un delegado de protecci贸n de datos, que es miembro de su personal, 煤nicamente con justa causa, aunque la rescisi贸n contractual no est茅 relacionada con el desempe帽o de las tareas de dicho delegado, en la medida en que dicha legislaci贸n no menoscabe la consecuci贸n de los objetivos del RGPD.聽Seg煤n el TJCE, las disposiciones alemanas, en virtud de las cuales la relaci贸n laboral de un DPO s贸lo puede rescindirse por causa justificada, aunque la rescisi贸n no est茅 relacionada con el desempe帽o de sus funciones, en principio no son contrarias al Derecho de la UE. Sin embargo, el DPO debe seguir siendo suficientemente competente para sus actividades. Esto significa que , desde el punto de vista del derecho de la UE en lo relativo al RGPD, el cese debe ser posible incluso si no se cumplen los estrictos requisitos de la aplicaci贸n tradicional de la legislaci贸n alemana de protecci贸n del empleo favorable a los trabajadores.

El TJUE justific贸 su decisi贸n afirmando que el art铆culo 38, apartado 3, frase 2, del RGPD sirve 煤nicamente para proteger la independencia funcional del DPO . En cambio, no tiene por objeto regular la relaci贸n laboral entre un responsable o un encargado del tratamiento y el DPO como su empleado o prestador de servicio externo. Tales relaciones se ven afectadas pero s贸lo incidentalmente, en la medida en que sea estrictamente necesario para lograr los objetivos del RGPD. En cambio, la fijaci贸n de normas sobre la protecci贸n de los DPD/DPO frente a la terminaci贸n de su relaci贸n laboral es fundamentalmente una cuesti贸n de pol铆tica social, 谩mbito en el que los Estados miembros de la UE pueden establecer disposiciones m谩s tuitivas y estrictas que el legislador de la UE, siempre dentro de unos l铆mites. As铆, en cuanto a la compatibilidad de las disposiciones nacionales que protegen al DPO contra el cese de su empleo con el RGPD, el TJUE se帽ala que las disposiciones protectoras no pueden menoscabar los objetivos del RGPD, por ejemplo, no podr铆an impedir la 聽rescisi贸n del contrato de trabajo, del DPP/DPO cuando no posea las cualidades profesionales necesarias para desempe帽ar sus funciones. O cuando no cumpla dichas funciones de conformidad con las disposiciones del RGPD

Queda por ver si los tribunales alemanes, que tienden a ser favorables a los empleados, considerar谩n estos dos casos como 芦causas justas禄 para el despido en futuras decisiones y/o si desarrollar谩n otros casos de causa justa cuando el despido sea necesario para alcanzar los objetivos del RGPD. En cualquier caso, la cuesti贸n de si existe una causa justa para el despido a煤n debe determinarse caso por caso, si bien los efectos de una rescisi贸n sobre las obligaciones derivadas del RGPD desempe帽ar谩n un papel importante a la hora de determinar si existe una causa justa para la rescisi贸n.

Entrada redactada con el apoyo del Proyecto de Investigaci贸n 芦Retribuci贸n de los administradores de sociedades de capital y sostenibilidad a largo plazo de la empresa禄, con el n煤mero de referencia: SBPLY/21/180501/000240 concedido por la Consejer铆a de Educaci贸n, Cultura y Deportes. Junta de Comunidades de Castilla-La Mancha

El mercado de datos como supuesto de aplicaci贸n de las normas antitrust de la UE. A prop贸sito de un acuerdo en materia de acceso a datos en el sector asegurador

Tras la consiguiente investigaci贸n iniciada de oficio por el supervisor europeo de la libre competencia, la Comisi贸n Europea ha llegado a un acuerdo con una asociaci贸n irlandesa de compa帽铆as de seguros que participaba en el mercado de datos compartidos.聽

Antecedentes

Insurance Ireland (II) es una asociaci贸n de empresas聽 que participan en el sector de los seguros en Irlanda. II ofrec铆a a sus asociados un sistema de intercambio de informaci贸n llamado Insurance Link. Este sistema incorporaba informaci贸n 煤til para detectar y combatir el fraude en el mercado irland茅s de los seguros de autom贸viles. A compartirse la informaci贸n del Insurance Link entre los asociados de II, el mecanismo planteaba dudas desde la perspectiva antitrust.

Este comportamiento debe analizarse a la luz de lo dispuesto en el Derecho Europeo de la libre competencia. Concretamente, el聽art铆culo 101 del TFUE y el art铆culo 53 del Acuerdo sobre el Espacio Econ贸mico Europeo proh铆ben los acuerdos anticompetitivos y las decisiones de asociaciones de empresas que impidan, restrinjan o distorsionen la competencia en el mercado 煤nico de la UE.

Dependiendo de su dise帽o, los acuerdos de intercambio de datos pueden contribuir al funcionamiento eficaz de los mercados de seguros e incluso propiciar la libre competencia. Por lo tanto, es importante garantizar que estos acuerdos, incluidas sus condiciones de acceso, se ajusten al ordenamiento. La estrategia europea de datos refleja estos principios. En la hoja de ruta para la evaluaci贸n de impacto de la revisi贸n de las Directrices sobre la aplicabilidad del art铆culo 101 del TFUE a los acuerdos de cooperaci贸n horizontal, la Comisi贸n anunci贸 recientemente su intenci贸n de incluir orientaciones que ayuden a las partes interesadas en la autoevaluaci贸n de los acuerdos de puesta en com煤n y uso compartido de datos.

Las investigaciones y procedimientos de la Comisi贸n Europea

  • En julio de 2017, la Comisi贸n realiz贸 inspecciones sin previo aviso en el mercado de los seguros de autom贸viles en Irlanda. Y, el 14 de mayo de 2019, abri贸 una investigaci贸n formal sobre la conducta de II por una posible infracci贸n del art铆culo 101 del Tratado de Funcionamiento de la Uni贸n Europea (芦TFUE禄).
  • En junio de 2021, la Comisi贸n emiti贸 un pliego de cargos en el que expon铆a sus preocupaciones preliminares. Recu茅rdese que el pliego de cargos representa un paso formal, dentro de los procedimientos de investigaci贸n antitrust de la Comisi贸n Europea. En este documento, la Comisi贸n informa a las partes afectadas de las objeciones planteadas contra los comportamientos que hayan realizado. En este caso, el compartir informaci贸n del Insurance link. Las entidades que reciben el pliego pueden examinar los documentos del expediente de investigaci贸n de la Comisi贸n, responder por escrito y solicitar una audiencia para presentar sus comentarios聽 ante聽 la Comisi贸n y聽 las autoridades nacionales de competencia.
  • Recu茅rdese que el apartado 1 del art铆culo 9 del Reglamento n潞 1/2003 permite a la Comisi贸n finalizar los procedimientos antimonopolio aceptando los compromisos ofrecidos por una asociaci贸n. Una decisi贸n de este tipo no llega a una conclusi贸n sobre si se han infringido,聽 o no, las normas antimonopolio de la UE, sino que se limita a aprobar compromisos de cumplimiento obligatorio para las entidades investigadas obliga legalmente a la asociaci贸n a respetar los compromisos (consultar las Directrices sobre la aplicabilidad del art铆culo 101 del Tratado de Funcionamiento de la Uni贸n Europea a los acuerdos de cooperaci贸n horizontal aqui ). En el asunto que nos ocupa, si聽 II incumpliera los compromisos, la Comisi贸n podr铆a imponer una multa de hasta el 10% del volumen de negocios mundial de la asociaci贸n o de la suma del volumen de negocios de sus miembros activos en el mercado de referencia.

Los compromisos

  • Para responder a las investigaciones de la Comisi贸n, II ofreci贸 algunos compromisos
  • Entre el 4 de marzo y el 4 de abril de 2022, la Comisi贸n someti贸 estos compromisos a una prueba de mercado y consult贸 a los terceros interesados para comprobar si eliminaban los problemas de competencia. La prueba de mercado hizo necesario que II modificase sus compromisos iniciales, para especificar el perfil y el papel del encargado de facilitar acceso a terceros, a los datos de la asociaci贸n II, entre otros.
  • La Comisi贸n consider贸 que los compromisos finales聽 garantizar谩n el acceso de los participantes en el mercado a la plataforma Insurance Link, y decidi贸 hacerlos jur铆dicamente vinculantes para esta asociaci贸n:
    • Hacer que el acceso al sistema de intercambio de informaci贸n Insurance Link sea independiente de la afiliaci贸n a II.
    • Cambiar los criterios de acceso a Insurance Link y hacerlos justos, objetivos, transparentes y no discriminatorios y aplicarlos de manera uniforme a todos los solicitantes, tanto de Irlanda como de otros Estados miembros.
    • Establecer un nuevo procedimiento de solicitud de Insurance Link con un calendario definido que ser谩 gestionado por un funcionario de solicitudes operacionalmente independiente, con un nivel suficiente de antig眉edad y con experiencia en el sector de los seguros adquirida a t铆tulo profesional. Los solicitantes a los que se les deniegue el acceso podr谩n recurrir al Comit茅 de Supervisi贸n, un 贸rgano de apelaci贸n independiente. Establecer un modelo de tarifas basado en el coste y el uso y garantizar que se cobrar谩 una tarifa justa, transparente y no discriminatoria a los usuarios de Insurance Link.
    • Garantizar que los criterios para ser miembro de la asociaci贸n II sean justos, objetivos, transparentes y no discriminatorios.
    • Los compromisos finales estar谩n en vigor durante 10 a帽os. Bajo la supervisi贸n de la Comisi贸n, un administrador se encargar谩 de vigilar la aplicaci贸n y el cumplimiento de los compromisos.

M谩s informaci贸n, incluido el texto completo de la Decisi贸n de la Comisi贸n del art铆culo 9 y la versi贸n completa de los compromisos est谩 disponible en el sitio web de competencia de la Comisi贸n, en el registro p煤blico , con el n煤mero de asunto AT.40511.

Entrada redactada con el apoyo de los siguientes Proyectos:

  • Proyecto de investigaci贸n 鈥Sostenibilidad, digitalizaci贸n e innovaci贸n: nuevos retos en el Derecho del Seguro鈥, de (ref.:聽PID2020-117169GB-I00), financiado por FEDER/Ministerio de Ciencia e Innovaci贸n 鈥 Agencia Estatal de Investigaci贸n

Trasferencia internacional de datos. Nuevas Cl谩usulas est谩ndar (CTT) de la Comisi贸n Europea

Las 聽CCT 聽son cl谩usulas estandarizadas de protecci贸n de datos que han sido aprobadas por la Comisi贸n Europea. Su inclusi贸n en los acuerdos internacionales de transferencia de datos permite a los responsables y a los encargados del tratamiento cumplir con sus obligaciones en virtud del RGPD.

La Comisi贸n Europea adopt贸 dos conjuntos de CCT el 4 de junio de 2022:

Se acompa帽an ambos de una serie de preguntas y respuestas, que la Comisi贸n Europea pone a disposici贸n con 芦fines informativos generales 煤nicamente禄, pero, no obstante, para 芦proporcionar orientaci贸n pr谩ctica sobre el uso de las CCE y ayudar a las partes interesadas en sus esfuerzos de cumplimiento en virtud del RGPD

Dado que el llamado Escudo de Privacidad EE.UU.-UE fue invalidado por la sentencia del Tribunal de Justicia de la Uni贸n Europea (TJUE) de 2020, ECLI:EU:C:2020:559,聽 芦Schrems II禄. 聽, las CCT han sido el principal mecanismo para transferir datos de la UE a los EE.UU., en cumplimiento del RGPD . Las directrices anteriores de las autoridades europeas explicaban que las transferencias en el marco de las CCT son aceptables siempre que los datos personales que se transfieren est茅n sujetos a protecciones 芦esencialmente equivalentes禄 a las que tendr铆an en la UE. Para lograr protecciones 芦esencialmente equivalentes禄, el Supervisor Europeo de Protecci贸n de Datos indica que las partes que transfieren datos que pueden necesitar adoptar salvaguardias adicionales, como la codificaci贸n de los datos antes de la transferencia

Para trasferir datos fuera de la UE, 聽las nuevas CCT crean la obligaci贸n, principalmente para el exportador de datos, de llevar a cabo una 芦evaluaci贸n del impacto de la transferencia禄聽 que implica evaluar el marco jur铆dico de protecci贸n de datos de la jurisdicci贸n de destino que regir谩n los datos que se recibir谩n del controlador en la UE. Al realizar este an谩lisis, se deben considerar las circunstancias espec铆ficas de las transferencias contempladas, incluyendo la categor铆a y el formato de los datos, el tipo de destinatario, el sector econ贸mico en el que se produce la transferencia y la longitud de la cadena de tratamiento. Las orientaciones que acompa帽an ambas Decisiones aclaran los tipos de informaci贸n que deben tenerse en cuenta al realizar una evaluaci贸n del impacto de la transferencia. En concreto, las orientaciones se帽alan que las empresas pueden tener en cuenta

  1. informaci贸n cierta sobre la aplicaci贸n de la legislaci贸n nacional del pa铆s de destino en la pr谩ctica, incluida la jurisprudencia y los informes de organismos de supervisi贸n independientes,
  2. la existencia o ausencia de solicitudes de las autoridades p煤blicas del pa铆s de destino para acceder a los datos en el sector correspondiente y, en determinadas condiciones,
  3. la experiencia pr谩ctica documentada del exportador y/o importador de datos. Cuando haya una evaluaci贸n negativa del impacto de la transferencia, las partes s贸lo podr谩n transferir datos bas谩ndose en las CCT 芦si establecen salvaguardias 芦suplementarias禄 adicionales (por ejemplo, medidas t茅cnicas para garantizar la seguridad de los datos, como el cifrado de extremo a extremo) que aborden la situaci贸n y garanticen as铆 el cumplimiento禄 de las CCT.

PERSPECTIVAS

Aunque el panorama de las transferencias internacionales de datos puede cambiar significativamente en los pr贸ximos meses a partir del reciente anuncio de que EE.UU. y la UE han alcanzado un 芦acuerdo de principio禄 sobre un nuevo marco de transferencia bilateral, no puede obviarse que NOYB, la organizaci贸n de Schrems, ya ha redactado una carta abierta en la que se opone al acuerdo de principio y anima a 芦los negociadores de ambos lados del Atl谩ntico a avanzar en las tan necesarias reformas de la legislaci贸n estadounidense禄. Adem谩s, Schrems 芦est谩 dispuesto a impugnar cualquier decisi贸n final de adecuaci贸n que no proporcione la necesaria seguridad jur铆dica禄. Por lo tanto, es probable que los CCT sigan siendo un mecanismo importante para efectuar transferencias de datos de la UE a los Estados Unidos que cumplan con el Reglamento (UE) General de Protecci贸n de Datos

MAS

Transferencia de datos entre autoridades de supervisi贸n financiera del EEE y de terceros pa铆ses: Dictamen favorable del SEPD sobre el borrador de acuerdo de garant铆as

El Supervisor Europeo de Protecci贸n de Datos, SEPD, emite su Dictamen 4/2019, sobre el proyecto de acuerdo administrativo para la transferencia de datos personales entre las Autoridades de Supervisi贸n Financiera del Espacio Econ贸mico Europeo (芦EEE禄) y las Autoridades de Supervisi贸n Financiera no pertenecientes al EEE (12 de febrero de 2019).

Campus universitario de Le贸n. By M.A D铆az

De acuerdo con el Reglamento General Europeo de Protecci贸n de Datos , los datos personales pueden ser transferidos de un pa铆s del EEE a un tercer pa铆s cuando se ofrezcan las garant铆as adecuadas. Una de las formas de proporcionar las salvaguardas es mediante un acuerdo administrativo entre los poderes p煤blicos. Pues bien, el Dictamen 4/2019 del SEPD , on the draft Administrative Arrangement for the transfer of personal data between European Economic Area (鈥淓EA鈥) Financial Supervisory Authorities and non-EEA Financial Supervisory Authorities de 12 de febrero de 2019 da el visto bueno al borrador de acuerdo administrativo relativo a la trasferencia de datos personales entre autoridades europeas de supervisi贸n financiera (y de las Autoridades Nacionales Competentes) con聽 Autoridades de supervisi贸n de terceros pa铆ses. Este acuerdo ha sido promovido desde ESMA, actuando en un papel de colaboraci贸n y coordinaci贸n con las Autoridades Nacionales Competentes en el EEE.

 

Primavera, by M.A. D铆az

Teniendo en cuenta los compromisos de las autoridades nacionales de terceros Estados, que ratificar谩n mediante la firma de este Acuerdo para poner 芦en vigor las salvaguardias adecuadas para el tratamiento de datos personales en el ejercicio de sus respectivos mandatos y responsabilidades reglamentarios禄 y para 芦actuar de forma coherente con el Acuerdo禄, el SEPD considera que el acuerdo garantiza las salvaguardias precisas cuando los datos personales sean trasferidos a organismos p煤blicos de terceros pa铆ses no cubiertos por una decisi贸n de adecuaci贸n de la Comisi贸n Europea. Eso s铆, el SEPD recuerda que, de acuerdo con el principio de rendici贸n de cuentas, cada ANC y la ESMA mantendr谩n registros de la informaci贸n para facilitar la tarea de supervisi贸n de las autoridades. La informaci贸n deber谩, en cualquier caso, ponerse a disposici贸n de las autoridades competentes, a petici贸n de 茅stas. Por tanto, el SEPD considera, seg煤n se pone de manifiesto en este dict谩men, que el acuerdo garantiza las salvaguardias precisas, incluso cuando los datos personales sean trasferidos a futuros suscriptores del mismo como son los organismos p煤blicos de terceros pa铆ses no cubiertos por una decisi贸n de adecuaci贸n de la Comisi贸n Europea. Y esta opini贸n ya sido acogida positivamente tambi茅n desde fuera de la UE como lo ha manifestado IOSCO que actualmente cuenta con un Acuerdo Marco en virtud del cual se intercambian informaci贸n 121 supervisores聽 y reguladores de valores; que anuncian su intenci贸n de suscribir este acuerdo.

Adem谩s, el SEPD聽 recuerda que, de acuerdo con el principio de rendici贸n de cuentas, cada ANC y la ESMA deber谩n mantener registros de la informaci贸n para facilitar la tarea de supervisi贸n de las autoridades. La informaci贸n deber谩, en cualquier caso, ponerse a disposici贸n de las autoridades competentes, a petici贸n de 茅stas.

Este dictamen, primero de este tipo, permitir谩 el intercambio continuo de informaci贸n sobre el cumplimiento de la normativa financiera y de mercados. Ya ha sido acogido positivamente por ESMA y por organizaciones internacionales como IOSCO, que ya ha anunciado su inter茅s por participar en el Acuerdo liderado por ESMA

Protecci贸n de datos. Reformado el ordenamiento de la UE

Tras un proceso prelegislativo de varios a帽os, publica el DOUE de 4.05.2016 el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de聽27 de abril de 2016 relativo a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales y a la libre circulaci贸n de estos datos y por el que se deroga la Directiva聽95/46/CE (Reglamento general de protecci贸n de datos).聽Se public贸 tambi茅n laDirectiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,聽relativa a la protecci贸n de las personas f铆sicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevenci贸n, investigaci贸n, detecci贸n o enjuiciamiento de infracciones penales o de ejecuci贸n de sanciones penales, y a la libre circulaci贸n de dichos datos y por la que se deroga la Decisi贸n Marco 2008/977/JAI del Consejo. La reforma lleva aparejadas modificaciones en el Reglamento (CE) 聽45/2001 del Parlamento Europeo y del Consejo聽聽sobre聽聽al tratamiento de datos de car谩cter personal por las instituciones, 贸rganos y organismos de la Uni贸n. La entrada aplicaci贸n completa del nuevo r茅gimen se retrasa hasta 2018.

Como fundamento jur铆dico principal de estas normas est谩n el art铆culo聽8, apartado聽1, de la Carta de los Derechos Fundamentales de la Uni贸n Europea y el art铆culo聽16, apartado聽1, del Tratado de Funcionamiento de la Uni贸n Europea (TFUE) establecen que toda persona tiene derecho a la protecci贸n de los datos de car谩cter personal que le conciernan. La protecci贸n de datos presenta perspectivas generales y tambi茅n espec铆ficas en relaci贸n con otros derechos como la libertad de expresi贸n, y religi贸n, de informaci贸n; el derecho a un juicio justo; la libertad de empresa, a la diversidad ling眉铆stica y cultural, entre otros. Adem谩s, el tratamiento automatizado y las nuevas tecnolog铆as TIC se sit煤an en el coraz贸n de las novedades, y es en ese 谩mbito en el que se refuerza especialmente la protecic贸n

Entre otras novedades, la reforma 聽unifica la supervisi贸n para toda la UE; y que se introducen sistemas de protecci贸n de datos en productos y servicios que utilizan datos personales de que son dise帽ados聽(Data protection by design), 聽promueven de seudoanonimizaci贸n y otras para salvaguardar los beneficios de la innovaci贸n en los tratamientos de datos

 

Post Scriptum.-聽L茅ase en comentario del Profesor Pedro Asensio aqu铆 y aqu铆. Tambi茅n Jordi Bacaria para Economist & Jurist