El Grupo de Autoridades europeas de protección de datos, también conocido como Grupo de Trabajo del Artículo 29, ha aprobado varias directrices y documentos de preguntas frecuentes dirigidas a responsables y encargados de tratamiento de datos.
Estas directrices, según informa Carlos Fernández Hernández en el Diario La Ley, hacen referencia al derecho a la portabilidad de datos, los delegados de protección de datos (DPO, por sus siglas en inglés) y los criterios de identificación de la ‘autoridad líder’.
Derecho a la portabilidad de datos
El artículo 20 del RGPD ha creado un nuevo derecho a la portabilidad de los datos, muy relacionado con el derecho de acceso a los propios datos regulado en el art. 15 del Reglamento, pero diferente del mismo en varios aspectos. Este derecho permite a los interesados “recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento”. La finalidad de este nuevo derecho es empoderar al titular de los datos y darle más control sobre los datos personales que le conciernen.
Dado que el derecho a la portabilidad de datos permite la transmisión directa de datos personales de un responsable de tratamiento de datos a otro, se constituye en una herramienta importante para favorecer el libre flujo de datos personales en la UE y fomentar la competencia. Va a facilitar el cambio entre diferentes proveedores de servicios, y por ello favorecer el desarrollo de nuevos servicios en el contexto de la estrategia del mercado único digital.
Esta guía del Grupo de Trabajo del artículo 29 pretende ofrecer una orientación sobre la manera de interpretar y aplicar el derecho a la portabilidad de los datos, conforme con el RGPD. En ella se aclaran las condiciones de aplicación de este nuevo derecho conforme a la nueva normativa (desde la necesidad de consentimiento del titular a la de formalizar un contrato).
El documento proporciona también ejemplos y criterios concretos para explicar las circunstancias en las que se aplica este derecho. A este respecto debe destacarse que el Grupo de Trabajo considera que el derecho a la portabilidad de datos cubre tanto los datos proporcionados a sabiendas y activamente por su titular como los datos personales generados por su actividad. Es decir, que este nuevo derecho no puede considerarse limitado a la información personal comunicada directamente por una persona titular de los datos, por ejemplo mediante un formulario en línea.
Además, el Grupo de Trabajo considera como buena práctica, que los responsables del tratamiento de datos comiencen a desarrollar los medios técnicos necesarios para atender las solicitudes de portabilidad de datos, a través de las necesarias herramientas de descarga y las interfaces de usuario (API) apropiadas.
Estas aplicaciones deberán garantizar además que los datos personales se transmitan en un formato estructurado, de uso común y lectura mecánica, asegurando la interoperabilidad del formato de datos proporcionado
El documento pretende ayudar también a los responsables de los datos a comprender claramente sus obligaciones, recomendando las mejores prácticas y herramientas para facilitar el ejercicio del derecho de los titulares de los datos.
Por último, el dictamen recomienda que las partes interesadas trabajen conjuntamente en el desarrollo de un conjunto de normas comunes y formatos interoperables para cumplir con los requisitos exigidos para el ejercicio de este derecho a la portabilidad de los datos.
Delegados de Protección de Datos (Data Protection Officer – DPO)
El Grupo de Trabajo destaca que la figura del DPO, regulado en los arts. 37 a 39 del Reglamento Europeo, va a ser central para la política de protección de datos de muchas organizaciones, facilitando el cumplimiento de lo dispuesto por el RGPD.
De acuerdo con el Reglamento, la existencia de un DPO será obligada para determinadas entidades que gestionen o traten datos personales, como autoridades y organismos públicos (excepto los tribunales), así como otras entidades cuya actividad principal consista en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o en el tratamiento a gran escala de categorías especiales de datos personales, con arreglo al artículo 9, y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
En aquellos casos para los que no sea obligatoria esta figura, también se considera recomendable su presencia, algo a lo que anima el Grupo de Trabajo.
Estas recomendaciones hechas públicas hoy se refieren a la designación del DPO, su posición dentro de la entidad en la que se inserte y sus tareas.
En cuanto al primer aspecto destaca una primera previsión sobre los conocimientos y cualificación (expertise and skills) exigibles para el desempeño del puesto.
En cuanto a su posición en la empresa, destaca la necesidad de que cuente con los medios apropiados para cumplir su misión, a la necesidad de independencia dentro de la organización y a los conflictos de intereses en los que puede verse envuelto.
Por último, en cuanto a sus tareas, se destaca su papel de prevenir los riesgos de incumplimiento en materia de protección de datos, por lo que debe asegurarse de que la entidad cumple lo dispuesto por el RGPD.
Identificación de la “autoridad líder”
Por lo que se refiere a los principios para la identificación de la “autoridad líder” (Guidelines for identifying a controller or processor’s lead supervisory authority), el documento del Grupo de Trabajo del Artículo 29 señala que la identificación de esta figura solo es necesaria cuando se produce un tratamiento transfronterizo de datos (situación por la que el art. 4.23 del Reglamento, entiende “a) el tratamiento de datos personales realizado en el contexto de las actividades de establecimientos en más de un Estado miembro de un responsable o un encargado del tratamiento en la Unión, si el responsable o el encargado está establecido en más de un Estado miembro, o b) el tratamiento de datos personales realizado en el contexto de las actividades de un único establecimiento de un responsable o un encargado del tratamiento en la Unión, pero que afecta sustancialmente o es probable que afecte sustancialmente a interesados en más de un Estado miembro.”
Esta guía pretende identificar lo que se entiende por “afectar sustancialmente” en más de un Estado miembro, a fin de asegurar que no toda actividad de proceso de datos que se realice en el contexto de actividades de un único establecimiento, entre dentro de la definición de “tratamiento transfronterizo”. Por ello se requiere un análisis caso por caso, teniendo en cuenta el contexto del tratamiento, el tipo de datos tratados, el objeto del proceso y otro tipo de factores como si dicho tratamiento es susceptible de provocar daños a las personas; si puede limitar el derecho de las personas, o si puede afectar a la salud, calidad de vida o tranquilidad de las mismas.
En este contexto, se entiende por "autoridad supervisora principal" la autoridad que ostenta la responsabilidad principal en relación con un tratamiento transfronterizo de datos, por ejemplo, cuando una persona presenta una queja sobre el tratamiento de sus datos personales.
Esta autoridad principal de supervisión coordinará cualquier investigación, que implique a otras autoridades de supervisión "interesadas" y su identificación depende de la determinación de la localización del “establecimiento principal” o del “establecimiento único” en la UE.
Aplicación del acuerdo “Privacy Shield”
Respecto a la aplicación del acuerdo “Privacy Shield” suscrito por el Departamento de Comercia de los EEUU y la Comisión Europea, para proporcionar a las compañías de ambos lados del Atlántico un mecanismo que les permita el cumplimiento de la normativa europea sobre protección de datos en materia de transferencia intercontinental de datos, en sustitución del anterior acuerdo Safe Harbour, el G 29 ha adoptado herramientas de comunicación específicas para particulares y empresas. Éstas serán publicadas en la página web de las Autoridades y podrán ser utilizadas por cada autoridad nacional como base para su propia comunicación.
Asimismo, las Autoridades confirman que asumirán el papel del "órgano centralizado de la UE", encargado de canalizar las solicitudes de reclamación relativas a los accesos por razones de seguridad nacional a datos transferidos a EEUU con fines comerciales, que se den en el marco del mecanismo del ‘Privacy Shield’.
Finalmente, el Grupo ha confirmado el restablecimiento del llamado “Subgrupo de Enforcement”, que coordina las acciones de supervisión y cumplimiento que efectúan las Autoridades de protección de datos en los casos transfronterizos. Este subgrupo ha aprobado la carta que remitirá a WhatsApp siguiendo el procedimiento de investigación iniciado por las Autoridades en octubre de 2016. La Agencia Española de Protección de Datos y la Autoridad holandesa coordinarán este subgrupo.