La primera gran novedad que traerá el Reglamento Europeo de Protección de Datos, que no por obvia deja de ser importante, es que se trata de un Reglamento y no de una Directiva, y por lo tanto será de aplicación directa en los Estados miembros de la UE sin necesidad de ser transpuesto al ordenamiento jurídico de cada uno de estos Estados por medio de la aprobación de leyes nacionales al efecto.
Esto conlleva asimismo que, con carácter general, todos los países de la Unión Europea se moverán bajo un mismo texto allí donde antes, aunque no fueran excesivamente significativas, existían algunas diferencias entre las distintas legislaciones nacionales de protección de datos de carácter personal. No obstante, entiendo que, en lo no regulado por el Reglamento, así como en aquellas zonas en que éste deja alternativas, entrará en juego la normativa nacional de cada Estado miembro.
Aparte de ello, aunque hay muchas más, destaco aquí las siguientes novedades que trae el Reglamento:
1.- Se mencionan expresamente nuevos principios aplicables a la protección de datos.
El art. 5.1 a) hace referencia al principio de transparencia en el tratamiento de los datos de carácter personal, que en mi opinión obedece al derecho que tiene el titular de los datos a estar informado de manera clara e inequívoca sobre dicho tratamiento. No puede existir opacidad alguna, de modo que el afectado debe conocer en todo momento quién, cómo y para qué está tratando sus datos personales, así como qué datos exactamente están siendo tratados e incidencias que se produzcan sobre los mismos. Esto se traduce, además, en un incremento de la información que el responsable del fichero debe facilitar al titular de los datos con carácter previo al momento de obtener sus datos personales o al momento de aplicar los ya recabados a una nueva finalidad.
Tenemos también mención expresa al principio de responsabilidad (accountability), en el art. 5.2, desarrollado en el art. 22, que impone al responsable del fichero estar en condiciones de demostrar que cumple los principios aplicables a la protección de datos de carácter personal.
2.- Consentimiento de los menores de edad en relación con los servicios de la sociedad de la información.
Es curioso que, puestos a regular el consentimiento de los menores de edad, el Reglamento lo haga en relación con el tratamiento de sus datos por parte de los prestadores de servicios de la sociedad de la información, pero, efectivamente, el art. 8 exige, con carácter general, que cuando un servicio de la sociedad de la información (que parto de que ha de ser entendido en sentido amplio -no sólo las redes sociales-) se dirija a un menor de edad y precise el tratamiento de sus datos de carácter personal será necesario el consentimiento de sus padres o tutores si dicho menor tiene menos de 16 años, o menos de los años que la ley nacional de cada Estado miembro tenga previsto al efecto, la cual no podrá ser inferior a los 13 años.
Sin embargo, el apartado 2 de dicho artículo 8 dispone que lo anterior no afectará al Derecho contractual general de los Estados miembros en relación con las normas sobre la validez, la formación o el efecto de un contrato celebrado por un menor de edad. Ahora bien, ¿quiere esto decir que si el Derecho nacional entiende válidos los contratos, o determinados contratos celebrados directamente por menores de 16 años no será preciso el consentimiento paterno para el tratamiento de sus datos? ¿O quiere decir que el contrato tendrá validez pero los datos sólo pueden tratarse, en cualquier caso, previo el consentimiento paterno? Se me antoja un tanto ridículo que el menor pueda otorgar consentimiento por sí solo para que el contrato sea válido y despliegue sus efectos, pero no para el tratamiento de sus datos personales sin los cuales no podría llevarse a cabo ni ejecutarse el contrato.
3.- Nuevas categorías especiales de datos personales.
A las ya existentes hasta ahora (el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, datos relativos a la salud o a la sexualidad, y las infracciones o condenas), se añaden los datos genéticos y los datos biométricos, cuyo tratamiento, en consecuencia, pasa a estar prohibido, con carácter general, en este caso siempre que se lleve a cabo con el fin de identificar de forma única una persona.
En este sentido, será interesante ver cómo se perfila el encaje del tratamiento de los datos biométricos en el entorno laboral en virtud de la excepción prevista en el apartado 2.b) del art. 9 del Reglamento (cuando el tratamiento es necesario para la realización de derechos y en el ámbito laboral), y cómo se aplica, a este respecto, el principio de proporcionalidad ahora que estos datos son considerados como merecedores de especial protección.
4.- Derecho a la portabilidad de los datos.
Se añade un nuevo derecho para los titulares de los datos personales, que es el de la portabilidad de sus datos, previsto en el art. 18 y con base al cual el interesado tiene derecho a recibir sus datos personales que haya proporcionado a un responsable, en un formato legible estructurado y de uso común, así como tiene derecho a que esos datos se transmitan directamente de responsable (anterior) a responsable (nuevo) cuando ello sea técnicamente posible.
Habrá que ver dónde está el límite de la información personal que será objeto de portabilidad, ya que hay datos que se generan en virtud del tratamiento de los datos directamente proporcionados por el interesado o recabados de él, pero que a su vez es información sobre la cual el responsable puede tener cierto interés en que no se comparta o revele, o para cuya obtención ha empleado esfuerzos que pasarían a ser aprovechados por el nuevo responsable.
Igualmente, respecto a este nuevo derecho, es posible que existan, sobre todo al principio de su entrada en vigor, dificultades técnicas en relación con los formatos en los que deban ser facilitados los datos objeto de portabilidad.
5.- Se elimina la obligación de inscribir los ficheros, pero habrá de aplicarse la protección de datos por diseño y por defecto así como evaluaciones de impacto antes de determinados tratamientos de datos.
De forma estrechamente relacionada con el principio de responsabilidad, se suprime la exigencia de notificar a la autoridad nacional correspondiente los ficheros de datos personales pero se incide en la necesidad de que todo aquel que trate datos de carácter personal aplique, por defecto y desde que empiece a idear el sistema de tratamiento, las medidas técnicas y organizativas, apropiadas en función del riesgo que implique ese tratamiento, que sean necesarias para asegurar que en todo momento se cumple con la normativa sobre protección de datos.
Esta exigencia deriva en la necesidad de realizar, con carácter previo, evaluaciones de impacto ante tratamientos de datos personales que puedan suponer un alto riesgo para los derechos y libertades de las personas, así como, en su caso, de efectuar consulta previa a la autoridad de control.
6.- Se crea la figura del Delegado de Protección de Datos.
O DPO, por sus siglas en inglés (Data Protection Officer), figura que será obligatoria para las administraciones públicas (excepto la administración judicial en el desempeño de su función judicial), para aquellas entidades cuya actividad principal requiera una monitorización sistemática y regular de datos personales de interesados a gran escala y para aquellas entidades cuya actividad principal suponga el tratamiento a gran escala de categorías especiales de datos (ya veremos qué se entiende por “gran escala”).
El DPO, en resumen, será la persona encargada de informar a la entidad o responsable del fichero sobre sus obligaciones legales en materia de protección de datos de carácter personal, así como de velar por que se sigan las normas (internas y externas) al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.
Existen otras, pero éstas son, a mi juicio, algunas de las novedades más relevantes que traerá el Reglamento Europeo de Protección de Datos. Sobre el llamado derecho al olvido no considero que exista novedad alguna, más allá de que queda mencionado como tal expresamente en el Reglamento, ya que consiste en el derecho de oposición, que ya existía con anterioridad. Y sí me parece destacable el esfuerzo que percibo en esta normativa para fomentar la auto imposición de responsabilidad en todo tratamiento de datos personales.