La Agencia Española de Protección de Datos (“AEPD”) ha publicado recientemente un informe en el que analiza la incidencia que el nuevo Reglamento General de Protección de Datos (“RGPD”), aprobado por el Parlamento Europeo, y el proyecto de LOPD –actualmente en tramitación– tendrán en el ámbito de la investigación biomédica. Dicho informe ha venido motivado por la preocupación mostrada por la comunidad científica de que estas nuevas normas puedan exigir a partir de ahora que los pacientes deban prestar su consentimiento de modo específico para cada concreta investigación en la que participen.

Interpretación flexible

En opinión de la AEPD, el RGPD y el proyecto de LOPD no sólo modifican el régimen contenido tanto en la mencionada Ley de investigación biomédica como en el RD 1090/2015 sobre ensayos clínicos con medicamentos, sino que permiten realizar una interpretación más flexible del alcance que puede darse al consentimiento prestado de conformidad con la misma, superando incluso la interpretación más restrictiva de la Ley de Investigación Biomédica.

Consentimiento “específico e inequívoco”

Considera la AEPD que a partir de la aplicación del RGPD no será necesario que la persona preste su consentimiento para cada investigación concreta; ni siquiera para la realización de investigaciones en una rama muy delimitada como, por ejemplo, un determinado tipo de cáncer. Por el contrario, teniendo en cuenta la interpretación derivada directamente del RGPD, será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación como, por ejemplo, la investigación oncológica, o incluso para ámbitos más extensos.

Asimismo, en el informe emitido por la AEPD se aprovecha para recordar que la Ley 14/2007 también contempla la posibilidad de realizar investigaciones sin contar con el consentimiento de los pacientes, cuando tales investigaciones sean de interés general y hayan sido autorizadas por un Comité de Ética de la Investigación, previa verificación del cumplimiento de unas condiciones previstas en dicha Ley.

A partir de ahora habrá que ver si la doctrina sentada por la AEPD con este informe es seguida por los Comités Éticos cuando autoricen las investigaciones.

La entrada Las nuevas normas sobre protección de datos facilitan la investigación biomédica aparece primero en Faus Moliner.

Uno de los usos principales del Big Data es el establecimiento de correlaciones y elaboración de patrones o perfiles de consumidores (profiling). Tiene especial interés en innumerables sectores en los que se lleva a cabo la venta por internet, e incluso en la venta presencial, a través de las llamadas “tarjetas de fidelización”, que permiten conocer los hábitos de compra de un ingente número de consumidores. El Big Data también es una herramienta eficaz en sectores como el sanitario, donde existen ya muchos ejemplos de su eficacia, por ejemplo para reducir los tiempos de ingresos hospitalarios, o para predecir futuras enfermedades y riesgos sanitarios.

Pese a las grandes ventajas que puede comportar, el Big Data también plantea evidentes riesgos cuando se contienen datos personales. Piénsese, por ejemplo, en el uso indiscriminado de tales datos sin preservarse adecuadamente la privacidad de las personas, o sin adoptarse las medidas de índole jurídica, organizativa o técnica que resulten precisas. El Código da unas pautas de actuación para minimizar o eliminar dichos riesgos en tales proyectos, en línea con lo dispuesto en el nuevo Reglamento Europeo de Protección de Datos, que será aplicable en Mayo de 2018.

Principios básicos

El Código recomienda considerar la privacidad desde el diseño (Privacy by Design), con el objetivo de asegurar que las garantías de protección de datos se incorporan ya desde la fase inicial de planificación del proyecto. Asimismo, promueve la autorregulación por parte de las empresas que gestionen proyectos de Big Data, mediante la elaboración de códigos de conducta en la materia (Accountability). También exige la realización de evaluaciones de impacto para valorar los posibles riesgos, entre otros, en aquellos casos en los que se manejen datos relativos a la salud.

Aspectos legales y técnicos

Sobre la base de los riesgos que originan estos tratamientos para la privacidad de las personas, el Código identifica aquellos aspectos que deben ser abordados para que los proyectos de Big Data sean conformes a la normativa sobre protección de datos. Por una parte, trata los aspectos legales más relevantes a considerar, como la transparencia en la información previa facilitada a los afectados, o la obtención del consentimiento y el ejercicio de derechos por dichos afectados, o qué sucede con usos posteriores, no previstos cuando se obtuvo el consentimiento informado. Por otra parte, el Código revisa las diferentes cuestiones técnicas y de seguridad a tener en cuenta en estos proyectos. En concreto, identifica las estrategias de privacidad más usuales: anonimización, cifrado, control de acceso y trazabilidad.

La entrada Publicado el Código de Buenas Prácticas en protección de datos para proyectos de “Big Data” aparece primero en Faus Moliner.

En el año 2007 el administrador de una inmobiliaria italiana demandó a la Cámara de Comercio de su localidad. Consideraba que los inmuebles que había construido no se vendían porque en el registro de sociedades constaba que había sido administrador de otra sociedad, declarada en concurso de acreedores en 1992 y liquidada en 2005. El tribunal que conoció en primer lugar del asunto le dio la razón al administrador y exigió a la Cámara de Comercio que hiciera anónimos los datos que le vinculaban con la sociedad liquidada, y que lo indemnizara por los perjuicios causados. Disconforme con dicha decisión, la Cámara de Comercio recurrió hasta el Tribunal Supremo, quien planteó diversas cuestiones prejudiciales ante el Tribunal de Justicia de la Unión Europea (TJUE). En síntesis, se preguntaba al TJUE si la Directiva 95/46/CE sobre protección de datos personales se opone a que cualquier persona pueda acceder, de forma ilimitada en el tiempo, a los datos relativos a las personas físicas que figuran inscritos en el registro mercantil.

Publicidad registral vs. intimidad

El TJUE recuerda que la publicidad del registro mercantil busca proteger los intereses de terceros en sus relaciones con las sociedades. Dado que las sociedades sólo responden frente a terceros con su patrimonio, pueden producirse situaciones en las que sea necesario disponer de los datos personales de sus representantes –administradores y apoderados- que consten en dicho registro, incluso muchos años después de que la compañía se haya liquidado (por ejemplo, para exigirles cualquier responsabilidad). Según el TJUE, esta injerencia en el derecho a la protección de los datos personales no es desproporcionada en la medida en que (i) en el registro mercantil sólo está inscrito un número limitado de datos personales de dichos representantes (su identidad y funciones dentro de la misma), y (ii) las personas que deciden voluntariamente representar a la compañía están obligadas a hacer públicos tales datos personales.

Análisis caso por caso

No obstante, el TJUE no excluye que, en situaciones concretas, haya razones legítimas que puedan justificar, excepcionalmente, que el acceso a los datos personales obrantes en el registro se limite, una vez haya expirado un plazo suficientemente largo tras la liquidación de la sociedad de que se trate, y sólo se permita a terceros que justifiquen un interés específico en su consulta. A juicio de dicho tribunal, tal limitación del acceso a los datos personales deberá realizarse caso por caso, e incumbirá a cada Estado Miembro decidir si desea o no establecer esta limitación del acceso.

En el caso concreto resuelto por el TJUE, se considera que las razones esgrimidas por el administrador italiano no son suficientes para justificar una limitación en el acceso por parte de terceros a los datos de dicho administrador inscritos en el registro mercantil.

La entrada Datos personales inscritos en el Registro Mercantil y “derecho al olvido”, un equilibrio difícil aparece primero en Faus Moliner.

Tanto la Ley Orgánica 15/1999 como el Real Decreto 1720/2007 contienen muchas previsiones similares a las que establece el RGPD. Las empresas que en la actualidad cumplan con tales previsiones tienen ya una buena base de partida para cumplir con el RGPD. Aun así, el RGPD incorpora diversas novedades a las que las empresas deberán en todo caso adaptarse. La AEPD ha publicado recientemente diversas guías y directrices para ayudar a las empresas en dicha labor de adaptación.

Consentimiento informado

Con el RGPD para tratar datos personales será siempre preciso contar con el consentimiento inequívoco del interesado. Dicho consentimiento deberá haberse prestado mediante una manifestación o una clara acción afirmativa de dicho interesado. Ya no se admitirán, como hasta ahora, formas de consentimiento tácito o por omisión. Aquellos tratamientos iniciados con anterioridad a la aplicación del RGPD seguirán siendo válidos sólo en la medida en que hayan sido consentidos de forma explícita. Asimismo, entre otras novedades, el RGPD también exige un mayor nivel de información a facilitar a los interesados, sobre todo en lo relativo a la base jurídica que habilite para el tratamiento de sus datos personales, así como en el alcance de los derechos conferidos a dichos interesados. Ello implicará la revisión, no sólo de los consentimientos informados habitualmente empleados, sino también las cláusulas que a este respecto se incluyen en los contratos y las políticas de privacidad.

Responsables / encargados del tratamiento

Al igual que hasta ahora, las relaciones entre el responsable y el encargado del tratamiento deberán formalizarse en un contrato, si bien ahora el RGPD regula de forma más minuciosa su contenido mínimo. El responsable tendrá, además, que adoptar medidas apropiadas para garantizar que dicho encargado podrá llevar a cabo el tratamiento de acuerdo con el RGPD.

Es recomendable, pues, que aquellas empresas que traten datos personales no esperen hasta Mayo de 2018 y se adapten al RGPD lo antes posible. Dicho proceso de adaptación sin duda requerirá tomar decisiones y adoptar medidas que precisan de un plazo prudencial para su puesta en práctica. Especial cuidado se requerirá sobre todo en aquellos casos en que se manejen datos sensibles, como por ejemplo los datos relativos a la salud de las personas.

La entrada Cuenta atrás para la adaptación al nuevo marco europeo sobre protección de datos personales aparece primero en Faus Moliner.

La Ley 19/2013 de transparencia, acceso a la información pública y buen gobierno, como es sabido, dispone que las solicitudes de acceso a información en poder de las Administraciones Públicas podrán limitarse cuando dicha información contenga datos de carácter personal.

Con el objetivo de hacer compatibles los principios de transparencia y acceso a la información pública con el derecho fundamental a la protección de los datos de carácter personal, la Agencia Española de Protección de Datos (AEPD) publicó el pasado 13 de octubre dos documentos con instrucciones sobre cómo reutilizar la información generada por el sector público y sobre cómo anonimizar los datos personales contenidos en la misma.

Orientaciones de la AEPD

La AEPD, a través de dichos documentos, propone una serie de medidas a fin de que las Administraciones Públicas puedan proporcionar a los particulares la información que obra en su poder -lo que se conoce como “reutilización de la información pública”- respetando al mismo tiempo las garantías en materia de protección de datos de carácter personal.

En particular, los documentos incluyen instrucciones muy detalladas sobre cómo llevar a cabo la anonimización de la información pública, de modo que se minimicen los riesgos de que la información solicitada por los administrados permita identificar a las personas físicas a las que pueda referirse dicha información. En este sentido, aquel administrado a quien se le haya denegado el acceso a una información sobre la base de que la misma contiene datos personales, podrá requerir a la Administración Pública responsable que lleve a cabo un proceso de anonimización de la información de acuerdo con las Orientaciones de la AEPD.

Anonimizar no es lo mismo que reelaborar

Estas orientaciones llegan además en un momento en el que el margen de discrecionalidad del que disponen las Administraciones Públicas para denegar el acceso a la información pública se ve cada vez más restringido. Prueba de ello es la resolución de 23 de septiembre de 2016 del Consejo de Transparencia y Buen Gobierno, en la que este organismo considera incorrecta una decisión del Ministerio de Fomento que había denegado el acceso al expediente de una obra apoyándose en que para ello tendría que reelaborar dicha información.

La necesidad de reelaborar la información solicitada constituye efectivamente un motivo válido para denegar el acceso a la misma. El Consejo de Transparencia y Buen Gobierno, sin embargo, no da por buena esta argumentación, ya que el Ministerio de Fomento se había limitado a invocar esta excepción al derecho de acceso a la información pública, sin justificar los motivos por los que la reelaboración de la información solicitada resultaba necesaria. En este sentido, el Consejo de Transparencia y Buen Gobierno destaca que el hecho de que la información solicitada deba ser previamente anonimizada no implica que esté siendo sometida a un proceso de reelaboración, y que, por tanto, el acceso a la misma pueda ser denegado por este motivo.

La entrada Acceso a la información pública y protección de datos personales aparece primero en Faus Moliner.

Adecuado nivel de protección

El TJUE consideró que la Comisión no había comprobado si EEUU garantizaba que las empresas afectadas efectivamente otorgaran un nivel de protección sustancialmente equivalente al exigible en la Unión Europea, motivo por el cual declaró inválido dicho Acuerdo.

El Escudo de la Privacidad o “Privacy Shield”, adoptado por la Comisión de común acuerdo con los EEUU, sustituye al Acuerdo de Puerto Seguro, exigiendo unas más rigurosas obligaciones a las empresas estadounidenses, a fin de garantizar este adecuado nivel de protección para los datos personales transferidos a EEUU Para asegurar dicho cumplimiento, el Escudo de la Privacidad prevé diversas medidas.

Medidas para asegurar el cumplimiento

En primer lugar, el Departamento de Comercio de EEUU efectuará controles periódicos sobre las empresas estadounidenses que reciban datos personales y se hayan adherido al Escudo de la Privacidad, con el fin de garantizar que sigan las normas que ellas mismas han suscrito. Si no cumplen, podrán ser sancionadas e incluso retiradas de la lista.

En segundo lugar, el acceso a datos personales por la administración estadounidense estará sujeto a limitaciones, salvaguardias y mecanismos de supervisión claros. Ya no habrá una vigilancia masiva indiscriminada de datos.

En tercer lugar, cualquier ciudadano europeo que considere que sus datos han sido utilizados indebidamente dispondrá de varias vías de reclamación: (i) directamente ante la propia empresa infractora; (ii) ante la autoridad nacional de protección de datos de su país (la cual colaborará con la Comisión Federal de Comercio para garantizar que dicha reclamación se investigue y resuelva); o (iii) a través de alguno de los mecanismos gratuitos de resolución alternativa de litigios al que se haya adherido la empresa infractora. Ésta deberá especificar en su política de privacidad cuál es el mecanismo elegido y ofrecer un enlace a la página web de dicho organismo.

Si la reclamación no se resuelve por ninguna de las anteriores vías, se prevé un mecanismo de arbitraje ante el llamado “Privacy Shield Panel”.

La entrada Entra en vigor el “Escudo de la Privacidad”: más protección para las transferencias de datos personales desde la Unión Europea a los EEUU aparece primero en Faus Moliner.

En nuestro CAPSULAS 130 de Noviembre de 2011 comentamos la Sentencia del Tribunal de Justicia de la Unión Europea (TJUE), de 24 de noviembre 2011, relativa a la posibilidad de que la normativa nacional prevea que, para que se puedan tratar datos personales sin necesidad de recabar el consentimiento del afectado, se deban cumplir condiciones o requisitos adicionales no previstos en la normativa comunitaria.

La sentencia del TJUE fue dictada en respuesta a una cuestión prejudicial planteada por el Tribunal Supremo (TS) con carácter previo a dictar la Sentencia que analizaremos a continuación.

Decisión del Tribunal Supremo

La cuestión objeto de examen por el TS es si los apartados a) y b) del artículo 10.2 del Real Decreto (RD) 1720/2007, por el que se aprobó el Reglamento de la Ley Orgánica de Protección de Datos Personales, son conformes a Derecho o no porque los requisitos que se contemplan en dicha norma para legitimar el tratamiento de datos personales exceden de los previstos en la normativa comunitaria. La regla general para el legítimo tratamiento de datos personales es contar con consentimiento previo del afectado. No obstante, los apartados a) y b) del artículo 10.2 del RD 1720/2007, contemplan las excepciones a dicha regla general siendo válido el tratamiento de datos personales aun sin contar con el consentimiento del afectado cuando:

• lo autorice una norma con rango de ley o una norma de derecho comunitario;

• tenga por objeto satisfacer un interés legítimo del responsable del tratamiento amparado por una norma con rango de ley o una norma de derecho comunitario, salvo que prevalezca el interés o los derechos y libertades fundamentales de los interesados;

• sea necesario para que el responsable del tratamiento cumpla un deber que le imponga una norma con rango de ley o una norma de derecho comunitario;

• los datos objeto de tratamiento figuren en fuentes accesibles al público y el responsable del tratamiento tenga un interés legítimo para su tratamiento, siempre que no se vulneren los derechos y libertades fundamentales del interesado.

El TS recogiendo la doctrina del TJUE considera que no hay dudas de que la exigencia por la norma española de que los datos personales figuren en fuentes accesibles al público es un requisito que no se contempla por la normativa comunitaria, por lo que la norma que la recoge es contraria a derecho. En consecuencia, para el legítimo tratamiento de datos personales sin el consentimiento previo del interesado, basta que el tratamiento satisfaga a un interés legítimo del responsable y que no se vulneren los derechos y libertades fundamentales del interesado.

La entrada Tratamiento de datos personales sin consentimiento del afectado cuando existe un interés legítimo para hacerlo aparece primero en Faus Moliner.

El Tribunal de Justicia de la Unión Europea (TJUE) dio a conocer el 24 de Noviembre su decisión sobre varias cuestiones prejudiciales relativas a la normativa española sobre protección de datos de carácter personal. La sentencia aborda un tema delicado: las condiciones necesarias para que una compañía pueda tratar estos datos sin necesidad de recabar el consentimiento de su titular.

La Asociación Nacional de Establecimientos Financieros de Crédito y la Federación de Comercio Electrónico y Marketing Directo decidieron llevar ante los tribunales la normativa que incorporó a nuestro ordenamiento la regulación sobre datos personales contenida en la Directiva 95/46/CE. Entendían que resultaba incompatible con el Derecho Comunitario al establecer requisitos adicionales, que no estaban previstos en la directiva, para poder tratar datos personales sin el consentimiento del titular.

Efectivamente, en tanto que la Directiva permite este tratamiento siempre que (a) no sean datos especialmente protegidos (b) que resulte necesario para satisfacer un interés legítimo del responsable del tratamiento, (c) que no se lesionen derechos fundamentales del titular de los datos, la normativa española, añadía que era preciso además que los datos figurasen previamente en una fuente accesible al público. Llegado el asunto ante el TS, éste decidió suspender la tramitación y elevar una cuestión prejudicial al TJUE.

Conclusiones del TJUE

El TJUE entendió que la Directiva lleva a cabo una armonización exhaustiva de la materia, y otorga un derecho incondicional y preciso a tratar este tipo de datos sin consentimiento de su titular en los términos contemplados en la propia Directiva. EL TJUE concluyó, por tanto, que una norma nacional que imponga requisitos adicionales es incompatible con el Derecho comunitario.

No es un caso aislado

La sentencia del TJUE es una poderosa llamada de atención frente a la tentación de usar las normas internas para ir más allá de los límites marcados por el legislador comunitario. Y es que este tipo de excesos no son infrecuentes. Hace pocos días se publicaba una circular de la AEMPS en la que se insiste en la idea de que para poder cesar en la comercialización de un medicamento deberá solicitarse la autorización de este organismo y exponer detalladamente los motivos del cese. Tal exigencia entra en conflicto con el Derecho Comunitario que confiere un derecho incondicional y preciso a cesar en la comercialización mediante una simple notificación a las autoridades con al menos dos meses de antelación, y, por otra parte, tan sólo exige que se informe de los datos relativos al volumen de ventas y prescripciones del producto. No estaría de más, pues, que las autoridades españolas revisasen su posición en este asunto antes de que alguien termine llevando el asunto ante el TJUE.

La entrada No cabe imponer requisitos adicionales en materias que han sido totalmente armonizadas por la Unión Europea aparece primero en Faus Moliner.