Autor: Juan Francisco Rodríguez Ayuso, Profesor Ayudante Doctor, Coordinador Académico del Máster Universitario en Protección de Datos, Universidad Internacional de La Rioja. Correo electrónico: juanfrancisco.rodriguez@unir.net. ORCID iD: https://orcid.org/0000-0003-4721-1465
1. El artículo quinto del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD o Reglamento general de protección de datos) se titula Principios relativos al tratamiento, determinándose en él, al igual que en el Título II de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), la regulación concreta en relación con el tratamiento de los datos personales y las exigencias que necesariamente tienen que cumplirse para satisfacerlos, toda vez que tradicionalmente han configurado el sustrato fundamental del derecho a la protección de datos y el sistema de tutela que hace posible, merced a su carácter coactivo, un empleo más adecuado y conveniente de los datos personales. La redacción que ha buscado el legislador para la regulación de los principios que informan la nueva normativa tiene fundamentalmente un carácter continuista respecto de aquella que se contenía en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, DPDP), y, específicamente, con la contenida en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD), que transponía la citada Directiva.
En concreto, en la exposición de motivos del propio Reglamento, el legislador comunitario parte de la afirmación de que los principios relativos a la protección de datos deben aplicarse a toda la información relativa a una persona física identificada o identificable, para, a renglón seguido, reproducir, en la práctica totalidad, los valores que conformaban el principio de calidad a que hacía referencia el artículo 4 de la precitada LOPD. Si antes se indicaba que la recogida y el tratamiento de datos personales sólo se permitía cuando estos eran pertinentes, lógicos y no excesivos en relación a unas finalidades concretas, explícitas y legítimas para las que se habían obtenido los mismos, en el momento actual, dichos valores se matizan, postulando que los datos personales deberán ser tratados de manera “lícita, leal y transparente” [letra a) del artículo 5.1 RGPD].
En reiteradas ocasiones durante la elaboración parlamentaria de la norma comunitaria actualmente vigente se indicó que una de las finalidades principales del nuevo RGPD era conceder el principal poder al ciudadano, como titular de los datos, de forma que este supervisara y controlara prioritariamente las circunstancias que rodean el uso y tratamiento de sus datos personales, buscando dotarle de mayor relevancia en un asunto en el que, efectivamente, es el principal actor. La asignación de este poder se evidencia en un conjunto de instituciones que así lo constatan, que parten de la necesaria transparencia a la hora de recabar y tratar los datos del titular de los datos.
Ahora, es fundamental que el interesado conozca de una manera mucho más profunda e intensa las circunstancias que van a rodear el tratamiento de sus datos, con el fin de que pueda manifestar su consentimiento (si es esta la base jurídica legitimadora del tratamiento) de manera libre, informada y con pleno conocimiento de causa. Es por ello que también se menciona expresamente en el artículo 5 RGPD el “principio de limitación de la finalidad” [letra b) del artículo 5 RGPD], que se corresponde con el término “limitación de propósito” y que responde, básicamente, a la exigencia de que a los datos de carácter personal no se les pueda dar otra función que la que, expresamente, le ha sido atribuida por parte del titular de los mismos, posibilitando, así, su tratamiento legal.
Junto a los principios de licitud, lealtad y transparencia en el tratamiento de los datos y de limitación de la finalidad, aparece nuevamente la exigencia del principio de adecuación de los datos, que en la nueva normativa se denomina, atendiendo a uno de sus matices, como “minimización de datos” [letra c) del artículo 5 RGPD]. Este consiste en que, en el momento de la recogida de los datos, no se pueden solicitar del titular de los mismos más información que la estrictamente necesaria; además, dicha solicitud ha de encontrarse totalmente justificada en función de la naturaleza y la finalidad que se persigue con dicho tratamiento. En otras palabras, permite recoger sólo los datos personales que vaya a tratar, sólo cuando los vaya a tratar y tratarlos sólo para la finalidad declarada.
Abundando y concretando este argumento un poco más, conviene insistir en que el conocimiento y la tenencia de datos personales de los ciudadanos constituye un valor en sí mismo, de modo que limitar la captura de información implica, de modo necesario, que única y exclusivamente se soliciten aquellos datos que sean imprescindibles para la finalidad pretendida.
Además de lo anterior, no conviene omitir un principio tan importante como aquel que establece la exigencia de que los datos sean exactos y, además, periódicamente actualizados, exigiendo al responsable del tratamiento la adopción de todas aquellas medidas razonables y necesarias para la supresión y rectificación sin demora de los datos personales que sean inexactos en relación con el fin para el que han sido tratados.
Técnicamente, se puede denominar a este como “principio de exactitud” de los datos [letra d) del artículo 5 RGPD], al que el artículo 4 de la nueva LOPDGDD únicamente alude.
Por lo demás, en el artículo 5 RGPD se hace referencia también a la exigencia de que los datos de carácter personal sean mantenidos durante no más tiempo que aquel que sea necesario a los efectos de identificación de los interesados, en función de las finalidades previstas para el tratamiento de los mismos; es el conocido como “principio de limitación del plazo de conservación” [letra e) del artículo 5 RGPD]. La conservación de los datos siempre ha sido un tema polémico, derivado de la discrepancia existente entre los plazos que cubren las responsabilidades del propio tratamiento y aquellos que se vinculan a la prescripción de las acciones procedentes del negocio jurídico subyacente, sobre cuya base se han recogido dichos datos. En este caso, la nueva normativa, de manera genérica, determina que la vinculación entre el titular de los datos y los datos recabados/almacenados tiene que ser la estrictamente necesaria en función del tratamiento. Cumplida esta finalidad, los datos solamente se podrían conservar de forma consensuada y asociada en archivos de interés público, enfocados a actividades de investigación científica, histórica o fines puramente estadísticos, para lo cual habrá que adoptar las medidas técnicas y organizativas adecuadas que garanticen el cumplimiento de este principio.
También se hace referencia al llamado “principio de integridad y confidencialidad” de los datos [letra f) del artículo 5 RGPD], que sostiene que los datos personales tendrán que ser siempre correctamente tratados y destinados al fin para el que fueron solicitados, de tal manera que se garantice una seguridad notable, incluida, en este caso, la prevención y protección contra el tratamiento no autorizado o ilícito, y contra su pérdida, destrucción o daño accidental, exigiendo, para ello, también la aplicación de medidas técnicas u organizativas adecuadas.
Tanto en lo que concierne al principio de limitación del plazo de conservación de los datos, como al principio de integridad y confidencialidad, hay que tener en cuenta que la implementación de las medidas técnicas u organizativas o, simplemente, de seguridad, sobre la base de la nueva normativa, es obligación exclusiva del responsable del tratamiento. Este, bajo su cuenta y riesgo, tendrá que adoptar aquellas medidas que sean más adecuadas y necesarias en función de la tipología de los datos, las finalidades pretendidas con su tratamiento y demás circunstancias que rodean el desarrollo y uso del mismo.
Por último, en este precepto también se recoge el llamado “principio de responsabilidad proactiva” o “accountability” (artículo 5.2 RGPD). Se introduce un cambio histórico en materia de responsabilidad, no sólo por el importe de las sanciones, sino también por la incorporación del concepto de responsabilidad proactiva, que se resume en la expresión popularizada por la AEPD de que “no incumplir ya no será suficiente”. Así, desde el pasado 25 de mayo de 2018, fecha de aplicación del RGPD, cualquier empresa (grande o pequeña) que trate datos personales, no sólo tendrá que cumplir, sino también estar en condiciones de acreditar que cumple con la normativa en materia de protección de datos personales. A partir de ahora, toda organización sujeta al reglamento estará obligada a acreditar: que ha evaluado y, en caso necesario, rediseñado adecuadamente sus tratamientos; que las medidas de seguridad implementadas son adecuadas y eficaces; que se aplica una política interna en materia de privacidad con obligaciones claras y acciones concretas anudadas a cada una, designándose a los responsables de su cumplimiento, y que exige ese mismo cumplimiento responsable a sus encargados de tratamientos y cadena de subcontratación.
Como se evidencia del análisis de este precepto, el legislador se ha mantenido íntegramente en los principios de adecuación, pertinencia y proporcionalidad, contenidos en el antiguo artículo 4 LOPD, de modo que, en la práctica, no se introducen, a priori, grandes novedades en esta materia.
2. Información al titular de los datos. Un primer paso para satisfacer los principios de licitud, de lealtad y transparencia, de limitación de la finalidad, de minimización de datos, de exactitud y de limitación del plazo de conservación, se produce con el suministro de información al interesado de las circunstancias que rodean el tratamiento de sus datos personales cuando tales datos se obtienen directamente de él.
De acuerdo con los artículos 12 y 13 del Reglamento general de protección de datos, cuando se obtengan de un interesado datos personales relativos a él y directamente de él, el responsable del tratamiento deberá facilitarle, en el momento en que tales datos personales se obtengan, toda la información, aplicable al caso concreto de que se trate, que se muestra a continuación:
a) Identidad y los datos de contacto del responsable del tratamiento y, en su caso, de su representante, en el supuesto de que el responsable del tratamiento tenga su establecimiento fuera del territorio comunitario (artículo 27 RGPD);
b) Datos de contacto del DPO, caso de que, conforme al artículo 37 RGPD, deba nombrar uno o quiera hacerlo en pro del principio de responsabilidad proactiva, en cuyo caso deberá cumplir igualmente con cuanto establecen los artículos 37 a 39 RGPD y 34 a 37 de la nueva LOPDGDD;
c) Finalidades del tratamiento a que se destinan los datos personales y la base jurídica o de licitud del tratamiento, conforme al artículo 6 RGPD;
d) Cuando el tratamiento sea necesario para satisfacer intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, cuáles son esos intereses legítimos;
e) Destinatarios o, en su caso, categorías de destinatarios de los datos personales;
f) Intención del responsable del tratamiento de realizar una o varias transferencias de datos personales a terceros países u organizaciones internacionales, así como la existencia o, por el contrario, ausencia, de una decisión de adecuación por parte de la Comisión, o, en el caso de las transferencias internacionales de datos personales mediante garantías adecuadas (artículo 46 RGPD), dentro de ellas, mediante normas corporativas vinculantes o “Binding Corporate Rules” (artículo 47 RGPD) o para situaciones específicas (artículo 49.1, párrafo segundo, RGPD), referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
Junto a la información prevista en las letras anteriores, el responsable del tratamiento también deberá proporcionar al interesado, en el momento en el que se recaben los datos personales de este, la siguiente información, relevante a los fines de proteger un tratamiento acorde a los principios de lealtad y transparencia:
a) Plazo de tiempo durante el cual se habrán de conservar los datos personales del interesado o, cuando sea imposible determinar a priori ese plazo, los criterios empelados para poder concretarlo;
b) Ampliando el elenco de derechos reconocidos al interesado, se encuentra la posibilidad que este tiene de ejercitar el derecho de acceso a los datos personales frente al responsable del tratamiento, el derecho de rectificación, el derecho de supresión o derecho al olvido, el derecho a la limitación de su tratamiento, el derecho de oposición y el derecho a la portabilidad de los datos personales;
c) En el caso de que el tratamiento se base en el consentimiento del interesado como base jurídica [artículos 6.1.a) y 9.2.a) RGPD y 6 LOPDGDD], la posibilidad con que cuenta este de poder retirarlo en cualquier momento, si bien ello no afectará a la licitud del tratamiento realizado sobre los datos personales del interesado y amparado en el consentimiento de este durante todo el tiempo anterior a que este fuera retirado;
d) Para el supuesto de que el responsable del tratamiento no dé curso a la solicitud del interesado, deberá informarle de la posibilidad de presentar una reclamación ante la autoridad de control;
f) Si la comunicación de datos personales es un requisito impuesto legal o contractualmente, o un requisito preceptivo en orden a celebrar un contrato, así como la necesidad de comunicar al interesado si tiene la obligación de proporcionar los datos personales al responsable del tratamiento y si es conocedor de las consecuencias que se pueden derivar de no proporcionarlos;
g) El responsable del tratamiento deberá comunicar al interesado si emplea sistemas de decisiones individuales automatizas, dentro de las cuales se puede incluir la elaboración de perfiles, a que hacen referencia los apartados primero y cuarto del artículo 22 RGPD, haciendo constar en dichos supuestos, como mínimo, toda aquella información significativa que sea necesaria sobre la lógica que se haya aplicado o se esté aplicando, además de la importancia y las consecuencias previsibles con este tratamiento para el interesado.
El apartado primero del artículo 12 DPDP contemplaba, dentro del derecho de acceso del interesado a los datos personales que, de su propiedad, estuvieran siendo tratados por el responsable del tratamiento, el conocimiento de la lógica que estuviera siendo utilizada en los tratamientos de carácter automatizado, al menos en aquellos casos de decisiones individuales automatizadas. En este punto, la diferencia de dicha DPDP con el RGPD es que, con el nuevo Reglamento, la información relativa a la lógica aplicada en aquellas decisiones íntegramente automatizadas, ha de ser proporcionada por el responsable del tratamiento, en cualquier caso, no únicamente cuando el interesado ejercite su derecho de acceso a sus datos personales tratados por el responsable del tratamiento. Así, tal información no sólo se proporcionará siempre y por iniciativa del responsable del tratamiento, sino que será puesta de manifiesto en el estado más inicial del tratamiento, ya que parece evidente que el derecho de acceso se manifiesta en un momento ulterior a la satisfacción del deber de información.
En cualquier caso, en aquellos supuestos en que el responsable del tratamiento prevea el tratamiento posterior de datos personales para una finalidad distinta y que no sea aquella para la cual se obtuvieron, deberá suministrar al interesado, con carácter previo a dicho tratamiento posterior, información precisa sobre esa otra finalidad y cualquier otra adicional que resulte adecuada de acuerdo con todo lo anterior. No obstante, esta precisión parece referirse únicamente a la información contenida en las letras a) a f) anteriores (las del artículo 13.2 RGPD), y no a las letras a) a f) iniciales (las del artículo 13.1 RGPD), pese a que, entre ellas, se incluyen aspectos que pudieran ser perfectamente diferentes con el nuevo tratamiento previsto, entre la que se encuentra la base jurídica en que se sustenta el tratamiento (si bien ello resulta coherente con lo dispuesto por el considerando 50 RGPD -según el cual […] “el tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente sólo debe permitirse cuando sea compatible con los fines de su recogida inicial. En tal caso, no se requiere una base jurídica aparte, distinta de la que permitió la obtención de los datos personales”, puede desembocar en problemas importantes, derivados de que la base jurídica del tratamiento posterior sea diferente de aquella que justificó el original), el interés legítimo específicamente perseguido por parte del responsable del tratamiento o por parte del tercero cuando sea esta la legitimación en que se ampare dicho tratamiento, los posibles destinatarios de los datos personales del interesado o las previsibles transferencias de datos personales a terceros países u organizaciones internacionales.