ORIENTACIONES DE LA COMISIÓN EUROPEA SOBRE EL REGLAMENTO 2018/1807 RELATIVO A LA LIBRE CIRCULACIÓN DE DATOS NO PERSONALES
Tal y como indicábamos el año pasado en HACIA LA ECONOMÍA DE LOS DATOS EUROPEA: NUEVO REGLAMENTO EUROPEO 2018/1807, a partir del 29 de Mayo resulta de plena aplicación el Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea.
El propio Reglamento establecía[1] un mandato para que la Comisión publicase unas orientaciones informativas sobre el modo de tratar los conjuntos de datos compuestos tanto por datos personales como no personales, para que las empresas, incluidas las PYMES, comprendan mejor la interacción entre el Reglamento 2018/1807 y el Reglamento (UE) 2016/679 (en adelante, RGPD), de modo que se garantice el cumplimiento de ambos Reglamentos.
Pues bien, hace unos días se publicaron dichas Orientaciones sobre el Reglamento relativo a un marco para la libre circulación de datos no personales en la Unión Europea.
El objeto y ámbito de aplicación material del RGPD queda claro, puesto que, entre otros, sabemos a qué nos referimos por «datos personales», según la definición legal recogida del concepto. Sin embargo, el objeto de aplicación del Reglamento 2018/1807, relativo a «datos no personales», aparece definido en negativo, es decir, aquellos tratamientos de datos electrónicos que no tengan carácter personal. Con esto, quedaba patente la necesidad de establecer unas pautas o directrices que aclarasen cómo resolver la interacción de ambas normas y, en concreto, cómo tratar los conjuntos de datos compuestos, tanto por datos personales como no personales, es decir, “conjunto de datos mixtos”, ya que será el conjunto de datos más habitual que nos encontremos; raro será encontrar conjuntos de datos entre los que tengamos la certeza que no se incluyen datos personales.
También debe tenerse en cuenta que el Reglamento 2018/1807 no será de aplicación si todas las actividades de tratamiento de «datos no personales» se realizan fuera de la Unión Europea (U.E.), mientras que el RGPD debe respetarse aun cuando el tratamiento de «datos personales» se realice fuera de la U.E. siempre que el tratamiento se realice en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión o si el interesado se encuentra en la U.E[2].
Las Orientaciones recuerdan que las reglas para la transferencia de «datos personales» a terceros países u organizaciones internacionales, en virtud del RGPD, deberán cumplirse, en cualquier caso.
Cuando estemos ante conjuntos de datos mixtos, las Orientaciones indican que:
· el Reglamento 2018/1807 se aplica a la parte de «datos no personales» del conjunto de datos;
· la disposición de libre circulación del RGPD se aplica a la parte de «datos personales» del conjunto de datos; y
· si la parte de «datos no personales» y las partes de «datos personales» están “inextricablemente ligados”, los derechos y obligaciones de protección de datos derivados del RGPD se aplicarán completamente a todo el conjunto de datos mixtos, incluso cuando los «datos personales» representen solo una pequeña parte del conjunto de datos. El concepto de «inextricablemente[3] ligado» no se ha definido en ninguno de los dos Reglamentos, pero las orientaciones aclaran que podría considerarse cuando “la separación de ambos sería imposible o sería considerada por el responsable del tratamiento como económicamente ineficiente o no viable desde el punto de vista técnico” o “la separación del conjunto de datos disminuya significativamente el valor del conjunto de datos”.
Las orientaciones recuerdan que ninguno de los dos Reglamentos obliga a las empresas a separar los conjuntos de datos que controlan o tratan.
Respecto a la libre circulación de datos y eliminación de requisitos de localización de datos, el Reglamento 2018/1807 establece[4] que “los requisitos para la localización[5] de datos estarán prohibidos, salvo que estén justificados por razones de seguridad pública[6], de conformidad con el principio de proporcionalidad”.
La prohibición de los requisitos de localización de datos abarca tanto las medidas directas (leyes, reglamentos etc) como las indirectas que restringirían la libre circulación de datos no personales. Como ejemplo de estas últimas se mencionan “requisitos para utilizar instalaciones tecnológicas que estén certificadas o aprobadas dentro de un Estado miembro específico u otros requisitos que tengan el efecto de dificultar el tratamiento de datos fuera de un área geográfica o territorio específico dentro de la Unión Europea”.
En este sentido, los Estados miembros “pondrán a disposición del público, a través de un punto único nacional de información en línea, información sobre todo requisito de localización de datos establecido en disposiciones legales, reglamentarias o administrativas de carácter general y aplicable en su territorio, que mantendrán actualizada, o proporcionarán información actualizada sobre tales requisitos de localización a un punto de información central establecido en virtud de otro acto de la Unión”. La Comisión publicará enlaces a estos puntos de información en el portal Tu Europa[7].
En cuanto a la portabilidad, es un concepto utilizado por ambos Reglamentos que, a pesar de perseguir el objetivo común de evitar la dependencia de un proveedor y así fomentar la competencia, difieren en que la portabilidad del Reglamento 2018/1807[8] está más enfocada al usuario profesional y además, no establece un derecho para que los usuarios profesionales porten datos, sino que tiene un enfoque autorregulador, con códigos de conducta voluntarios para el sector. No obstante, pueden surgir situaciones en las que la portabilidad de datos se rija por ambos Reglamentos en relación con conjuntos de datos mixtos.
Las orientaciones concluyen que “garantizar la seguridad jurídica y la confianza en el tratamiento de datos es esencial para la capacidad de la UE de sacar el máximo partido de los datos” lo cual nos permitirá avanzar hacia una verdadera economía de los datos en el contexto de un Mercado Único Digital, y tanto el Reglamento de protección de datos como el Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea “conforman la base para la libre circulación de todos los datos en la Unión Europea y una economía europea de datos altamente competitiva[9]”.
Para más información:
Comunicado de prensa La Comisión publica una guía sobre la libre circulación de datos no personales
María Loza Corera
Lead Advisor Jurídico Nuevos retos
[1] Considerando 37 del Reglamento 2018/1807
[2] Artículo 3 RGPD
[3] “Inextricable” Definición R.A.E. “1. adj. Que no se puede desenredar, muy intrincado y confuso”.
[4] Artículo 4.1
[5] Artículo 3.5 “requisito de localización de datos: cualquier obligación, prohibición, condición, restricción u otro requisito previsto en las disposiciones legales, reglamentarias o administrativas de los Estados miembros o que se derive de prácticas administrativas generales y coherentes en un Estado miembro y en organismos de Derecho público, también en el ámbito de la contratación pública sin perjuicio de la Directiva 2014/24/UE, que imponga el tratamiento de datos en el territorio de un determinado Estado miembro o dificulte el tratamiento de datos en cualquier otro Estado miembro”.
[6] Las orientaciones recogen la Jurisprudencia europea y aclaran que el concepto de seguridad pública “abarca la seguridad interna y externa de un Estado miembro”.
[7] https://europa.eu/youreurope/index.htm
[8] Artículo 6 del Reglamento 2018/1807 “ La Comisión fomentará y facilitará la elaboración de códigos de conducta autorreguladores a escala de la Unión (en lo sucesivo, «códigos de conducta»), con el fin de contribuir a una economía de datos competitiva, basada en los principios de transparencia e interoperabilidad, que tenga debidamente en cuenta estándares abiertos y que incluya, entre otros, los siguientes aspectos:
| a) | las mejores prácticas para facilitar el cambio de proveedores de servicios y la portabilidad en un formato estructurado, de uso común y de lectura automática, incluidos formatos basados en estándares abiertos cuando lo exija o solicite el proveedor de servicios que reciba los datos; |
| b) | los requisitos de información mínimos para garantizar que los usuarios profesionales, antes de celebrar un contrato de tratamiento de datos, reciban información suficientemente detallada, clara y transparente relativa a los procedimientos, los requisitos técnicos, los plazos y los costes aplicables en caso de que un usuario profesional desee cambiar de proveedor de servicios o transferir sus datos a sus propios sistemas informáticos; |
| c) | los enfoques de regímenes de certificación que faciliten la comparación de los productos y servicios de tratamiento de datos para usuarios profesionales, teniendo en cuenta las normas nacionales o internacionales establecidas, que facilitan la comparabilidad de estos productos y servicios. Dichos enfoques podrán incluir, entre otros, la gestión de la calidad, la gestión de la seguridad de la información, la gestión de la continuidad de negocio y la gestión medioambiental; |
| d) | los planes de comunicación que adopten un enfoque multidisciplinar para concienciar a los interesados sobre el código de conducta. |
- La Comisión garantizará que los códigos de conducta se elaboren en estrecha cooperación con todos los interesados, incluidas las asociaciones de pymes y empresas emergentes, los usuarios y los proveedores de servicios en nube.
- La Comisión alentará a los proveedores de servicios a completar el desarrollo de los códigos de conducta a más tardar el 29 de noviembre de 2019 y a aplicarlos efectivamente a más tardar el 29 de mayo de 2020”.
[9] Observación final de la COM (2019) 250 final
Expertos en Ciberseguridad, Privacidad, IT GRC y Cumplimiento Normativo unificando la perspectiva Legal y Tecnológica.
