|
24.5.2017 |
ES |
Diario Oficial de la Unión Europea |
C 164/2 |
Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre la propuesta de Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos, y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE
[El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu]
(2017/C 164/02)
La Unión Europea está promulgando una nueva generación de normas en materia de protección de datos. La adopción hace casi un año del Reglamento general de protección de datos (RGPD) y de la Directiva para los sectores policial y judicial representó el esfuerzo más ambicioso hasta ahora del legislador de la UE para proteger los derechos fundamentales de las personas en la era digital. Ha llegado el momento de que las propias instituciones de la UE den ejemplo mediante las normas que se aplican a sí mismas en tanto que responsables del tratamiento de datos. En los últimos 18 meses, el SEPD ha iniciado un diálogo al más alto nivel con las instituciones de la UE para prepararlas para los nuevos retos que plantea la legislación en materia de protección de datos, haciendo hincapié en el nuevo principio de rendición de cuentas sobre la forma en que se procesan los datos. Mediante el presente dictamen, el SEPD pretende ofrecer sus doce años de experiencia en la supervisión independiente, el asesoramiento y la promoción de políticas para proponer mejoras a la propuesta de Reglamento sobre tratamiento de datos personales por las instituciones y órganos de la UE.
El Reglamento (CE) n.o 45/2001 fue el primero en establecer obligaciones directamente aplicables a los responsables del tratamiento, derechos para los interesados y un órgano de supervisión claramente independiente. Ahora, la UE debe garantizar la congruencia con el RGPD haciendo hincapié en la rendición de cuentas y garantías para las personas y no tanto en los procedimientos. Ciertas divergencias de las normas aplicables al tratamiento de datos por parte de las instituciones de la UE resultan justificables, del mismo modo que en el RGPD se han incluido algunas excepciones para el sector público, pero estas deben mantenerse al mínimo.
Sin embargo, lo esencial desde la perspectiva de la persona, es que los principios comunes de todo el marco de protección de datos de la UE se apliquen de forma coherente, independientemente de quien sea el responsable del tratamiento. También es esencial que todo el marco se aplique al mismo tiempo, es decir, en mayo de 2018, mes en el que el RGPD será de plena aplicación.
La Comisión consultó al SEPD acerca de la propuesta de conformidad con el acuerdo que ambas instituciones mantienen de larga data. Consideramos que, en general, la Comisión ha logrado un buen equilibrio entre los diversos intereses en juego. En el presente dictamen se destacan varios ámbitos en los que la propuesta podría mejorarse. Sugerimos mejoras a la propuesta, en particular en lo que se refiere a las restricciones de los derechos de los interesados y el uso de mecanismos de certificación por parte de las instituciones de la UE en determinados contextos. En cuanto a nuestras tareas y competencias en calidad de órgano independiente, la propuesta parece establecer un equilibrio razonable y reflejar las funciones normales de una autoridad independiente de protección de datos con arreglo a la Carta de los Derechos Fundamentales y reafirmadas en la jurisprudencia reciente del Tribunal de Justicia, ya sea en calidad de órgano ejecutor, encargado de la tramitación de reclamaciones y asesor del legislador sobre políticas que afectan a la protección de datos y la privacidad.
Recomendamos al legislador de la UE que llegue a un acuerdo sobre la propuesta lo antes posible a fin de que las instituciones de la UE puedan beneficiarse de un período transitorio razonable antes de que sea aplicable el nuevo Reglamento.
1. INTRODUCCIÓN Y ANTECEDENTES
1.1. Contexto
|
1. |
El 10 de enero de 2017, la Comisión Europea adoptó una propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión y a la libre circulación de estos datos, y por el que se deroga el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (1) (en lo sucesivo, «propuesta»). |
|
2. |
El derecho fundamental a la protección de los datos personales está consagrado en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta») y el artículo 16 del Tratado del funcionamiento de la Unión Europea (en lo sucesivo, «TFUE»). |
|
3. |
El Supervisor Europeo de Protección de datos (en lo sucesivo, «SEPD») es la autoridad de supervisión independiente encargada de que las instituciones, órganos, oficinas y agencias (en lo sucesivo, «instituciones de la UE») cumplan la legislación en materia de protección de datos durante el tratamiento de datos personales (2). La obligación de llevar a cabo un control independiente del sistema de protección de datos de la UE está consagrada en el Derecho primario, tanto en el artículo 16, apartado 2, del TFUE, como en el artículo 8, apartado 3, de la Carta. El Tribunal de Justicia siempre ha hecho hincapié en que el control por parte de una autoridad independiente es un componente esencial del derecho a la protección de datos y ha establecido criterios para dicha independencia (3). En particular, la autoridad de supervisión debe actuar con total independencia, lo que implica un poder decisorio independiente de cualquier influencia externa directa o indirecta (4) y estar libre de cualquier sospecha de parcialidad (5). |
|
4. |
El principal instrumento legal aplicable al tratamiento de datos personales por las instituciones europeas es el Reglamento (CE) n.o 45/2001 (6) (en lo sucesivo el «Reglamento 45/2001»), complementado por la Decisión 1247/2002/CE (7). |
|
5. |
Tras la conclusión, el 27 de abril de 2016, de las largas negociaciones sobre el nuevo marco de protección de datos de la UE —el Reglamento General de Protección de Datos (en lo sucesivo, «RGPD») y la Directiva para los sectores policial y judicial—, la presente propuesta [junto con la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas (8)] marca el inicio de una fase crucial para completar dicho marco. La finalidad es alinear las disposiciones del Reglamento 45/2001 con las normas establecidas en el RGPD a fin de crear en la Unión un marco de protección de datos más sólido y coherente, y para permitir que ambos instrumentos puedan aplicarse al mismo tiempo (9). Por otra parte, la propuesta también incorpora las nuevas normas para la protección de los terminales de los usuarios finales, establecidas en la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas. |
|
6. |
En la Estrategia 2015-2019, el SEPD se comprometió a trabajar con el Parlamento Europeo, el Consejo y la Comisión para alinear las normas establecidas en el Reglamento 45/2001 con el RGPD, y para que a principios de 2018 a más tardar entre en vigor un marco revisado. El SEPD acoge con satisfacción que la Comisión le haya consultado informalmente antes de la adopción de la propuesta y que esta parece haber tenido en cuenta muchos de los elementos que planteó en las contribuciones informales que ha presentado hasta ahora. Considera que la propuesta actual es más que satisfactoria gracias a la alineación máxima con el RGPD, salvo si aspectos específicos del sector público interpretados de forma estricta exigen otra cosa, y aprecia en particular el equilibrio entre los diversos intereses en juego que ha logrado la Comisión. |
|
7. |
Aunque en este dictamen se indican una serie de ámbitos en los que la propuesta podría mejorarse, el SEPD recomienda al legislador de la UE que llegue a un acuerdo sobre la propuesta lo antes posible a fin de que las instituciones de la UE puedan beneficiarse de un período transitorio razonable antes de que sea aplicable el nuevo Reglamento. |
1.2. Objetivos y momento de la propuesta
|
8. |
El SEPD recomendó anteriormente que las normas sustantivas para las instituciones de la UE se incorporaran a la (por entonces) propuesta de RGPD (10). El legislador de la UE eligió otra opción, a saber, un instrumento legal independiente de aplicación para las instituciones de la UE y alineado y aplicable al mismo tiempo que el RGPD. El SEPD apoya este enfoque, pues sería inaceptable que la Comisión Europea y las demás instituciones de la UE no tuvieran que cumplir normas equivalentes a las que pronto serán aplicables a nivel de los Estados miembros. Asimismo, no sería deseable que el SEPD supervisará el cumplimiento, por parte de las instituciones de la UE, de normas que serían inferiores a las supervisadas por sus homólogos a nivel nacional, en particular en vista de que el SEPD será miembro del futuro Comité Europeo de Protección de Datos (en lo sucesivo, «CEPD») (11). |
|
9. |
Por ello, las futuras normas aplicables al tratamiento de datos personales por las instituciones de la UE deberían alinearse con las disposiciones del RGPD, salvo si aspectos específicos del sector público interpretados de forma estricta exigen otra cosa. A este respecto, el SEPD acoge con satisfacción el considerando 5 de la propuesta que destaca la necesidad de la mayor alineación posible y aclara que «[c]uando las disposiciones del presente Reglamento se basen en el mismo concepto que las disposiciones del [RGPD], ambas deben interpretarse de manera homogénea, en particular porque debe entenderse que la estructura de la propuesta es equivalente a la del [RGDP].» |
|
10. |
Al mismo tiempo, la alineación con el RGPD no puede ser completa ni automática. El RGDP incluye numerosas disposiciones que permiten a los Estados miembros mantener o introducir una legislación específica en determinados ámbitos, incluso para las autoridades públicas (12). En aquellos casos en los que el RGPD contempla normas específicas para las autoridades públicas (13) o deja margen para que los Estados miembros apliquen sus propias disposiciones, se puede considerar que la propuesta desempeña un papel comparable al de la legislación nacional «que aplica» el RGPD, como por ejemplo, el artículo 9, «Transmisión de datos personales a receptores que no sean instituciones u órganos de la Unión», o el artículo 66, «Multas administrativas», de la propuesta (véase el punto 2.8.1 más abajo). Asimismo, es importante garantizar que se mantenga el alto nivel de protección que se aplica actualmente a las instituciones de la UE. Por ello es necesario mantener determinados aspectos específicos del Reglamento 45/2001, como su artículo 25, «Restricciones» (véase el punto 2.3.1 más abajo) y el artículo 44, «Designación del responsable de protección de datos» (véase el punto 2.4.5.1 más abajo). |
|
11. |
Aparte de la alineación sustantiva con el RGPD, es indispensable que las normas revisadas sean plenamente aplicables al mismo tiempo que este último, es decir, el 25 de mayo de 2018. La actual red de responsables de protección de datos (en lo sucesivo, «RPD») ofrece un canal eficiente para el intercambio de información y la cooperación. Por consiguiente, el SEPD confía en que el cumplimiento se podría lograr tras un período transitorio relativamente breve, por ejemplo, tres meses. |
|
12. |
El principio de rendición de cuentas en que se sustenta el RGPD —así como la presente propuesta— va más allá del cumplimiento de las normas e implica un cambio cultural. Para facilitar la transición, el SEPD puso en marcha un «proyecto de rendición de cuentas». En este contexto, durante 2016 y 2017 el SEPD se mantuvo en contacto con siete importantes instituciones y órganos de la UE para ayudarlas a prepararse a tiempo para la aplicación del RGPD. |
1.3. Ámbito de aplicación y relación con otros instrumentos legales
|
13. |
En varias ocasiones, el SEPD ha pedido a la Comisión que proponga un sistema sólido, exhaustivo y ambicioso para aumentar la eficacia y coherencia de la protección de datos en la UE, con el fin de establecer un entorno favorable para su desarrollo en años venideros (14). La Comisión eligió un enfoque diferente y propuso un instrumento legal independiente para la protección de datos en el ámbito de la aplicación de la ley (15). A continuación siguieron varias propuestas de actos jurídicos que introducen regímenes «autónomos» de protección de datos (16). |
|
14. |
El SEPD reconoce que el marco legal vigente en materia de protección de datos personales, aunque fragmentado, es el mejor resultado que se puede obtener actualmente (17). El SEPD entiende que la presente propuesta seguiría aplicándose a aquellas instituciones de la UE que entran actualmente en el ámbito de aplicación del Reglamento 45/2001 (18) [esencialmente, todas las antiguas instituciones, órganos, oficinas y agencias del primer y segundo (19)«pilares»], pero no afectaría, en tanto que tal, a los regímenes «autónomos» ya existentes o pendientes de adopción (20). Dichos regímenes solo se verían afectados por la presente propuesta si así lo dispone explícitamente el instrumento jurídico correspondiente. El SEPD toma nota de este enfoque, pero propone que este hecho se indique de forma más explícita en el preámbulo de la propuesta y, de ser posible, también en su artículo 2, «Ámbito de aplicación». Al mismo tiempo, el SEPD desea subrayar que la fragmentación y la creciente complejidad del marco legal para el tratamiento de datos por las distintas instituciones activas de la UE pertenecientes a los antiguos primer y tercer «pilares» no constituye un resultado satisfactorio y es posible que el legislador de la Unión deba abordar esta cuestión a medio plazo. |
|
15. |
El Reglamento 45/2001 contempla medidas para proteger la privacidad y confidencialidad de las comunicaciones en aquellos casos en los que las instituciones de la UE controlan las infraestructuras utilizadas para dichas comunicaciones. A tal fin incluye algunas disposiciones que abarcan parte del ámbito reglamentario de la Directiva 2002/58/CE (Directiva sobre la privacidad y las comunicaciones electrónicas) (21), y establece el principio de que las normas para proteger los derechos fundamentales deben aplicarse de forma coherente y armoniosa en toda la Unión, en referencia a los instrumentos aplicables, como la Directiva antes citada (22). La necesidad de garantizar el mismo nivel de privacidad y confidencialidad de las comunicaciones en las que participan las instituciones de la UE no sufre cambios y, por ende, debe mantenerse el principio de la aplicación coherente y armoniosa. Por ello, el SEPD considera que la propuesta debe garantizar que las normas aplicables del RGPD y el futuro Reglamento sobre la privacidad y las comunicaciones electrónicas se apliquen, mutatis mutandis, a las instituciones de la UE. Ello debe incluir tanto el mantenimiento de la confidencialidad y privacidad respecto a los servicios de comunicaciones controlados por las instituciones de la UE, como otros principios del futuro Reglamento sobre la privacidad y las comunicaciones electrónicas, como la protección de los terminales y otras normas, p.ej., las relativas al seguimiento y el correo no deseado. |
|
16. |
Por último, si bien la legislación de protección de datos de la UE se aplica igualmente en el Espacio Económico Europeo, y los países de la AELC participantes tienen la obligación de establecer autoridades de supervisión independientes con arreglo al RGPD, las instituciones de la AELC no están sujetas a normas específicas y supervisión de protección de datos, a pesar de que intercambian datos personales con las instituciones de la UE. El SEPD considera que la presente propuesta podría ser una oportunidad para abordar este aspecto. |
3. CONCLUSIONES
|
90. |
En general, el SEPD considera que la propuesta logra alinear las normas aplicables a las instituciones de la UE con las del RGPD, al tiempo que tiene en cuenta los aspectos específicos del sector público de la UE. La propuesta mantiene, en general, el alto nivel de protección de los datos que son objeto de tratamiento por parte de las instituciones de la UE. El SEPD aprecia en particular el equilibrio entre los distintos intereses en juego que ha logrado la Comisión. |
|
91. |
El SEPD considera que la propuesta debería ser objeto de mejoras, en particular en lo que se refiere a las modalidades para las restricciones contempladas en el artículo 25. A fin de garantizar el cumplimiento de la calidad de las obligaciones legales antes mencionadas, habría que modificar el artículo 25, apartado 1, para que solo los actos jurídicos adoptados sobre la base de los Tratados puedan restringir derechos fundamentales, imponiendo así a las instituciones de la UE las mismas normas que el RGPD aplica a los Estados miembros. En lo que se refiere a las restricciones al artículo 34, «Confidencialidad de las comunicaciones electrónicas», el SEPD pide al legislador de la UE que vele por que las eventuales restricciones del derecho fundamental a la privacidad de las comunicaciones por las instituciones de la UE en sus propias operaciones sigan las mismas normas que las establecidas en el Derecho de la Unión, conforme a la interpretación del Tribunal de Justicia en este ámbito. |
|
92. |
El SEPD acoge con beneplácito que la propuesta incluya un artículo dedicado al papel del SEPD en tanto que asesor de las instituciones de la UE (artículo 42 de la propuesta). No obstante, le preocupa que el texto «[t]ras la adopción de las propuestas» (por oposición a «[a]l adoptar una propuesta legislativa» en el artículo 28, apartado 2 del Reglamento 45/2001) podría poner en duda el compromiso que la Comisión mantiene de larga data consistente en consultar de manera informal al SEPD sobre las propuestas, por lo general en la fase de consultas entre servicios. Dada la importancia de la consulta informal, al SEPD le gustaría que se incluyera un considerando en el que la Comisión reitere su compromiso con esta práctica de larga data. Asimismo, apoyaría que la propuesta mantenga el texto del artículo 28, apartado 2, del Reglamento 45/2001 («al adoptar»), que permite un mayor margen de maniobra en este aspecto. Considera que el artículo 42 de la propuesta aclara de forma suficiente las tareas respectivas del SEPD y el CEPD de cara a evitar duplicaciones inútiles en el futuro. |
|
93. |
El SEPD estima que la posibilidad de externalizar la función de RPD no es adecuada para instituciones de la UE que ejercen autoridad pública. Por consiguiente, habría que suprimir la segunda alternativa del artículo 44, apartado 4 («o realizar las tareas por medio de un contrato de prestación de servicios». |
|
94. |
El SEPD acoge con satisfacción el artículo 66 de la propuesta, que le concede la facultad de imponer multas administrativas. Considera que privar a la autoridad de supervisión de la UE de la posibilidad de imponer multas administrativas, cuando proceda, haría que las instituciones de la UE gozaran de una situación de privilegio en comparación con las instituciones del sector público de muchos Estados miembros. |
|
95. |
El SEPD entiende que los mecanismos de certificación pueden ser un instrumento muy útil para las instituciones de la UE, que ya se utiliza en algunos contextos, p.ej., para certificar el cumplimiento de normas de aceptación general. Por ello habría que introducir referencias al uso de la certificación (pero no a los códigos de conducta) en el artículo 26, «Responsabilidad del encargado del tratamiento», el artículo 27, «Protección de datos por diseño y por defecto», y el artículo 33, «Seguridad». |
|
96. |
Aunque en este dictamen se indican una serie de ámbitos en los que la propuesta podría mejorarse, el SEPD desea recomendar al legislador de la UE que llegue a un acuerdo sobre la propuesta lo antes posible a fin de que las instituciones de la UE puedan beneficiarse de un período transitorio razonable para que pueda aplicarse al mismo tiempo que el RGPD en mayo de 2018. |
Bruselas, 15 de marzo de 2017.
Giovanni BUTTARELLI
Supervisor Europeo de Protección de Datos
(1) COM(2017) 8 final; 2017/0002 (COD) (later, “the Proposal”).
(2) Article 286 EC rendered the (then) Community rules on data protection applicable to EU institutions and bodies and mandated the creation of a dedicated independent supervisory authority (later, the EDPS).
(3) Case C-518/07 Commission v Germany, EU:C:2010:125; Case C-614/10 Commission v Austria, EU:C:2012:631; Case C-288/12 Commission v Hungary, EU:C:2014:237; Case C-362/14 Maximilian Schrems v Data Protection Commissioner, ECLI:EU:C:2015:650.
(4) Case C-518/07 Commission v Germany, supra para. 19.
(5) Case C-288/12 Commission v Hungary, supra para. 53.
(6) See supra note 3.
(7) Decision No 1247/2002/EC of the European Parliament, of the Council and of the Commission of 1 July 2002 on the regulations and general conditions governing the performance of the European Data Protection Supervisor’s duties (OJ L 183, 12.7.2002, p. 1).
(8) Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), COM(2017) 10 final, 2017/0003 (COD).
(9) See Article 98 and recital 17 of the GDPR.
(10) See e.g. the EDPS Opinion of 7 March 2012 on the data protection reform package (OJ C 192, 30.6.2012, p. 7).
(11) EDPS Opinion of 7 March 2012 on the data protection reform package, p. 6.
(12) See in particular Article 6(3) and recital 10 to the GDPR: “Regarding the processing of personal data for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, Member States should be allowed to maintain or introduce national provisions to further specify the application of the rules of this Regulation. In conjunction with the general and horizontal law on data protection implementing Directive 95/46/EC, Member States have several sector-specific laws in areas that need more specific provisions. This Regulation also provides a margin of manoeuvre for Member States to specify its rules, including for the processing of special categories of personal data (‘sensitive data’). To that extent, this Regulation does not exclude Member State law that sets out the circumstances for specific processing situations, including determining more precisely the conditions under which the processing of personal data is lawful.”
(13) E.g. last sentence of Article 6(1), Article 20(5), Article 27, Article 37, Article 41 or Article 46(2)(a) of the GDPR.
(14) See in particular the EDPS Opinion of 14 January 2011 on the Communication “A comprehensive approach on personal data in the European Union” (OJ L 181, 22.6.2011, p. 1).
(15) See supra note 5.
(16) Proposal for a Regulation of the European Parliament and of the Council on the European Union Agency for Law Enforcement Cooperation and Training (Europol) and repealing Decisions 2009/371/JHA and 2005/681/JHA, COM(2013) 173 final, now adopted as Regulation 2016/794 and published in OJ L 135, 24.5.2016, p. 53; Proposal for a Council Regulation on the establishment of the European Public Prosecutor's Office, COM(2013) 534 final. See also the Council General approach (First reading) on the Proposal for a Regulation on the European Union Agency for Criminal Justice Cooperation (Eurojust) available at: http://data.consilium.europa.eu/doc/document/ST-6643-2015-INIT/en/pdf
(17) EDPS Opinion 3/2015 “Europe’s big opportunity - EDPS recommendations on the EU’s options for data protection reform”, available at: https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2015/15-10-09_GDPR_with_addendum_EN.pdf
(18) See the list of EU institutions and bodies available at: http://publications.europa.eu/code/en/en-390500.htm.
(19) Regulation 45/2001 already today applies to, inter alia, the European Defence Agency, European Union Institute for Security Studies, and the European Union Satellite Centre.
(20) Europol, Eurojust, EPPO, supra note 21.
(21) Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications (OJ L 201, 31.7.2002, p. 37), as amended (later, “the ePrivacy Directive”).
(22) Recitals 10-12 ePrivacy Directive.