Principios y derechos en el RGPD

Autor:Lucrecio Rebollo
Páginas:101-129
 
ÍNDICE
EXTRACTO GRATUITO

Page 101

Objeto, ámbito de aplicación y definiciones

El RDPD parte de unos objetivos claros, establecidos en su Considerando 2, y que se concretan en “contribuir a la plena realización de un espacio de libertad, seguridad y justicia y de una unión económica, al progreso económico y social, al refuerzo y la convergencia de las economías dentro del mercado interior, así como al bienestar de las personas físicas”. De forma genérica los mismos objetivos que ya venían siendo establecidos en las normas europeas (Convenio 108, Reglamento nº 45 de 2001 y Directiva 95/46/CE) y en definitiva para dar cumplimiento al art.8 de la Carta Europea de Derechos fundamentales y al art. 16 del TfuE de 2007. Pero el Considerando 9 nos pone de manifiesto las debilidades o imperfecciones que justifican una nueva regulación, al esclarecer que “Aunque los objetivos y principios de la Directiva 95/46/CE siguen siendo válidos, ello no ha impedido que la protección de los datos en el territorio de la unión se aplique de manera fragmentada, ni la inseguridad jurídica ni una percepción generalizada entre la opinión pública de que existen riesgos importantes para la protección de las personas físicas, en particular en relación con las

Page 102

actividades en línea. Las diferencias en el nivel de protección de los derechos y libertades de las personas físicas, en particular del derecho a la protección de los datos de carácter personal, en lo que respecta al tratamiento de dichos datos en los Estados miembros pueden impedir la libre circulación de los datos de carácter personal en la unión. Estas diferencias pueden constituir, por lo tanto, un obstáculo al ejercicio de las actividades económicas a nivel de la unión, falsear la competencia e impedir que las autoridades cumplan las funciones que les incumben en virtud del Derecho de la unión. Esta diferencia en los niveles de protección se debe a la existencia de divergencias en la ejecución y aplicación de la Directiva 95/46/CE”. De esta forma es claro objetivo de la unión Europea establecer una regulación coherente y homogénea en todos los Estados miembros, singularmente en su aplicación, si bien sigue dejando a éstos un determinado margen de maniobra en la puntualización o concreción relativa a determinados contenidos de la protección.

Por lo que respecta a la titularidad del derecho, se la atribuye el Reglamento en su art. 1 únicamente a las personas físicas, independientemente de su nacionalidad o de su lugar de residencia. Se excluye, por tanto, a las personas jurídicas y a los fallecidos. No debe de pasar desapercibida la cuestión, de que en el mismo artículo citado, en su apartado 3, se referencia, con la misma intensidad en la pretensión garantista, “la libre circulación de los datos personales en la unión (que) no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales”. Con ello, una norma tan específica como es la que analizamos, atiende a un principio fundacional de la unión, el libre tránsito de personas y mercancías por todo el territorio de la misma, y en la que se incluyen también a los datos de carácter personal.

Respecto del ámbito de aplicación material, el art. 2 establece que se aplica “al tratamiento total o parcialmente auto-matizado de datos personales, así como al tratamiento no au-

Page 103

tomatizado de datos personales contenidos o destinados a ser incluidos en un fichero”. Con ello se incluye también en su aplicabilidad los tratamientos manuales, siempre que los datos estén incluidos en un fichero, o incluso no estándolo, que puedan ser destinados a incluirlos en un futuro. Por el contrario, se excluyen de forma concreta de su ámbito de vigencia el tratamiento de datos personales en los siguientes supuestos:

  1. en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la unión;

  2. por parte de los Estados miembros cuando lleven a cabo actividades comprendidas en el ámbito de aplicación del capítulo 2 del título V del TuE (control de fronteras, asilo e inmigración);

  3. efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

  4. por parte de las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, o de ejecución de sanciones penales, incluida la de protección frente a amenazas a la seguridad pública y su prevención.

    En el apartado a) del artículo citado debe incluirse la seguridad nacional, y tampoco se aplica el Reglamento al tratamiento de datos de carácter personal por los Estados miembros en el ejercicio de las actividades de política exterior y de seguridad común de la unión. Por lo que respecta a la delimitación de actividades domésticas, hay que deducir que son las que no tienen un carácter profesional o comercial, y de forma concreta el Considerando 18 establece que “Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas”.

    Page 104

    Se excluye también de forma concreta la protección de las personas físicas en lo que respecta al tratamiento de datos de carácter personal por parte de las autoridades competentes a efectos de la prevención, investigación, detección o enjuiciamiento de infracciones penales o de la ejecución de sanciones penales, incluida la protección frente a las amenazas contra la seguridad pública y la libre circulación de estos datos y su prevención, que quedan atribuidos a la Directiva 2016/680100.

    De igual forma, el Reglamento clarifica que, aunque es aplicable a la actividad de los tribunales y autoridades judiciales, los Estados miembros pueden limitar de forma concreta su vigencia, con objeto de preservar la independencia del poder judicial en el desempeño de sus funciones. Las autoridades de control no tendrán competencia para garantizar el cumplimiento de del Reglamento, que se deja en manos de los órganos de control judicial del cada Estado miembro

    Otra cuestión importante que viene a resolver el Reglamento es la delimitación del ámbito territorial de vigencia, que había supuesto la exención de determinadas actividades empresariales del sometimiento a la normativa europea sobre protección de datos, y que en virtud del art. 3, ahora “se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la unión, independientemente de que el tratamiento tenga lugar en la unión o no”. A este sometimiento en razón de la actividad, se suma otro en función del sujeto, en este caso denominado interesado, siempre que esté establecido en la unión, aunque el encargado o responsable no esté establecido en la unión, siempre y cuando las actividades estén relacionadas con:

    Page 105

  5. la oferta de bienes o servicios a dichos interesados en la unión, independientemente de si a estos se les requiere su pago, o

  6. el control de su comportamiento, en la medida en que este tenga lugar en la unión.

    La forma jurídica que tengan las empresas ya sea de una sucursal, o una filial con personalidad jurídica, no es factor determinante a este respecto. Se pretende además la eficacia plena del Reglamento, y con ello se solventa el portillo jurídico que suponía la Directiva 95/46/CE, al establecerse que el tratamiento de datos personales de los interesados que residen en la unión Europea por parte de un responsable o un encargado no establecido en la unión Europea se rige por el presente Reglamento, o incluso si el responsable o el encargo del tratamiento no residen en la unión Europea, se aplica el Reglamento cuando el tratamiento tiene relación con la observación del comportamiento de dichos interesados, en la medida en que ese comportamiento tenga lugar en la unión. El Considerando 24 establece que para “Para determinar si se puede considerar que una actividad de tratamiento controla el comportamiento de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en internet, inclusive el potencial uso posterior de técnicas de tratamiento de datos personales que consistan en la elaboración de un perfil de una persona física con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes”. De esta forma los dos elementos referenciales de aplicabilidad del Reglamento se establecen por la ubicación del interesado y por la realización del tratamiento, y se obvian otros aspectos que pueden ser más confusos en su determinación, como la personalidad jurídica, la sede social de la empresa o de forma genérica la radicación social de la empresa que realiza el tratamiento o las diversas formas de relacionarse unas con otras, o cuestiones como la gratuidad o el coste de las operaciones. También se atrae la vigencia del Reglamento cuando

    Page 106

    el tratamiento lo realiza un responsable que no esté establecido en la unión Europea, siempre que el Derecho de los Estados miembros sea aplicable en virtud del Derecho internacional público.

    Por lo que respecta a las definiciones, el concepto de datos personales sigue siendo la delimitación clásica establecida en todas las regulaciones anteriores, es decir, “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda...

Para continuar leyendo

SOLICITA TU PRUEBA