411. Protección de Datos en la UE: Seguimiento Legislativo

El Pleno del PE ha respaldado el paquete legislativo que adapta la norma europea de 1995 sobre protección de datos al mundo de internet y las nuevas tecnologías. Estas reglas buscan reforzar el control de las personas sobre sus datos y facilitar a las empresas el salto a la economía digital, armonizando el nivel de protección en toda la UE.

Los diputados proponen endurecer las normas sobre transferencias de datos a países terceros y aumentar las multas contra empresas que incumplan la ley.

Como ya hemos informado en anteriores Boletines “Europa al día” , la Comisión Europea propuso en enero de 2012 una nueva legislación que actualizara la normativa que llevaba casi 20 años en vigor, con el fin de reforzar la protección de datos personales y responder a los retos que suponen las nuevas tecnologías de la información, la globalización y la tendencia cada vez más extendida de utilizar datos personales en investigaciones penales.

El paquete legislativo está formado por dos propuestas:

  • un Reglamento general que cubre la práctica totalidad de los datos procesados en la UE, desde las redes sociales, las páginas de compras por internet o los servicios bancarios en línea hasta los registros universitarios y de hospitales, pasando por las bases de datos de clientes de las empresas. El ponente de esta normativa es el eurodiputado alemán de los Verdes, Jan Philipp Albrecht. El reglamento ha sido aprobado por 621 votos a favor, 10 en contra y 22 abstenciones.
  • Una Directiva que reemplaza una decisión marco del Consejo de 2008 y se aplica a los datos personales procesados en el marco de la cooperación policial y judicial. Hasta ahora, las reglas europeas en este ámbito se aplicaban a los datos intercambiados por las autoridades de distintos Estados miembros. Sin embargo, la nueva norma abarcaría también los datos procesados por las autoridades dentro de cada país. el PE ha introducido límites estrictos al uso de los datos sensibles del artículo 8. De esta manera, los datos genéticos sólo se podrán procesar para prevenir una amenaza a la seguridad pública o una ofensa criminal específica (artículo 8.a). El ponente de esta propuesta legislativa es el socialista griego Dimitrios Droutsas. La directiva fue aprobada con 371 votos frente a 276 y 30 abstenciones.

Las enmiendas aprobadas por el Pleno del PE en relación a los artículos sobre datos relativos a la salud son:

  • Artículo 4: define los “datos genéticos”, “datos biométricos” y “datos relativos a la salud”, de la siguiente manera:
    • 4.10) «datos genéticos»: todos los datos personales relacionados con las características genéticas de una persona que se hayan heredado o adquirido, siempre que procedan del análisis de una muestra biológica de la persona en cuestión, concretamente a través de un análisis cromosómico, un análisis del ácido desoxirribonucleico (ADN) o del ácido ribonucleico (ARN) o un análisis de cualquier otro elemento que permita obtener una información equivalente;
    • 4.11) «datos biométricos»: cualesquiera datos personales relativos a las características físicas, fisiológicas o conductuales de una persona que permitan su identificación única, como imágenes faciales o datos dactiloscópicos;
    • 4.12) «datos relativos a la salud»: cualesquiera datos personales que se refieran a la salud física o mental de una persona, o a la asistencia prestada por los servicios de salud a la persona;
  • El artículo 9.1 establece la prohibición general del tratamiento de categorías especiales de datos personales y las excepciones a esta norma general, inspirándose en el artículo 8 de la Directiva 95/46/CE, en los siguientes términos:
  • strong>1. Queda prohibido el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, la religión o las creencias filosóficas, la orientación sexual o la identidad de género, la afiliación y las actividades sindicales, así como el tratamiento de datos genéticos o biométricos o de datos relativos a la salud, la vida sexual, las sanciones administrativas, las sentencias, los delitos o las sospechas de delito, las condenas penales o las medidas de seguridad afines.

    El apartado 2 del artículo 9 establece una serie de excepciones en las que no será aplicable la prohibición del 9.1, entre las que se incluye en su apartado h):

    h) el tratamiento de datos relativos a la salud es necesario a efectos sanitarios y sin perjuicio de las condiciones y garantías contempladas en el artículo 81;

  • El artículo 81, sobre tratamiento de datos relativos a la salud, obliga a los Estados miembros a establecer salvaguardias específicas para el tratamiento con fines sanitarios, además de las condiciones para categorías especiales de datos:
    • 81.1. De conformidad con las normas definidas en el presente Reglamento, en particular con el artículo 9, apartado 2, letra h), el tratamiento de datos personales relativos a la salud deberá realizarse sobre la base del Derecho de la Unión o de los Estados miembros, que deberá establecer disposiciones específicas, coherentes y adecuadas para salvaguardar los legítimos intereses y los derechos fundamentales del interesado en la medida en que estos sean necesarios y proporcionados y cuyos efectos sean previsibles por parte del interesado:
    • a) a los fines de la medicina preventiva o la medicina del trabajo, el diagnóstico médico, la prestación de asistencia sanitaria o el tratamiento o la gestión de los servicios de asistencia sanitaria, siempre que tales datos sean tratados por un profesional sanitario sujeto a la obligación del secreto profesional o por otra persona también sujeta a una obligación de confidencialidad equivalente en virtud de la legislación del Estado miembro o de las normas establecidas por los organismos nacionales competentes; o
    • b) por razones de interés público en el ámbito de la salud pública, como la protección contra riesgos sanitarios transfronterizos graves, o para garantizar altos niveles de calidad y seguridad de los medicamentos o del material sanitario y cuando el tratamiento de estos datos lo lleve a cabo una persona sujeta a la obligación de confidencialidad; o
    • c) por otras razones de interés público en ámbitos como la protección social, especialmente a fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad y la prestación de servicios de salud. Este tratamiento de datos personales relativos a la salud por razones de interés público no debe tener como consecuencia que los datos sean sometidos a tratamiento para otros fines a menos que se haga con el consentimiento del interesado o sobre la base de la legislación de la Unión o de los Estados miembros.

    1 bis. Cuando los fines mencionados en las letras a) a c) del apartado 1 puedan alcanzarse sin recurrir a los datos de carácter personal, estos últimos no se utilizarán para esos fines, a menos que se basen en el consentimiento del interesado o en la legislación de los Estados miembros.

    1 ter. Cuando se requiera el consentimiento del interesado para el tratamiento de datos médicos exclusivamente con fines de investigación sobre la salud pública, podrá darse el consentimiento a una o más investigaciones específicas y similares. Sin embargo, el interesado podrá retirar su consentimiento en cualquier momento.

    1 quater. A fines de dar el consentimiento a la participación en actividades de investigación científica en ensayos clínicos, se aplicarán las disposiciones pertinentes de la Directiva 2001/20/CE del Parlamento Europeo y del Consejo.

    2. El tratamiento de datos personales relativos a la salud que sea necesario para los fines de la investigación histórica, estadística o científica solo se autorizará con el consentimiento del interesado y estará supeditado al cumplimiento de las condiciones y garantías contempladas en el artículo 83.

    2 bis. La legislación de los Estados miembros podrá establecer excepciones al requisito del consentimiento para la investigación mencionado en el apartado 2, en relación con la investigación que sirva intereses públicos de gran importancia, si dicha investigación no puede llevarse a cabo de otra manera. Los datos en cuestión se convertirán en anónimos o, si esto no es posible para los fines de la investigación, se utilizarán pseudónimos atendiendo a las normas técnicas más seguras, y se tomarán todas las medidas necesarias para prevenir la reidentificación sin garantías de los interesados. Sin embargo, el interesado podrá presentar objeciones en cualquier momento con arreglo al artículo 19.

    3. La Comisión estará facultada para adoptar, previa solicitud del dictamen del Consejo Europeo de Protección de Datos, actos delegados, de conformidad con lo dispuesto en el artículo 87, a fin de especificar otras razones de interés público en el ámbito de la salud pública a que se refiere el apartado 1, letra b), así como los intereses públicos de gran importancia en el ámbito de la investigación a que se refiere el apartado 2 bis.

    3 bis. Cada Estado miembro notificará a la Comisión las disposiciones legislativas que adopte de conformidad con el apartado 1, a más tardar en la fecha especificada en el artículo 91, apartado 2, y, sin demora, cualquier modificación posterior de las mismas.

Otros aspectos que regula el Reglamento y de los que hemos tratado en otros Boletines “Europa al día” son:

  • Transferencias de datos a terceros países: Si un país tercero pide a una empresa (por ejemplo, una red social, un motor de búsqueda o un proveedor de servicios en la nube) que le proporcione información personal procesada en la UE, la compañía tendría que obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información. Esta es la propuesta de la Eurocámara ante los programas de vigilancia de la Agencia Nacional de Seguridad de EE.UU.
  • Multas más cuantiosas: Los eurodiputados proponen incrementar las sanciones contra las empresas que incumplan las normas. Las multas podrían llegar hasta 100 millones de euros o el 5 por ciento del volumen de negocios anual de la empresa (se aplicaría la cuantía más elevada). La Comisión había propuesto multas de hasta un millón de euros o el 2 por ciento del volumen anual de negocios.
  • Supresión de datos: Según las enmiendas aprobadas, cualquier persona podría solicitar que se borren sus datos si no se cumplen las normas de la UE, los datos ya no son necesarios o la persona retira o no da su consentimiento al almacenamiento de esa información. En el caso de los datos procesados en internet, la empresa responsable tendría que reenviar la solicitud de borrado a otras que hayan utilizado esa información.
  • Este "derecho a la supresión" de los datos sustituiría al “derecho al olvido” propuesto por el ejecutivo de la UE. El derecho a solicitar la supresión de los datos quedará limitado cuando estos se hayan recabado con fines estadísticos, para la investigación histórica o científica, por motivos de salud pública o para ejercer la libertad de expresión.

  • Consentimiento explícito y lenguaje claro: Los eurodiputados respaldan la propuesta de la Comisión de que una persona tenga que dar su consentimiento expreso antes de que una empresa u organización pueda procesar sus datos personales. El consentimiento será entendido como una “manifestación libre, específica e informada de la voluntad del interesado, ya sea mediante una declaración o una clara acción afirmativa”. Esto impediría, por ejemplo, prácticas como la de mantener marcada la casilla de “aceptar” en las políticas de privacidad. Además, el texto que llegará al pleno estipula que cualquier información sobre el tratamiento de datos personales deberá estas escrita en un lenguaje sencillo y claro.

Las nuevas normas también fijan límites a una práctica conocida como “profiling”, que consiste en la elaboración de perfiles mediante el procesado automático de los datos para analizar o prever el comportamiento de una persona, su situación económica, salud, preferencias, fiabilidad, trabajo, … Este tipo de perfiles se utilizan, por ejemplo, para evaluar si una persona está en condiciones de devolver un crédito.

Próximos pasos:

El grupo de negociación del PE está preparado para iniciar las conversaciones con los Estados miembros y la Presidencia Griega quiere obtener resultados lo antes posible. En la segunda mitad de 2014, se iniciarán las negociaciones entre el PE y el Consejo de Ministros. El Parlamento espera llegar a un acuerdo sobre esta normativa antes de que finalice 2014. Posteriormente, los Estados miembros dispondrán de un plazo de 2 años para llevar a efecto el Reglamento y transponer la Directiva.

Incluimos, en el presente, Boletín “Europa al día”, el texto aprobado por el Pleno del Parlamento Europeo el día 12 de marzo.