6 Preguntas frecuentes sobre los requisitos nacionales para ayudarle a cumplir con el RGPD

Por Philippe Guilbert. Miembro de ESOMAR Professional Standards Committee | Research Expert, Syntec Conseil, Francia.

Lectura 8 minutos
28 de enero 2020

Por Philippe Guilbert. Miembro de ESOMAR Professional Standards Committee | Research Expert, Syntec Conseil, Francia.

Tras la entrada en vigor de la RPI en mayo de 2018, los Estados miembros de la UE adoptaron en 2019 una legislación de aplicación local para complementar la propia RPI. Este proceso ha concluido en la mayoría de los países de la UE, dejando a un Estado miembro sin más especificaciones nacionales a finales de 2019.

Los 28 Estados miembros de la UE no tenían el mismo calendario de leyes nacionales para aplicar el RGPD. Por otra parte, y tal vez más problemático por la intención declarada de crear un mercado único digital con leyes coherentes en toda la UE, los Estados Miembros han introducido diversas interpretaciones de las derogaciones, exenciones, excepciones y restricciones en el RGPD, incluido el importantísimo Artículo 89 sobre investigación o fines estadísticos (véase más adelante).

En los peores casos, se ha informado incluso de que algunas especificaciones nacionales contradicen el RGPD, a pesar de los límites de flexibilidad previstos en él, considerando 10 para evitarlo. Aunque el RGPD se adoptó para reforzar y armonizar la legislación sobre protección de datos en toda la UE, no se pueden ignorar las leyes nacionales.

Por lo tanto, esta lista de preguntas frecuentes le ayudará a aclarar la situación como parte de sus continuos esfuerzos de cumplimiento del RGPD.

¿Necesita el RGPD especificaciones nacionales para ser aplicable?

No, el RGPD es la ley primaria sobre datos personales de los residentes de la UE y entró en vigor el 25 de mayo de 2018 para todos los Estados miembros. Un reglamento adoptado por la UE se aplica directa y uniformemente en todos los Estados miembros de la UE, a diferencia de una directiva, que requiere una mayor transposición a la legislación nacional.

¿Por qué entonces existen especificaciones nacionales?

El RGPD obliga a los Estados miembros a adoptar una serie de medidas legales a nivel nacional, especialmente para la creación o adaptación de las competencias de la autoridad nacional de protección de datos, la armonización de la legislación sectorial y temas como la conciliación de la protección de datos con la libertad de expresión e información. En este contexto, el Código de Conducta de la RPI elaborado por ESOMAR y EFAMRO será importante para el mercado mundial, la investigación social y de opinión y el sector de análisis de datos para evitar la fragmentación a través de las leyes nacionales.

¿Qué áreas están afectadas?

Un tercio de los artículos del RGPD 99 tienen una o varias referencias a especificaciones locales, pero todavía existe un debate sobre el número exacto de posibles márgenes de maniobra (de 20 a 70). Los ámbitos clave afectados son, entre otros, los siguientes:

Edad de consentimiento del niño (art. 8): se debe obtener el consentimiento de los padres para los servicios de la sociedad de la información (servicios suministrados digitalmente) ofrecidos directamente a un niño menor de 16 años. Los Estados miembros pueden definir por ley una edad inferior hasta los 13 años. 18 países han optado por una edad inferior entre los 13 y los 15 años.

Categorías especiales de datos personales (art. 9): las excepciones para el tratamiento de categorías especiales de datos (raza, etnia, opiniones políticas…) las determinan las leyes locales, pero los Estados miembros también pueden introducir otras condiciones, incluidas las limitaciones para los datos genéticos, los datos biométricos (incluido el reconocimiento facial) o los datos relativos a la salud.

Toma de decisiones individual automatizada (art. 22): «el interesado tendrá derecho a no ser sometido a una decisión basada únicamente en un tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos sobre las personas o que les afecte de manera análoga y significativa». Los Estados miembros podrán adoptar leyes que introduzcan otras condiciones con «medidas adecuadas para salvaguardar los derechos y libertades del interesado y sus intereses legítimos».

Restricciones (art. 23): Los Estados miembros pueden restringir los derechos previstos en el RPD por varias razones, entre ellas la seguridad nacional y pública, la defensa, las infracciones penales, la independencia y los procedimientos judiciales, las reclamaciones de derecho civil, el interés público general… Tales restricciones deben respetar la esencia de los derechos y libertades fundamentales y deben ser una medida necesaria y proporcionada en una sociedad democrática. La mayoría de los Estados Miembros han definido restricciones, especialmente para el derecho de acceso (art. 15), el derecho a la información (art. 13/14), el derecho de rectificación (art. 16) y la supresión (art. 17).

Notificación de la violación de datos (art. 33/34): el responsable del tratamiento notifica la violación a la autoridad de control en un plazo de 72 horas y la comunica al interesado sin demora injustificada en caso de riesgo elevado para los derechos y libertades de las personas físicas (es decir, personas no jurídicas). La mayoría de los Estados miembros optó por no desviarse de la RBP, aunque unos pocos han añadido excepciones o modificado los requisitos de notificación.

Responsable de la protección de datos (artículo 37): el Responsable de Protección de Datos (RPD) es obligatorio en tres casos (autoridad u organismo público, supervisión periódica y sistemática de los interesados a gran escala, tratamiento a gran escala de categorías especiales de datos), pero los Estados miembros pueden especificar otras circunstancias en las que debe nombrarse un RPD. Por ejemplo, Alemania especifica que un RPD es obligatorio para las empresas que emplean constantemente al menos a 20 empleados que se dedican al tratamiento automatizado de datos personales (antes del 28 de junio de 2019 el umbral era de solo 10 empleados).

Facultades de las autoridades de supervisión (artículo 58): Los Estados miembros podrán añadir nuevas competencias a las tres categorías (investigación, corrección, asesoramiento). La mayoría de los Estados miembros no lo han hecho, pero algunos han añadido detalles en la lista de competencias o en su ejercicio.

Representación de los interesados (art. 80.2): Los Estados miembros podrán permitir que las ONG y las asociaciones de consumidores inicien una acción en nombre de los interesados sin el mandato de éstos. La mayoría de los Estados miembros han optado por limitar la acción a las organizaciones que se benefician del mandato de los interesados.

Fines de investigación o estadísticos (artículo 89): Los Estados miembros deberán establecer salvaguardias para las excepciones al tratamiento de datos personales con fines de archivo de interés público, de investigación científica o histórica, o con fines estadísticos. Una pequeña mayoría de los Estados miembros optó por no establecer garantías adicionales, mientras que otros han añadido condiciones y detalles de tratamiento para las garantías (anonimización, seudonimización). Este punto requiere atención ya que las especificaciones o restricciones locales relativas al artículo 89 pueden tener un gran impacto en el sector de los estudios de mercado.

¿Qué leyes locales debo conocer?

Una empresa que trata con datos personales en varios países debe prestar atención a cada una de las especificaciones nacionales. Los derechos están definidos por el país de residencia de los interesados, no por la ubicación de la empresa! Por ejemplo, se debe comprobar la edad nacional de consentimiento antes de entrevistar a niños y jóvenes (a menos que la edad mínima para participar en una encuesta sea de 16 años o más).

¿A quién puedo preguntar si quiero hacer una doble comprobación?

Si usted es miembro de la ESOMAR, siempre puede ponerse en contacto con nuestra mesa de consultas para pedir aclaraciones sobre si los países en los que está llevando a cabo la investigación pueden tener estas especificaciones adicionales o interpretaciones únicas que debe tener en cuenta.

¿Existen fuentes adicionales de información detallada por país?

Recursos de ESOMAR:

ESOMAR tiene una página sobre la RPI que cubre todos nuestros recursos y contenidos sobre la RPI: https://www.esomar.org/RGPD

Las nuevas páginas web de ESOMAR proporcionan alguna información legal (edad de consentimiento, leyes de protección de datos y autoridad, datos sensibles…): https://www.esomar.org/community/our-community/country-page

Grupos de investigación sobre la privacidad académica:

https://www.brusselsprivacyhub.eu/index.html 

https://lsts.research.vub.be/en/specifying-the-RGPD/

https://blogdroiteuropeen.files.wordpress.com/2019/02/national-adaptations-of-the-RGPD-final-version-27-february-1.pdf

https://www.ugent.be/re/mpor/law-technology/en/research/childrensrights.htm

https://www.larcier.com/fr/manuel-de-droit-europeen-de-la-protection-des-donnees-a-caractere-personnel-2020-9782802764328.html

Documentación oficial de la UE:

https://ec.europa.eu/commission/presscorner/detail/en/IP_19_4449

https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeetingDoc&docid=30306

Informe de un grupo líder de defensa de la privacidad: https://www.accessnow.org/cms/assets/uploads/2019/06/One-Year-Under-RGPD.pdf

Path Copy Created with Sketch.
X