31.8.2017   

ES

Diario Oficial de la Unión Europea

C 288/107

Ponente:

Jorge PEGADO LIZ

1.1

Con la propuesta objeto de análisis, la Comisión da cumplimiento efectivo, de forma por lo general correcta y adecuada desde un punto de vista estrictamente técnico-jurídico, a la adaptación necesaria del actual régimen del Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo  (1) y la Decisión n.o 1247/2002/CE del Parlamento Europeo, del Consejo y de la Comisión  (2) relativos a la protección de los datos de carácter personal por las instituciones y los organismos de la Unión al nuevo Reglamento general de protección de datos (RGPD) (3), que será aplicable en toda la UE a partir del 25 de mayo de 2018.

1.2

Ello no es óbice para que el CESE recuerde el contenido de sus observaciones y recomendaciones relativas a la propuesta de RGPD, ahora transformada en el actual RGPD, y lamente que la versión final no las haya tenido en cuenta íntegramente, además de expresar su temor por que su aprobación y entrada en vigor tardías, dada la rápida evolución tecnológica en este ámbito, aumenten los riesgos de apropiación indebida de datos y el abuso de su tratamiento y comercialización, de manera que el Reglamento quede obsoleto incluso antes de su aplicación. En la medida en que la propuesta objeto de examen es una adaptación de ese RGPD al funcionamiento de las instituciones europeas, estos temores se aplican, mutatis mutandis, al texto en cuestión, en particular por lo que se refiere a la opacidad de su lenguaje, de difícil comprensión para el ciudadano medio.

1.3

Por otro lado, el CESE considera que lo que ocurre en las instituciones de la UE debe tomarse como ejemplo para los procedimientos a nivel nacional, por lo que considera necesario tener un cuidado especial en la redacción de la propuesta sometida a examen.

1.4

En este sentido, al CESE le gustaría que se hubiesen tratado de forma explícita aspectos como la articulación de la propuesta con el Estatuto de los funcionarios de la Unión Europea, el tratamiento de las situaciones de acoso, ciberacoso y denuncia de irregularidades dentro de las instituciones de la UE, su aplicación en lo que respecta a la internet de las cosas, los macrodatos y la utilización de motores de búsqueda con fines de acceso, creación o utilización de datos personales, así como la información personal publicada en las páginas de las instituciones en las redes sociales (Facebook, Twitter, Instagram, LinkedIn, etc.).

1.5

Asimismo, el CESE valoraría que la propuesta se hubiese preocupado por enunciar los términos relativos a la seguridad de los sistemas informáticos que darán soporte a los tratamientos de datos y las garantías contra ciberataques y la violación o fugas de dichos dados, asegurando su neutralidad tecnológica, sin relegarlas únicamente a normas internas específicas de cada servicio, y aclarar así mejor la relación entre la protección de datos y la lucha contra la delincuencia y el terrorismo, sin que ello signifique la adopción de medidas desproporcionadas o excesivas de vigilancia y en cualquier caso siempre sujetas al control del Supervisor Europeo de Protección de Datos (SEPD).

1.6

Valoraría también que la propuesta hubiese definido las competencias y las características de formación e idoneidad exigibles para la designación como delegado de protección de datos, responsable del tratamiento de datos y encargado del tratamiento en las instituciones de la UE, sometidas al control y seguimiento del SEPD.

1.7

El CESE apreciaría también que, dada la especificidad de los datos recogidos que se refieren directamente a la vida privada de los interesados, en particular en términos de salud y datos fiscales y sociales, estos se limitasen a lo estrictamente necesario para los fines a los que se destinan y se garantizase la máxima protección y las máximas garantías en el tratamiento de dichos datos personales especialmente delicados, basándose en las normas internacionales y las legislaciones nacionales más avanzadas y en la mejores prácticas de algunos Estados miembros.

1.8

El CESE destaca la necesidad de que la propuesta prevea expresamente el refuerzo de los medios del SEPD y la asignación de personal suficiente y elevados conocimientos y competencia técnica al ámbito de protección de datos.

1.9

El CESE reafirma, una vez más, la necesidad de que los datos de las personas jurídicas (empresas, ONG, sociedades mercantiles, etc.) legalmente constituidas sean también objeto de protección en el ámbito de la recogida y tratamiento.

1.10

Por último, el CESE señala en su análisis específico una serie de modificaciones en varios requisitos que, si se adoptan, contribuirán a una protección más eficaz de los datos personales en las instituciones de la UE, no solo en relación con sus funcionarios, sino también con miles de ciudadanos europeos que se ponen en contacto con ellas, por lo que insta a la Comisión, pero también al Parlamento Europeo y al Consejo, a que las tengan en cuenta en la redacción final de la propuesta.

2.1

Según ha señalado la Comisión en la correspondiente exposición de motivos, el objetivo de su propuesta es derogar el Reglamento (CE) n.o 45/2001  (4) y la Decisión n.o 1247/2002/CE relativos a la protección de los datos de carácter personal por las instituciones, órganos y organismos de la Unión, con dos objetivos:

2.2

Tras una larga y atribulada gestación, el Consejo y el Parlamento aprobaron el Reglamento general sobre protección de datos (RGPD) (5), que será aplicable en toda la UE a partir del 25 de mayo de 2018; este Reglamento implica una adaptación de varios instrumentos legislativos (6), entre los que destacan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE mencionados.

2.3

Teniendo en cuenta los resultados de las investigaciones y las consultas a las partes interesadas y el estudio de evaluación de su aplicación a lo largo de los últimos quince años, de los que la Comisión da cuenta ampliamente, esta concluyó, en particular, que:

2.4

Teniendo en cuenta la naturaleza y la magnitud de las modificaciones que deben incorporarse en los anteriores instrumentos jurídicos, la Comisión decidió su derogación in totum y su sustitución por el Reglamento objeto de examen, de conformidad con las demás disposiciones citadas, para que entren en vigor simultáneamente con el Reglamento (UE) 2016/679 y con arreglo a lo dispuesto en su artículo 98.

3.1

Desde un punto de vista estrictamente técnico-jurídico, el CESE da su acuerdo de principio en cuanto a:

3.2

Esto no afecta al contenido de sus observaciones y recomendaciones relativas a la propuesta de RGPD (8), ahora transformada en el actual RGPD (9), que la versión final no incluye íntegramente y cuya adopción y entrada en vigor tardías resultarán aún más perjudiciales, dada la rápida evolución tecnológica en este ámbito, que aumenta los riesgos de apropiación indebida de datos y el abuso de su tratamiento y comercialización, por lo que se teme que quede obsoleta incluso antes de su aplicación. En la medida en que la propuesta objeto de examen es una adaptación de ese RGPD al funcionamiento de las instituciones europeas, estos temores se aplican, mutatis mutandis, al texto en cuestión, en particular por lo que se refiere a la opacidad de su lenguaje, de difícil comprensión para el ciudadano medio, que idealmente tendría que haberse presentado y debatido de forma simultánea a esa propuesta.

3.3

Por otro lado, habida cuenta de que lo que ocurre en las instituciones de la UE debe considerarse como ejemplo para los procedimientos a nivel nacional, al CESE le gustaría que se hubiesen abordado ciertos temas en la propuesta objeto de análisis.

3.4

Desde luego, no está claro si esta última se ha articulado debidamente con el Estatuto de los funcionarios de la Unión Europea [Reglamento n.o 31 (CEE) (10)], puesto que faltan dispositivos normativos específicos que garanticen que los datos personales de los funcionarios y colaboradores de las instituciones sean objeto de una garantía de protección más eficaz en lo que se refiere a su contratación, carrera profesional, período de vigencia del contrato, posibles renovaciones y evaluación.

3.4.1

Si no en este acto, deberían preverse no obstante disposiciones de carácter general con normas relativas al historial médico de los funcionarios y sus familiares, la protección de los datos creados o utilizados por los funcionarios y los respectivos datos genéticos, el tratamiento y la protección de mensajes enviados por correo electrónico, ya sean enviados por ciudadanos a los organismos de la UE o emitidos o intercambiados por funcionarios de dichos organismos entre ellos y con el exterior, y sus contenidos y páginas de internet visitadas (11).

3.4.2

Del mismo modo, merecerían un tratamiento especial las situaciones de acoso, ciberacoso y denuncia de irregularidades dentro de las instituciones de la UE, no obstante lo dispuesto en el artículo 68.

3.4.3

El CESE se plantea interrogantes asimismo sobre los términos de aplicación de la propuesta presentada y del Reglamento (UE) 2016/679 por lo que respecta a la internet de las cosas, los macrodatos y la utilización de motores de búsqueda con fines de acceso, creación o utilización de datos personales, así como la información personal publicada en las páginas de las instituciones en las redes sociales (Facebook, Twitter, Instagram, LinkedIn, etc.), con independencia del consentimiento expreso del interesado.

3.5

Al CESE le gustaría que la propuesta de la Comisión, además de la referencia a la confidencialidad de las comunicaciones electrónicas del artículo 34 de la propuesta de Reglamento, se hubiese preocupado de enunciar los términos de seguridad de los sistemas informáticos que darán soporte a los tratamientos de datos (12) y las garantías contra ciberataques y la violación o fugas de dichos dados, asegurando su neutralidad tecnológica, sin relegarlas únicamente a normas internas específicas de cada servicio, y aclarar así mejor la relación entre la protección de datos y la lucha contra la delincuencia y el terrorismo, sin que ello signifique la adopción de medidas desproporcionadas o excesivas de vigilancia y en cualquier caso siempre sujetas al control del SEPD.

3.6

El CESE destaca que la interconexión de datos personales dentro de las organizaciones de la UE no puede supeditarse solo al principio de rendición de cuentas previsto en el considerando 16 e insta, en ese sentido, a la Comisión a introducir una norma específica que exija que la interconexión solo pueda realizarse después de ser autorizada por el SEPD y solicitada por el responsable del tratamiento o, de manera conjunta, por el encargado del tratamiento.

3.7

Valoraría que, sin perjuicio de lo dispuesto en el punto 51 del preámbulo y en el artículo 44, apartado 3, de la propuesta, se hubiesen definido las competencias y las características de formación e idoneidad exigibles para la designación como delegado de protección de datos, responsable del tratamiento de datos y encargado del tratamiento en las instituciones de la UE (13), cuyo posible incumplimiento de las obligaciones debería ser objeto de sanciones verdaderamente disuasorias, a nivel disciplinar, civil y penal, enunciadas en la propuesta y sujetas al control y seguimiento del SEPD.

3.8

Aunque reconoce que la propuesta objeto de examen representa un aumento del nivel de protección con respecto al actual Reglamento (CE) n.o 45/2001, al CESE le gustaría que, dada la especificidad de los datos recogidos que afectan directamente a la vida privada de los interesados, en particular en términos de salud y datos fiscales y sociales, la propuesta los limitase a lo estrictamente necesario para los fines a los que se destinan y ofreciese la máxima protección y las máximas garantías en el tratamiento de los datos personales, basándose en las normas internacionales y las legislaciones nacionales más avanzadas y en la mejores prácticas de algunos Estados miembros (14).

3.9

Aunque es consciente de que tanto el Reglamento (UE) 2016/679 como la propuesta presentada ahora solo se aplican a datos de interesados que sean personas físicas, reafirma la necesidad de que los datos de las personas jurídicas (empresas, ONG, sociedades mercantiles, etc.) legalmente constituidas sean también objeto de protección en el ámbito de la recogida y tratamiento.

4.1

El análisis específico del texto de la propuesta suscita algunas dudas y reservas, a la luz de los principios fundamentales de defensa de la vida privada establecidos en la Carta de los Derechos Fundamentales de la UE y los principios de proporcionalidad y precaución.

4.3.1

Teniendo en cuenta que el Reglamento propuesto ahora se aplica a los datos tratados en el ámbito de las instituciones de la UE, el CESE desearía que se consagrase la introducción expresa del principio de no discriminación en virtud de los datos tratados.

4.3.2

Por lo que se refiere al artículo 4, apartado 1, letra b), en el caso de tratamiento para fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, este debe estar sujeto a una autorización previa del Supervisor Europeo de Protección de Datos, que no se prevé en el artículo 58.

4.3.3

Por último, se entiende que debería existir una disposición expresa equivalente el actual artículo 7 del Reglamento (CE) n.o 45/2001 en lo que respecta a la transferencia de datos entre instituciones de la UE.

4.4.1

No se entiende por qué la letra b) del artículo 5, apartado 1, de la propuesta de Reglamento no está sujeta a lo establecido en el apartado 2 del mismo artículo, al contrario de lo que sucede con las letras c) y e) del artículo 6, ambas sometidas a lo dispuesto en el apartado 3 del RGPD.

4.4.2

El CESE considera que en la letra d) debería añadirse que el consentimiento debe estar sujeto al principio de buena fe.

4.5.1

La aplicación de este artículo debe estar siempre sujeta a una autorización del Supervisor Europeo de Protección de Datos.

4.5.2

En estos casos, siempre debe informase al interesado previamente de esta posibilidad en el momento de la recogida o cuando se tome una nueva decisión, pudiéndose solicitar eventualmente la rectificación, oposición, supresión o limitación de este tratamiento.

4.6.1

El CESE entiende que la excepción a la norma de validez del consentimiento de menores de 16 años (entre 13 y 16 años), ya de por sí aberrante, solo se permite a los Estados miembros por razones culturales de Derecho interno (artículo 8 del RGPD), pero no debe admitirse como norma para las instituciones de la UE (artículo 8, apartado 1), que determina los 13 años.

4.6.2

Por otro lado, no se concreta de qué forma debe prestar el SEPD «especial atención» a los niños, como se establece en el artículo 58, apartado 1, letra b), especialmente en el caso de las guías de usuarios previstas en el artículo 36 cuando sus datos sean accesibles al público.

4.7.1

En el apartado 1 debe incluirse también la afiliación a partidos (que no es sinónimo de opinión política) y la vida privada.

4.7.2

En el apartado 2, letra b), incluso para el cumplimiento de obligaciones y el ejercicio de derechos específicos del interesado, siempre deberá informarse previamente a este último.

4.7.3

En el apartado 2, letra d), el tratamiento solo deberá poder efectuarse si existe consentimiento del interesado.

4.7.4

La letra e) solo debe constituir una excepción siempre que se pueda deducir legítimamente de sus declaraciones el consentimiento para el tratamiento de los datos.

4.9.1

En el caso de la información adicional prevista en el artículo 15, apartado 2, debe añadirse también el requisito de que se informe al interesado del carácter obligatorio o facultativo de la respuesta del responsable del tratamiento, así como las posibles consecuencias de la ausencia de respuesta.

4.9.2

En caso de recogida de datos en redes abiertas, debe informarse siempre al interesado de que sus datos personales podrían circular en las redes sin condiciones de seguridad, corriendo el riesgo de ser vistos y utilizados por terceros no autorizados.

4.9.3

El derecho previsto en el artículo 17, apartado 1, debe ejercerse libremente sin restricciones, con una periodicidad razonable, de forma rápida o inmediata y sin coste.

4.9.4

El CESE indica que el interesado también debería ser informado obligatoriamente sobre la confirmación de si se están tratando o no datos personales que le conciernen.

4.9.5

La información a que se refiere el artículo 17, apartado 1, debe facilitarse de forma inteligible, clara y comprensible, en particular sobre los datos objeto de tratamiento y cualquier información sobre el origen de estos datos.

4.11.1

El CESE entiende que en el apartado 2, letra c), debería añadirse que este consentimiento solo se produce tras informar expresamente sobre las repercusiones jurídicas de las decisiones para el interesado, puesto que solo en esa medida será el consentimiento debidamente informado.

4.11.2

Por lo que se refiere al apartado 3, el CESE entiende que las medidas adecuadas deberían ser definidas por el Supervisor Europeo de Protección de Datos y no por el responsable del tratamiento.

4.12.1

El CESE teme que la redacción del artículo 25 de la propuesta de Reglamento constituya una interpretación demasiado amplia de lo dispuesto en el artículo 23 del RGPD en cuanto al ámbito de las limitaciones a la aplicación de los requisitos que establecen los derechos fundamentales del interesado, y aconsejaría a la Comisión su revisión crítica basada en un análisis exhaustivo y posiblemente limitativo de varias letras, en particular por lo que se refiere a la restricción del derecho a la confidencialidad en las redes de comunicación electrónica prevista en el artículo 7 de la Carta de los Derechos Fundamentales, contemplada en la actual Directiva sobre privacidad electrónica y mantenida en la propuesta de Reglamento analizada en otro dictamen del CESE.

4.12.2

El CESE se opone rotundamente a la posibilidad prevista en el artículo 25, apartado 2, relativa a la limitación por las instituciones y organismos de la Unión de la aplicación de las limitaciones a los derechos de los interesados que no se deriven de actos jurídicos expresos que las autoricen. Lo mismo en el artículo 34.

—

impedir que personas no autorizadas tengan acceso a las instalaciones utilizadas para el tratamiento de dichos datos;

—

impedir que personas no autorizadas puedan leer, copiar, modificar o llevarse los soportes de datos;

—

impedir la introducción no autorizada y la toma de conocimiento, modificación o eliminación no autorizadas de datos personales introducidos;

—

impedir que los sistemas de tratamiento automatizado de datos puedan ser utilizados por personas no autorizadas por medio de instalaciones de transmisión de datos;

—

garantizar la verificación de las entidades a las que pueden transmitirse los datos personales;

—

garantizar que las personas autorizadas solo puedan tener acceso a los datos previstos por la autorización previa.

4.20.1

Sin prejuicio de lo señalado anteriormente, siempre que no sea un funcionario, el delegado de protección de datos en virtud de la naturaleza de su cargo debe poder ser destituido en cualquier momento, bastando para ello un dictamen favorable del SEPD (artículo 45, apartado 8, del Reglamento).

4.20.2

Se entiende que el período de su mandato debe ser fijo, durar cinco años y ser renovable solo una vez.

4.25

La propuesta de Reglamento está plagada de expresiones o nociones de carácter ambiguo y subjetivo, que se aconseja revisar y sustituir. Es el caso, por ejemplo, de «en la medida de lo posible», «cuando sea posible», «sin dilación», «alto riesgo», «debidamente en cuenta», «plazo razonable» y «pertinente en particular».