Resumen del dictamen del Supervisor Europeo de Protección de Datos sobre las garantías y excepciones del artículo 89 del RGPD en el contexto de la propuesta de Reglamento relativo a las estadísticas integradas sobre explotaciones agrícolas

(El texto completo del presente dictamen está disponible en inglés, francés y alemán en el sitio web del SEPD www.edps.europa.eu)

(2018/C 14/06)

La propuesta de Reglamento relativo a las estadísticas integradas sobre explotaciones agrícolas presentada por la Comisión, previa consulta al Supervisor Europeo de Protección de Datos, plantea algunos problemas de protección de datos en sí misma. No obstante, las modificaciones propuestas en el marco de las deliberaciones del Consejo plantean nuevos problemas que no figuraban inicialmente en la propuesta de la Comisión. En particular, si se incluyeran estas modificaciones en el texto final, la propuesta de Reglamento se convertiría en el primer instrumento legislativo de la UE que establecería una excepción a los derechos de acceso y rectificación, así como al derecho de limitación y al derecho de oponerse al tratamiento de datos personales con fines estadísticos contemplados en el artículo 89 del Reglamento general de protección de datos. Por ello, el SEPD se congratula de que el Consejo le haya consultado acerca de estas modificaciones, brindándole así la oportunidad de emitir un dictamen en esta fase del procedimiento.

El presente informe se centra en la necesidad de examinar las excepciones al artículo 89 del RGPD a la vista de lo dispuesto en la Carta. El SEPD hace hincapié, en particular, en que los derechos de acceso y rectificación figuran en el artículo 8, apartado 2, de la propia Carta, y son considerados componentes fundamentales del derecho a la protección de los datos personales. Cualquier excepción a dichos derechos no debe trascender lo estrictamente necesario para alcanzar su objetivo y debe cumplir las estrictas normas establecidas en el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea y en el artículo 89 del RGPD.

Aparte de subrayar que es preciso llevar a cabo una evaluación exhaustiva de dicha necesidad, este dictamen también señala que se debe minimizar el alcance de las limitaciones, y expone la naturaleza de las garantías requeridas. El dictamen examina igualmente lo dispuesto en el artículo 11 del RGPD, que podría contribuir a disipar algunas de las preocupaciones de los institutos nacionales de estadística que planteó el Consejo, sin necesidad de recurrir a excepciones al artículo 89 del RGPD. En particular, con arreglo al artículo 11, en aquellos casos en que el responsable sea capaz de demostrar que no está en condiciones de identificar al interesado, no se aplicarán los derechos de los interesados contemplados en los artículos 15 a 20.

En vista de ello, el SEPD recomienda que el Consejo vuelva a examinar si las excepciones propuestas son necesarias a la vista de la norma establecida en el artículo 89 del RGPD interpretada a la luz de la Carta. A menos que el legislador de la UE pueda presentar otras justificaciones de la necesidad de dichas excepciones, y reducir el alcance de las disposiciones, el SEPD recomienda que se examine si el artículo 11 del RGPD puede contribuir a disipar las preocupaciones legítimas de los institutos nacionales de estadística. Lo dispuesto en este artículo puede ser relevante en aquellas fases del tratamiento de datos en las que ya se han suprimido las claves que conectan a las personas con los conjuntos de datos sobre ellas, y se han adoptado otras medidas técnicas y organizativas para garantizar que los institutos de estadística o cualquier otra parte no puedan volver a identificarlas.

No obstante, el SEPD hace hincapié en que las normas generales contempladas en el RGPD siguen siendo de aplicación en el período inicial que a menudo es necesario para la elaboración de estadísticas, durante el cual las personas deben seguir siendo identificables de forma directa o indirecta. El hecho de que la adopción de medidas técnicas y organizativas para conceder acceso y otros derechos a las personas pueda requerir recursos financieros y humanos no es, en sí mismo, una justificación válida para establecer una excepción a los derechos de las personas contemplados en el RGPD. Esto es así para todos los derechos de los interesados establecidos en el RGPD y resulta especialmente crucial para los derechos de acceso y rectificación que consagra expresamente la Carta y constituyen elementos esenciales del derecho fundamental a la protección de los datos personales.

1.   INTRODUCCIÓN Y ANTECEDENTES

El 9 de diciembre de 2016, la Comisión Europea (en lo sucesivo, «Comisión») adoptó la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a las estadísticas integradas sobre explotaciones agrícolas y por el que se derogan los Reglamentos (CE) n.o 1166/2008 y (UE) n.o 1337/2011 (en lo sucesivo, «Propuesta») (1). La finalidad de la Propuesta es crear un sistema más coherente, flexible e interconectado de estadísticas sobre explotaciones agrícolas y establecer el marco legislativo para un programa de encuestas sobre dichas explotaciones que comenzará con un censo agrícola en 2020.

La propuesta de Reglamento presentada por la Comisión, tras consultar al Supervisor Europeo de Protección de Datos (en lo sucesivo, «SEPD»), tan solo planteaba algunos problemas de protección y estos se habían resuelto adecuadamente en la Propuesta. De hecho, el SEPD acoge con satisfacción haber sido consultado por la Comisión antes de la adopción de la Propuesta y que se hayan tenido en cuenta sus observaciones informales. En particular, apoya las referencias, mencionadas en el considerando 16, a la legislación sobre protección de datos aplicable, a saber, la Directiva 95/46/CE del Parlamento Europeo y del Consejo (2) y las disposiciones nacionales que la trasponen, así como el Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo (3), según el caso. También acoge con beneplácito que se mencione, en el considerando 26, que se ha consultado al SEPD. Dado que la Propuesta, publicada el 9 de diciembre de 2016, no dejaba problemas pendientes en materia de protección de datos, el SEPD decidió en ese momento no emitir un dictamen formal.

Sin embargo, algunas de las modificaciones debatidas en el marco de las negociaciones en el Consejo de la Unión Europea (en lo sucesivo, «Consejo») durante el proceso legislativo plantean nuevos problemas que no figuraban inicialmente en la propuesta de la Comisión. Si estas modificaciones se incluyeran en el texto final, la propuesta de Reglamento se convertiría en el primer instrumento legislativo de la UE en establecer expresamente una excepción a los derechos de acceso y rectificación, así como al derecho de limitación y al derecho de oponerse al tratamiento de datos personales con fines estadísticos contemplados en el artículo 89 del Reglamento general de protección de datos (en lo sucesivo, «RGPD»).

Este importante nuevo elemento justifica que el SEPD emita un dictamen en esta fase del procedimiento. Por ello, el SEPD acoge con satisfacción que el Consejo haya decidido consultarle al respecto y le haya pedido específicamente el 26 de septiembre de 2017 que examinara las modificaciones propuestas en el marco de las negociaciones en el Consejo (4).

El propósito de este dictamen es presentar recomendaciones concretas sobre las modificaciones a la propuesta de Reglamento que se debaten en el Consejo. La sección 2 del presente dictamen se centra en exponer y ayudar a determinar si las excepciones propuestas satisfacen la prueba de necesidad de las excepciones con fines estadísticos contemplada en el artículo 89 del RGPD y en el artículo 52, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea (en lo sucesivo, «Carta»). Asimismo, en la sección 3, el SEPD presenta recomendaciones acerca de las disposiciones propuestas en materia de garantías.

4.   CONCLUSIONES

Si se incluyeran estas modificaciones en el texto final, la propuesta de Reglamento se convertiría en el primer instrumento legislativo de la UE que establecería una excepción a los derechos de acceso y rectificación, así como al derecho de limitación y al derecho de oponerse al tratamiento de datos personales con fines estadísticos contemplados en el artículo 89 del RGPD.Dada la novedad e importancia de este tema, el SEPD acoge con satisfacción la consulta del Consejo y le agradece que haya expresado sus preocupaciones acerca de los efectos que esta Propuesta podría tener en la protección de los datos personales.

Si se justificara posteriormente la necesidad de excepciones específicas, el SEPD presentaría las siguientes recomendaciones adicionales respecto al artículo 12 bis relativo a las condiciones y garantías:

(1)  COM(2016) 786 final – 2016/0389 (COD).

(2)  Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO L 281 de 23.11.1995, p. 31).

(3)  Reglamento (CE) n.o 45/2001 del Parlamento Europeo y del Consejo, de 18 de diciembre de 2000, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones y los organismos comunitarios y a la libre circulación de estos datos (DO L 8 de 12.1.2001, p. 1).

(4)  Véase la nota de la Presidencia a las delegaciones sobre «el considerando 16 bis y el artículo 12 bis en el texto de la Presidencia (protección de datos)» (doc. 12351/17) publicada en Bruselas el 21 de septiembre de 2017. Este documento está a disposición del público en el Registro del Consejo en http://data.consilium.europa.eu/doc/document/ST-12351-2017-INIT/en/pdf