Miguel Recio
La estrategia europea de datos contará, a partir del 24 de septiembre de 2023, con una norma más en protección de datos personales, ya que es la fecha de aplicación efectiva del Reglamento (UE) 2022/868 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a la gobernanza europea de datos y por el que se modifica el Reglamento (UE) 2018/1724 (Reglamento de Gobernanza de Datos).
Es necesario señalar que se trata de una norma compleja por lo que se refiere a las disposiciones en materia de protección de datos personales, ya que se plantean múltiples cuestiones que no tienen fácil solución y que requerirán de directrices e interpretaciones por los actores que tengan que aplicarla o tengan competencias en la materia, tales como las autoridades de protección de datos. Además, habrá que ver cómo se implementan medidas relativas, entre otras, a la prohibición de reidentificación de los interesados a partir de conjuntos de datos anonimizados y qué consecuencias tendría al ser una brecha de seguridad de los datos personales.
Si prestamos atención a las cuestiones más relevantes en protección de datos personales, cabe destacar que el Reglamento de Gobernanza de Datos tiene un triple ámbito de aplicación subjetivo, ya que (i) establece las condiciones de reutilización de determinadas categorías de datos que obren en poder de organismos del sector público, (ii) se aplica a los prestadores de servicios de intermediación de datos y (iii) contempla la inscripción voluntaria en un registro de las entidades que recojan y traten datos cedidos con fines altruistas.
En cada caso se plantean cuestiones que ponen de manifiesto la existencia de solapamientos y vacíos con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o RGPD).
Ya en el caso de los organismos públicos se suscitan dudas sobre la base de legitimación del tratamiento de datos personales. Si un organismo del sector público es definido como las autoridades estatales, regionales o locales, los organismos de Derecho público o las asociaciones constituidas por una o más de dichas autoridades o por uno o más de dichos organismos de Derecho público (art. 2.17), el consentimiento no debería ser una opción, ni siquiera la última posibilidad a falta de otra base de legitimación, ya que “este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública” (considerando 43 del RGPD). Al mismo tiempo, los reutilizadores tendrán que adoptar medidas para gestionar el consentimiento, lo que en la práctica resulta muy complejo.
El consentimiento expreso se ha previsto también en el caso de la anonimización de datos personales por los prestadores de servicios de intermediación de datos (véanse el considerando 32 y el artículo 12.c), lo que de nuevo implica considerar si no habría otras bases de legitimación aplicables más adecuadas que el consentimiento.
También se plantean problemas por lo que se refiere al denominado como “altruismo de datos”. En concreto, se prevé que la Comisión Europea elaborará un formulario europeo de consentimiento para la cesión altruista de datos, pero entre otras cuestiones cabría preguntarse ¿si los datos personales serán tratados con fines de “interés general”, no sería más adecuado hacerlo sobre la base de legitimación del interés público y no sobre la del consentimiento? y ¿qué ocurrirá si algún Estado miembro plantea alguna cuestión divergente sobre el consentimiento como base de legitimación del tratamiento de datos personales o su revocación?
Por último, el Reglamento de Gobernanza de Datos prevé varias fechas relevantes por lo que se refiere a su entrada en vigor y aplicación. En el caso de aquellas entidades que presten servicios de intermediación a fecha 23 de junio de 2022, tendrán de plazo hasta el 24 de septiembre de 2025 para cumplir con las obligaciones previstas en el Capítulo III del Reglamento, entre las que se encuentra la relativa a intercambiar los datos en el mismo formato en el que los reciban del interesado o del titular de los datos, salvo convertirlos en formatos específicos para mejorar la interoperabilidad intrasectorial e intersectorial, entre otros supuestos.
Y en cuanto a su entrada en vigor y aplicación efectiva, la primera se produjo el día 23 de junio de 2022, a los veinte días de su publicación en el Diario Oficial de la Unión Europea, mientras que la segunda será a partir del 24 de septiembre de 2023.
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.
_840x420.jpg?v=3)
(W).jpg?v=1)
Las cookies de redes sociales recolectan información cuando usted comparte información de nuestro sitio vía redes sociales o la analizan para entender sus búsquedas entre sus redes sociales y nuestras campañas de Redes Sociales y nuestros propios sitios web. Hacemos esto para poder optimizar la mezcla de canales disponibles para proveerle de contenido. Los detalles de estas herramientas se encuentran en nuestra política de privacidad.