11/01/2012 | Para realizar este trabajo he optado por comentar algunos artículos –el texto del borrador de Reglamento es bastante extenso- pero no sólo de manera expositiva, sino que he tratado de relacionarlo, en algunos supuestos, con la normativa vigente, realizando también reflexiones sobre algunas cuestiones
Asimismo, encontrarán algunos pies de páginas referidos a documentos de los cuales recomiendo su lectura.

Para facilitar la lectura y su comprensión, he seguido una estructura de comentar “artículo por artículo”.

Como he comentado al principio, se trata de un borrador y por tal carácter su contenido hay que tomarlo con mucha cautela, aunque sirve para darnos una idea de cuál va a ser la reforma definitiva, o al menos, el espíritu de la misma, que no es otro que reforzar y proteger el derecho fundamental a la protección de datos personales.

Artículo 2. “Ámbito de aplicación”.

Trata de solucionar el llamado problema de “ley aplicable” en sus diferentes vertientes (“cloud computing”, tratamiento de datos por empresas que no tengan sede en la Unión Europea…) utilizando para ello la base del Dictamen 8 /2010[1] sobre Derecho Aplicable elaborado por el Grupo de Trabajo de la Unión Europea del Artículo 29 de la Directiva.

De esta forma, se define el ámbito de la siguiente manera:

Cuando el tratamiento se realice en el marco de las actividades llevadas a cabo por el responsable o encargado cuyo establecimiento se encuentre en la Unión Europea.
Cuando el tratamiento de datos afecte a los ciudadanos de la Unión aunque el responsable no tenga establecimiento en la misma, siempre que el citado tratamiento esté dirigido a obtener/tratar los datos de los afectados o se utilicen para controlar su comportamiento. Esta referencia, hay que conectarla con el artículo 22 del borrador, que se refiere a la designación de un representante cuando el responsable no tenga sede en el territorio de la Unión.
Sobre esta cuestión, el Dictamen 8/2010 se refiere en el sentido de que se utilicen medios en los Estados de la Unión para la recogida de datos aunque el responsable esté fuera de la misma, poniendo como ejemplo el uso de vehículos para la recogida de información sobre punto de acceso wifi o la propia computación en nube usando la instalación de cookies o javascripts.

No obstante, dicho dictamen abre la puerta a que este criterio de los medios se complemente con “un factor de conexión más específico, que tuviera en cuenta la oportuna orientación hacia las personas”. Por lo tanto, este apartado sobre el ámbito de aplicación supondría la aplicación de la normativa de protección de datos, cuando la empresa esté fuera de la Unión Europea, en base al criterio de “orientación hacia las personas”.

Cuando el tratamiento de los datos personales se realice por medios total o parcialmente informatizados o que no sean automatizados pero vayan a formar parte de un archivo. De este apartado puede deducirse dos interpretaciones: por una parte, estamos ante el supuesto “clásico” del fichero (ver también la definición de archivo en la parte del borrador sobre las definiciones –artículo 3-); por otra, podemos entender que aparece el criterio de los medios al que me he referido en el apartado anterior.
Cuando el tratamiento de datos personales se realice por un responsable que no esté establecido en la Unión Europea pero se aplique la ley de un Estado miembro de la Unión en base al Derecho Internacional Público. El Dictamen 8/2010 nos aclara esta cuestión cuando dice que “Así puede ocurrir cuando el Derecho internacional público o acuerdos internacionales determinan el Derecho aplicable a una embajada o consulado, o el aplicable a un buque o una aeronave. En estos casos, cuando el responsable del tratamiento está establecido en uno de estos lugares específicos, el Derecho nacional de protección de datos aplicable se determinará por el Derecho internacional”.
Sobre los cuatro supuestos, resaltar que en todo momento se habla de tratamiento coincidiendo con la doctrina actual, que ha evolucionado de la “existencia del fichero” para aplicar la LOPD al mero “tratamiento”. Esta cuestión, a su vez, ha derivado en lo que se conoce como “LOPD para todo”, es decir, que en la medida en que se estén tratando datos de carácter personal se puede aplicar la LOPD, independientemente de la existencia de un fichero [seguir leyendo]