Como adelantábamos en esta entrada, tras las reuniones celebradas los días 12 y 13 de diciembre, el Grupo de Trabajo del Artículo 29 ("GT29") ha publicado los siguientes documentos sobre el nuevo Reglamento General de Protección de Datos ("RGPD"):

Aunque estos documentos merecen ser objeto de un análisis pormenorizado, queremos destacar lo siguiente:

Derecho de portabilidad:

  • Para que este derecho aplique deben darse tres circunstancias: (i) que los datos se traten de forma automatizada en base al consentimiento del interesado o para la ejecución de un contrato del que el interesado sea parte; (ii) los datos deben atañer al interesado y haberse facilitado por éste (esto incluye los datos que genere su actividad, pero no el análisis que se pueda realizar de su comportamiento); y (iii) el ejercicio del derecho no debe afectar negativamente los derechos y libertades de terceros.
  • Los responsables del tratamiento deben empezar a desarrollar medios para atender este derecho; por ejemplo, herramientas de descarga o interfaces que permitan al usuario transmitir directamente sus datos a otro responsable.
  • Se recomienda que los responsables del tratamiento informen sobre este derecho antes de que un interesado abandone su cuenta, de forma que éste pueda conservar su información, transmitiéndola a sus propios dispositivos o a otro proveedor.
  • Se considerará buena práctica la indicación del plazo promedio para hacer efectivo el derecho, siempre teniendo en cuenta los límites temporales establecidos en la propia normativa.
  • Los responsables del tratamiento deberán garantizar la interoperabilidad de los datos transmitidos e incluir en el paquete de información tantos metadatos como sea posible. Además, responderán de la seguridad de los datos en su transmisión.

Delegado de protección de datos:

  • El concepto de "actividad principal" del art. 37 del RGPD debe entenderse en el sentido de que se trate de operaciones clave para alcanzar los fines del responsable o el encargado del tratamiento, como, por ejemplo, el tratamiento de datos de salud por parte de los hospitales. Por el contrario, este concepto no comprendería actividades de tipo "auxiliar", como el pago de salarios o el mantenimiento estándar de las TI.
  • Entre los factores a tener en cuenta para determinar qué se considera "gran escala" se mencionan el número de interesados afectados, el volumen de datos, y la duración y ámbito geográfico del tratamiento. Entre los ejemplos de tratamientos a gran escala se incluyen el de los usuarios de un motor de búsqueda para fines de publicidad personalizada y el de los clientes de un banco o aseguradora en el curso normal de su negocio.
  • El concepto de "observación habitual y sistemática" incluye cualquier forma de monitorización o realización de perfiles en internet, aunque no se restringe al ámbito online (se incluirían, por ejemplo, la geolocalización en aplicaciones móviles, la publicidad personalizada, los aparatos de monitorización de constantes físicas, las técnicas de scoring para préstamos, o los mecanismos para la prevención y detección del fraude).
  • Si se designa un único delegado para un grupo empresarial, es necesario que pueda operar de forma efectiva como punto de contacto no solo a nivel interno en el grupo, sino también frente a los interesados y las autoridades de control. Entre otros aspectos a tener en cuenta, el delegado deberá poder comunicarse en el idioma que los interesados y las correspondientes autoridades de control utilicen.
  • En caso de nombrar un delegado externo que cuente con su propio equipo, es importante que se distribuyan claramente las tareas entre los miembros del equipo y que se designe a una única persona como contacto principal y responsable frente al cliente.
  • Para garantizar la independencia del delegado, es importante que no reciba instrucciones en relación con el ejercicio de sus funciones, que no se le penalice por dicho ejercicio y que no se produzcan conflictos de intereses con otras funciones o deberes que pueda tener encomendados. El conflicto de interés puede surgir, por ejemplo, si el delegado tiene una posición que le lleva a determinar los fines y medios del tratamiento de datos personales, lo que ocurrirá principalmente cuando se trate de personal directivo.
  • No cabe hacer personalmente responsable al delegado de los incumplimientos del RGPD.

Autoridad de control principal:

  • La determinación de cuándo un tratamiento afecta de manera sustancial a interesados del Estado miembro de una autoridad de control se realizará caso por caso, si bien se tendrán en cuenta factores tales como si el tratamiento causa algún tipo de daño o perjuicio a dichos interesados, o afecta a datos sensibles o de menores.
  • En caso de que haya establecimientos en distintos Estados Miembros que tomen decisiones respecto de tratamientos transfronterizos, habrá tantas autoridades de control principales como establecimientos tomen decisiones.
  • Aunque los encargados del tratamiento pueden tener su correspondiente autoridad de control principal, en aquellos casos en los que estén implicados un responsable del tratamiento y su encargado o encargados, la autoridad de control principal vendrá determinada por el responsable. No obstante, la autoridad de control del encargado, de ser diferente, tendrá la consideración de autoridad de control interesada.