nº 987 - 28 de julio de 2022
Implicaciones prácticas en materia de protección de datos personales de la Estrategia Europea de datos
Miguel Recio. Abogado del departamento de TMC de CMS
Los dos últimos instrumentos que fueron adoptados por el Parlamento Europeo el pasado 5 de julio son el Reglamento de Mercados Digitales y el Reglamento de Servicios Digitales
En ambos casos se incluyen disposiciones específicas en materia de protección de datos personales que transcienden lo previsto en el RGPD y la Directiva 2002/58/CE
La Estrategia Europea de datos (en inglés European Strategy for data) sigue avanzando con la aprobación de los reglamentos que conforman el nuevo marco regulador, siendo necesario tener en cuenta que por lo que se refiere a protección de datos personales, serán normas que coexistirán con las ya vigentes.
Los dos últimos instrumentos que fueron adoptados en primera lectura por el Parlamento Europeo el pasado 5 de julio de 2022 son el Reglamento de Mercados Digitales (Digital Markets Act, DMA) y el Reglamento de Servicios Digitales (Digital Services Act, DSA). Ambos son resultado de las propuestas que presentó la Comisión Europea el 15 de diciembre de 2020 y conforma el conocido como paquete de Servicios Digitales (Digital Services Act package).
En ambos casos se incluyen disposiciones específicas en materia de protección de datos personales que transcienden lo previsto en el Reglamento General de Protección de Datos (RGPD) y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas).
Además, estos dos últimos Reglamentos (o Leyes) se suman a otros ya publicados, como es el caso del Reglamento de Gobernanza de Datos (Data Governance Act, DGA) y otros que todavía están pendientes de aprobación y publicación, como el Reglamento de Datos (Data Act).
El Reglamento de Mercados Digitales
En materia de tratamiento de datos personales con fines publicidad en línea, cabe destacar que este Reglamento establece normas sobre el consentimiento de los usuarios y el derecho a oponerse a la comercialización digital para destinatarios concretos.
Además, introduce dos restricciones a la publicidad personalizada en las plataformas en línea que son la prohibición de publicidad basada en la elaboración de perfiles dirigida a menores y que utilicen categorías especiales de datos personales, tales como los datos relativos a la salud o a la orientación sexual.
Por tanto, en materia de consentimiento para el tratamiento de datos personales será necesario que los sujetos obligados cumplan también con lo previsto en este Reglamento. Y es importante tener en cuenta que la aplicación práctica puede resultar compleja, en particular cuando se trata de la gestión del consentimiento, lo que sin duda requerirá de directrices u orientaciones que puedan despejar las dudas que surgen con esta nueva regulación.
El Reglamento de Servicios Digitales
El Reglamento de Servicios Digitales incluye también varias disposiciones en materia de protección de datos personales a las que habrá que atender, siendo necesario esperar a la publicación del texto definitivo.
No obstante, entre las enmiendas plantadas por el Parlamento Europeo durante la primera lectura, cabe destacar que se introduce un nuevo párrafo en el artículo 7 de la propuesta de Reglamento, en virtud del cual «los Estados miembros no obligarán a los prestadores de servicios intermedios a conservar de manera general e indiscriminada los datos personales de los destinatarios de sus servicios» y la «conservación selectiva de los datos de un destinatario específico será ordenada por una autoridad judicial de conformidad con el Derecho de la Unión o el Derecho nacional».
Esto implica que los prestadores de servicios intermedios tendrán que adoptar medidas para asegurar el derecho fundamental a la protección de datos personales, lo que en el presente caso pasaría por considerar cómo será la orden judicial en virtud de la que se requiera la conservación selectiva de los datos de un destinatario específico y cómo se llevará a cabo dicha conservación.
Por último, otra de las enmiendas del Parlamento Europeo introduce la prohibición de utilizar técnicas de focalización o amplificación que tratan, revelan o infieren datos personales de menores o datos personales sensibles (art. 9.1 del RGPD) con el fin de mostrar publicidad. Esto implica que las plataformas en línea de muy gran tamaño tendrán que enfrentarse a limitaciones y prohibiciones en el tratamiento de datos personales que no estaban previstas ni en el RGPD ni en la Directiva 2002/58/CE.
El Reglamento de Gobernanza de Datos
Es otra de las normas relevantes dadas sus disposiciones en materia de protección de datos personales y que ya está publicada, si bien no será aplicable hasta 2023. En concreto, este Reglamento tiene por finalidad crear los procesos y estructuras para facilitar el intercambio de datos por empresas, personas físicas y el sector público.
En particular, el consentimiento como base de legitimación del tratamiento por los reutilizadores de datos y la cesión altruista de datos son cuestiones que, lejos de ser de fácil aplicación, plantean ya múltiples dudas en relación con dicha base de legitimación. ■
⬅
⬆
➡