Directrices 10/2020 sobre las restricciones a determinados derechos establecidas por el artículo 23
La “Pandemia de la Covid-2019” ha puesto de relieve que en determinados momentos y ocasiones el derecho fundamental de la Unión Europea a la Protección de Datos es necesario que se vea restringido.
La Comisión y el Parlamento de la Unión Europea fueron conscientes al redactar el Reglamento General de Protección de Datos de la Unión Europea (“RGPR”), al establecer, en el artículo 23 del mismo, los casos en los que sería posible restringir dichos derechos, qué derechos se podían restringir y como se podían restringir.
Dicho artículo establece que se pueden restringir en determinadas situaciones, allí enumeradas, la aplicación de determinadas disposiciones del RGPD, relativas a derechos de los interesados y a las obligaciones de los responsables del tratamiento. (En adelante, “restricciones”)
Ante la aparición de dichas situaciones donde es posible que sea necesario aplicar el citado artículo y restringir algunos de los derechos que conforman la protección de datos, el Consejo Europeo de Protección de Datos, comenzó, allá por principios de 2020, a trazar unas directrices que ayuden a la interpretación y aplicación del artículo 23 del GDPR.
Dichas directrices acaban de ver la luz, siendo aprobadas por dicho Consejo Europeo de Protección de Datos el pasado 13 de octubre de 2021.
Las citadas directrices tienen por objetivo, en palabras del Consejo Europeo de Protección de Datos, “orientar sobre la aplicación del artículo 23 del RGPD. Estas directrices ofrecen un análisis exhaustivo de los criterios para aplicar las restricciones, las evaluaciones que deben observarse, el modo en que los interesados pueden ejercer sus derechos una vez levantada la restricción y las consecuencias de las infracciones del artículo 23 del RGPD.”
El primer principio para establecer dichas restricciones es que las mismas tienen que considerarse como excepciones a la norma general que permite el ejercicio de los derechos e impone las obligaciones previstas en el RGPD. Por lo tanto, las “restricciones” deben interpretarse de forma restrictiva, aplicándose, únicamente, cuando esté prevista su aplicación y cumpliendo las condiciones del citado artículo 23 RGPD.
No es posible, aunque sean casos excepcionales, en los que las “restricciones” son aplicables, restringir los derechos de protección de los datos personales en su totalidad. Siempre se habrá de respetar los principios generales del Derecho y la esencia de los derechos y libertades fundamentales de los individuos.
Siempre se deberá tener en cuenta el principio de responsabilidad proactiva, establecido en el artículo 5.2 del RGPD. El responsable del tratamiento también es responsable y debe poder demostrar y dar evidencia del cumplimiento del citado principio.
1.- Restricciones, “Definiciones”.
El RGPD no define el termino de “restricciones”.
A efectos de las Directrices se entenderá por restricciones “cualquier limitación del alcance de las obligaciones y los derechos previstos en los artículos 12 a 22 y 34 del RGPD, así como las disposiciones correspondientes del artículo 5 de conformidad con el artículo 23 del RGPD.”
La “restricción” a un derecho individual tiene, obligatoriamente, que salvaguardar objetivos importantes, como, por ejemplo, la protección de los derechos y libertades de los demás u objetivos importantes de interés público general de la Unión Europea o de un Estado Miembro, enumerados en el apartado 1 del artículo 23 RGPD.
Los motivos de la restricción tienen que ser claros.
La “restricciones” tienen que estar previstas en una medida legislativa, referirse a un número limitado de derechos de los interesados y/o a las obligaciones del responsable del tratamiento, enumerada en el citado artículo, respetar la esencia de los derechos y libertades fundamentales, y ser una medida necesaria y proporcionada en una sociedad democrática y salvaguardar los motivos previstos en el apartado 1 del artículo 23 del RGPD.
Las restricciones, además, deben ser conformes con los requisitos establecidos en la Carta y el Convenio Europeo para la Protección de los Derechos Humano y las Libertades Fundamentales.
La medida legislativa que establezca las restricciones no podrá suponer la suspensión general de todos los derechos, solo de aquellos que sean necesarios. Dicha normativa podrá establecer la suspensión del ejercicio del derecho o que su ejercicio se retrase en el tiempo, que el mismo se ejerza parcialmente o se circunscriba a determinadas categorías de datos o que el derecho se ejerza de forma indirecta, a través de una autoridad de control.
2.- Requisitos para el establecimiento de “Restricciones”.
El apartado 1 del artículo 23 establece y enumera los requisitos que se han de cumplir para que una medida –“restricción”- pueda ser legalmente aplicable.
- Respeto de la esencia de los derechos y libertades fundamentales.
No es posible justificar las restricciones amplias e intrusivas que vacíen el derecho fundamental de contenido básico. Si la esencia del derecho se ve comprometida, la restricción es ilegal.
- Medida Legislativa.
El responsable del tratamiento sólo puede aplicar una “restricción” si la misma se ha establecido en una medida legislativa de la Unión Europea o de los Estados Miembros. Sin la medida legislativa, no existe “restricción”.
- Prueba de proporcionalidad y necesidad.
Las restricciones sólo son lícitas cuando son una medida necesaria y proporcionada en una sociedad democrática. Esto significa que las restricciones deben superar una prueba de necesidad y proporcionalidad para cumplir con el RGPD. La prueba de necesidad y proporcionalidad debe llevarse a cabo antes de que el legislador decida establecer una restricción.
- Derechos de los interesados y obligaciones del responsable del tratamiento que puede limitarse.
El artículo 23 del RGPD limita los derechos que pueden ser objeto de una “restricción”, en concreto, solo se podrán limitar los siguientes:
- el derecho a una información transparente (artículo 12 del RGPD),
- derecho a la información (artículos 13 y 14 del RGPD),
- derecho de acceso (artículo 15 del GDPR),
- derecho de rectificación (artículo 16 del RGPD),
- derecho de supresión (artículo 17 del RGPD),
- derecho a la restricción del tratamiento (artículo 18 del RGPD),
- obligación de notificación sobre la rectificación o supresión de los datos personales o la restricción del tratamiento(artículo 19 del RGPD),
- derecho a la portabilidad de los datos (artículo 20 del RGPD),
- derecho de oposición (artículo 21 del RGPD),
- derecho a no ser sometido a una decisión individual automatizada (artículo 22 del RGPD)
- obligaciones previstas en los artículos 12 a 22 del RGPD (artículo 5 del RGPD) y
- la comunicación de una violación de datos personales a los interesados (artículo 34 del RGPD)
- Motivos de las restricciones.
El artículo 23 establece una relación “numerus clausus” de los motivos en los que se pueden basar las “restricciones”:
- seguridad nacional;
- defensa;
- la seguridad pública;
La seguridad nacional y pública incluye la protección de la vida humana, especialmente en respuesta a las catástrofes naturales o provocadas por el hombre.
- la prevención, la investigación, la detección o el enjuiciamiento de delitos o la ejecución de sanciones penales, incluida la salvaguardia y la prevención de amenazas a la seguridad pública;
En determinados casos, proporcionar información a los interesados que están siendo investigados podría poner en peligro el éxito de dicha investigación. Por lo tanto, puede ser necesaria la restricción del derecho a la información o de otros derechos de los interesados. Esto es pertinente, por ejemplo, en el marco de la lucha contra el blanqueo de capitales o de las actividades de los laboratorios forenses.
No obstante, la información omitida deberá facilitarse, de acuerdo con la jurisprudencia del TJUE, una vez y si ya no es posible que ponga en peligro la investigación que se está llevando a cabo,
- otros objetivos importantes de interés público general de la Unión o de un Estado miembro, en particular un interés económico o financiero importante de la Unión o de un Estado miembro, incluidos los asuntos monetarios, presupuestarios y fiscales, la salud pública y la seguridad social;
Sin embargo, los costes derivados del suministro de información y, por tanto, la carga financiera para los presupuestos públicos no es suficientes para justificar un interés público en la restricción de los derechos de los interesados.
- la protección de la independencia judicial y de los procedimientos judiciales;
- la prevención, la investigación, la detección y el enjuiciamiento de las infracciones deontológicas de las profesiones reguladas, como médicos y abogados;
- una función de control, inspección o regulación vinculada, incluso ocasionalmente, al ejercicio del poder público en los casos contemplados en los números i a v y vii;
- la protección del interesado o de los derechos y libertades de terceros;
- la ejecución de las reclamaciones de derecho civil.
- Requisitos exigidos para establecer una “Restricción”.
De conformidad con el artículo 23 del RGPD, las medidas legislativas, que impongan restricciones a los derechos de los interesados y a las obligaciones de los responsables del tratamiento, habrán de contener unos determinados criterios, concretamente, los siguientes, debidamente fundamentados:
- Los fines del tratamiento o las categorías de tratamiento;
El motivo de la restricción debe ser comprensible para las personas a las que se aplica. Esto también implica una clara comprensión de cómo y cuándo puede aplicarse la restricción. Los fines del tratamiento deben estar vinculados a los motivos de las restricciones antes analizados.
- Las categorías de datos personales;
El legislador debe evaluar los riesgos para los derechos y libertades de los interesados desde la perspectiva de éstos.
Las restricciones relativas a categorías especiales de datos personales pueden tener un mayor impacto en los interesados y, por lo tanto, la medida legislativa que establezca dicha restricción debe mencionar las categorías especiales de datos en cuestión.
- Alcance de las restricciones;
El legislador debe indicar a qué derechos se refiere la “restricción” y en qué medida se van a limitar.
- Garantías para evitar abusos o accesos o transferencias ilícitas;
El legislador debe establecer las debidas salvaguardias para evitar el abuso, el acceso o la transferencia ilícitos. Esto se refiere, en particular, a las medidas organizativas y/o técnicas necesarias para evitar infracciones o transferencias ilícitas, como el almacenamiento en condiciones de seguridad de los documentos físicos.
La medida legislativa también puede referirse a medidas periódicas para revisar una determinada decisión sobre restricciones. El legislador puede proponer que cada restricción aplicada por el responsable del tratamiento se revise periódicamente para garantizar que la justificación de la misma sigue siendo válida.
- Especificación del Responsable del Tratamiento;
El legislador debe establecer quién es el responsable del tratamiento o cuales son las categorías de responsables del tratamiento con el fin de favorecer la seguridad jurídica y que los interesados sepan a quién dirigirse cuando ejerzan sus derechos, una vez levantada la restricción.
- Periodos de almacenamiento;
El legislador debe incluir una disposición específica sobre los períodos de conservación y las garantías aplicables teniendo en cuenta la naturaleza, el alcance y los fines del tratamiento o las categorías de tratamiento.
- Riesgos para los derechos y libertades de los interesados;
El legislador debe incluir los riesgos para los derechos y libertades del interesado que entrañan las “restricciones”. Este es un paso muy importante, que ayuda en la prueba de necesidad y proporcionalidad de las restricciones.
El legislador debe evaluar los riesgos para los derechos y libertades de los interesados desde la perspectiva de éstos. No siempre es obligatorio realizar tal evaluación, pero los riesgos concretos para los interesados -como la elaboración de perfiles erróneos que conduzcan a la discriminación, la reducción de la dignidad humana, la libertad de expresión, el derecho a la intimidad y la protección de datos, un mayor impacto en los grupos vulnerables (como los niños o las personas con discapacidad), por mencionar algunos- pueden indicarse en la medida legislativa, si procede.
Cuando se proporciona dicha evaluación, será necesario incluirla en los considerandos o la exposición de motivos de la legislación o en la evaluación de impacto.
- Derecho a ser informado sobre la “restricción”, a menos que sea perjudicial para el objetivo de la misma;
El artículo 23, apartado 2, letra h) del RGPD establece que, a menos que pueda ser perjudicial para la finalidad de la “restricción”, se informará a los interesados de la misma. Para ello, puede bastar con un aviso general de protección de datos.
Por ejemplo, cuando un interesado solicita específicamente el ejercicio de un derecho concreto en un momento muy delicado de una determinada investigación administrativa, el interesado debe ser informado, si es posible, de los motivos de la “restricción”. Sin embargo, si informar al interesado de los motivos de la “restricción” supone anular el efecto de la misma, dicha información no podrá ser revelada. Se pueden adoptar restricciones para proteger las investigaciones. En este caso, las restricciones deben seguir siendo necesarias y proporcionadas y, para ello, el responsable del tratamiento debe realizar una evaluación para comprobar si informar al interesado de la restricción es perjudicial para la finalidad de la misma.
3.- Conclusiones.
El artículo 23 del RGPD permite, en condiciones determinadas, que un legislador nacional o de la Unión Europea restrinja, mediante una medida legislativa, el alcance de las obligaciones y los derechos previstos en los artículos 12 a 22 y en el artículo 34, así como en el artículo 5 del RGPD, en la medida en que sus disposiciones correspondan a los derechos y obligaciones previstos en los artículos 12 a 22; siempre y cuando dicha restricción respete la esencia de los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar, entre otras cosas, objetivos importantes de interés público general de la Unión o de un Estado miembro.
Las restricciones de los derechos de los interesados deben cumplir los requisitos establecidos en el artículo 23 del RGPD. Los Estados miembros o la Unión que emitan las medidas legislativas que establezcan dichas restricciones y los responsables del tratamiento que las apliquen deben ser conscientes del carácter excepcional de estas “restricciones”.
La prueba de proporcionalidad debe llevarse a cabo antes de introducir en la legislación de la Unión o de los Estados miembros restricciones a los derechos de los interesados.
Una vez levantadas las restricciones, el responsable del tratamiento debe permitir a los interesados ejercer sus derechos.