AD 42/2021
Palabras clave (Keywords)
RGPD, Directiva (UE) 2016/680, Categorías especiales de datos, Protección de datos.
Abstract
The main purpose of this paper is to analyse the possibility of the Member States to create new special categories of personal data that are not listed in the article 9 GDPR. Regarding the nature of the regulations drafted by the EU institutions, and the different recitals and articles that are related to this issue, it is concluded that it would not be legitimate. The margin of manoeuvre is limited to set out the circumstances for specific processing situations, including determining more precisely the conditions under which the processing of personal data is lawful. Nonetheless, this might not be the case in relation to the processing of personal data under the transposition of the Directive (EU) 2016/680, where Member States could wide the spectrum of sensitive personal data in so far they do not undermine the guarantees of the aforementioned Directive.
| Introducción |
Recientemente se presentó la “Proposición de Ley Orgánica de igualdad social de las personas lesbianas, gais, bisexuales, transexuales, transgénero e intersexuales, de protección de la realidad trans y de no discriminación por razón de orientación sexual, identidad o expresión de género o características sexuales”[1], en cuyo artículo 57.4 se indica lo siguiente: “La orientación sexual, la identidad o expresión de género y las características sexuales tendrán la consideración de datos especialmente protegidos de acuerdo con la normativa vigente en materia de protección de datos de carácter personal”. Este párrafo arroja la duda sobre la posibilidad de que el legislador de un Estado Miembro de la Unión Europea esté legitimado, a la luz de lo dispuesto en el Reglamento General de Protección de Datos[2] (en adelante, “RGPD”), no solo de concretar las denominadas categorías especiales de datos de su artículo 9, sino de ampliar el espectro de datos considerados como tal. El presente artículo tiene por objeto analizar esta cuestión suscitada y sus implicaciones, considerando la normativa internacional que resulta de aplicación en materia de protección de datos.
| Orígenes del concepto de datos sensibles |
Organización para la Cooperación y el Desarrollo Económicos (OCDE)
El concepto de dato sensible fue introducido internacionalmente por primera vez gracias a la OCDE en su guía para la protección de la privacidad y flujo transfronterizo de datos personales adoptada el 23 de diciembre de 1980. Dicha guía se concibió con la voluntad de definir unos criterios sobre la delimitación del concepto de datos sensibles. Sin embargo, y tal y como queda recogido en el numeral 51 de su Memorando, el análisis que efectuaron sobre una serie de criterios de sensibilidad (como el riesgo de discriminación) no les permitió definir ningún conjunto de datos que universalmente pudieran ser denominados sensibles[3].
Consejo de Europa
Posteriormente, el Convenio 108 del Consejo de Europa para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal recogió el testigo de la OCDE y, en su artículo 6º, enumeró, bajo la denominación de “categorías particulares de datos”, una serie de supuestos que requerían de unas garantías previas para ser tratados de forma automática, a saber: datos de carácter personal que revelasen el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, los datos de carácter personal relativos a la salud o a la vida sexual, y los datos de carácter personal referentes a condenas penales[4]. Si bien es cierto que reviste apariencia de numerus clausus, en su informe explicativo se inclinó por un acercamiento contextual a la materia, concluyendo que dicha clasificación no pretendía ser exhaustiva. En este sentido, señaló que “Un Estado Miembro puede, de conformidad con el artículo 11, incluir en su legislación interna otras categorías de datos sensibles, cuyo tratamiento sea prohibido o limitado”[5].
Unión Europea
Finalmente, y con carácter más localizado en la Unión Europea, la Directiva 95/46/CE[6] (en adelante, la “Directiva 95/46”) mantuvo en esencia, a través de su artículo 8, el espectro de datos sensibles ya mencionados por el Consejo de Europa. Debido a que el instrumento jurídico empleado por el legislador europeo consistió en una Directiva, ello permitió que cada Estado Miembro de la Unión Europea pudiese añadir más categorías de datos sensibles a las ya mencionadas. En el caso español, este listado se mantuvo a través del artículo 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal[7]. Sin embargo, otros Estados Miembros ampliaron el mismo incluyendo datos genéticos, datos biométricos, la vida privada, adicciones o datos judiciales[8], tal y como ya señaló el Grupo de Trabajo del Artículo 29[9] (en adelante, “GT 29”) en su Dictamen sobre categorías especiales de datos («datos sensibles»), de 20 de abril de 2011. En dicho Dictamen, el GT29 justificó los factores que determinaron desde la Directiva 95/46 la regulación de los datos sensibles:
- La presunción de que un mal uso de estos datos podría mostrar unas consecuencias más severas en los derechos fundamentales del interesado;
- El hecho de que el mal uso de determinados datos sensibles podría ser irreversible, y tener consecuencias a largo plazo tanto para el interesado como para su entorno social.
Por ello, el GT29 aclaró que se había legislado aproximándose al concepto de dato sensible desde la perspectiva de su naturaleza, requiriéndose por defecto la imposición de garantías y condiciones que permitiesen su tratamiento.
| Regulación tras la entrada en aplicación del RGPD |
El RGPD conllevó la creación de una lista de datos sensibles concreta y aparentemente cerrada. En virtud del artículo 16.2 del Tratado de Funcionamiento de la Unión Europea, el RGPD es directamente aplicable y obligatorio en todos sus elementos y no deja más margen de configuración normativa a los Estados miembros que el que ofrecen sus habilitaciones específicas.
Tal y como adelantó el GT29, este enfoque adolece de una serie de desventajas que merecen la pena mencionar:
- Por un lado, una lista cerrada no es flexible y no permite reaccionar al contexto de los tratamientos, así como a nuevas formas de tratamientos que puedan ocurrir en el transcurso de desarrollos tecnológicos que estén en marcha;
- Por otro, la misma no tiene en consideración las diferencias culturales y legales de los diferentes Estados Miembros.
Sin embargo, el formato de Directiva de la normativa de protección de datos europea durante dos décadas ha permitido contrastar las diferencias entre Estados Miembros en relación al conjunto de datos considerados como sensibles, así como ha permitido dilucidar nuevas categorías no contempladas.
Por ello, el artículo 9.4 RGPD señala: “Los Estados miembros podrán mantener o introducir condiciones adicionales, inclusive limitaciones, con respecto al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud”. Si bien la excepción planteada en dicho apartado no cubre todos los datos reconocidos en el artículo 9.1 RGPD, le resulta de aplicación a categorías importantes que pueden considerarse críticas en áreas como la seguridad, la salud y la investigación científica, las cuales pueden ser ampliadas legislativamente[10].
Este margen de maniobra que la norma europea otorga a los Estados Miembros resulta complementado con el considerando 10 RGPD, y que ya el propio Tribunal Constitucional español tuvo la oportunidad de analizar en los siguientes términos: “Este margen de configuración legislativa se extiende tanto a la determinación de las causas habilitantes para el tratamiento de datos personales especialmente protegidos –es decir, a la identificación de los fines de interés público esencial y la apreciación de la proporcionalidad del tratamiento al fin perseguido, respetando en lo esencial el derecho a la protección de datos– como al establecimiento de «medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado»”[11]. No obstante, no se desprende una interpretación que habilite a los Estados Miembros a incorporar nuevas categorías de datos sensibles a las ya existentes, tal y como pudo ocurrir durante la vigencia de la Directiva 95/46. Volviendo a la naturaleza que resulta inherente a todo reglamento europeo, esta viene determinada por la voluntad de reforzar el grado de consecución de la finalidad uniformizadora de la regulación de la protección de datos personales en el ámbito de la UE. Es cierto que el RGPD contiene distintas habilitaciones que permiten al legislador nacional adoptar normas de especificación y desarrollo; tanto es así que el Considerando 8 dispone que “en los casos en que el presente Reglamento establece que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros, estos, en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios, pueden incorporar a su Derecho nacional elementos del presente Reglamento”. Ahora bien, este no es el caso como ya hemos analizado del listado de categorías de datos considerados como sensibles.
Retomando el supuesto de hecho que ha dado origen al presente artículo, el Consejo de Transparencia y Protección de Datos de Andalucía, resolvió el 17 de agosto de 2020 (Dictamen 2/2020)[12] un caso en el que entró a analizar transversalmente la categorización como sensible de algunos de estos datos, indicando lo siguiente: “Aunque durante el procedimiento de elaboración del RGPD se abandonase la específica referencia explícita a los datos relativos a la “identidad de género” propuesta por el Parlamento Europeo en su enmienda, parece evidente que éstos guardan una muy estrecha relación con los datos concernientes a la “vida sexual o a la orientación sexual” protegidos en el definitivo artículo 9.1 RGPD. Y, en este sentido, no ha de causar extrañeza que un sector influyente de la doctrina europea considere que los datos relativos a la transexualidad se hallan directamente bajo el ámbito de cobertura del reiterado artículo 9.1 RGPD”. Por lo tanto, y respecto a los datos que reflejen la “vida sexual”, “orientación sexual”, “identidad de género” y “comportamiento sexual”, el Consejo de Transparencia y Protección de Datos de Andalucía no los considera una nueva categoría de dato sensible, sino más bien una prolongación de los datos relativos a la vida sexual o a la orientación sexual ya prescritos en el texto del artículo 9.1 RGPD. Nada se dice respecto las “características sexuales” o la “expresión de género”, por lo que, ante la ausencia de interpretación en este sentido, el presente artículo no ahondará en si los mismos podrán ser considerados integrados en las categorías de datos del artículo 9.1 RGPD, o si pueden considerarse como un intento por ampliar el listado de dicho artículo.
| Especial mención a la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 |
Los tratamientos de datos personales por parte de las autoridades competentes, con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, incluidas la protección y la prevención frente a las amenazas contra la seguridad pública, están regulado al margen del RGPD, por la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (en adelante, “Directiva 2016/680”). A la fecha de publicación del presente artículo, se encuentra en trámite de ser transpuesta a los diferentes ordenamientos jurídicos de los Estados Miembros. La transposición de una Directiva deja libertad a los Estados para la elección de la forma y los medios de su cumplimiento (art. 288.3 TFUE) y, pese a la voluntad armonizadora del legislador mostrada en su considerando 15, precisa: “no se debe impedir a los Estados miembros que ofrezcan garantías mayores que las establecidas en la presente Directiva para la protección de los derechos y libertades del interesado con respecto al tratamiento de sus datos personales por parte de las autoridades competentes”. Se podría argumentar que, en la medida en que la regulación ofrecida en general no merme, restrinja o se aparte de las exigencias y garantías que exige el artículo 10 de la Directiva 2016/680, un Estado Miembro podría ampliar el espectro de datos sensibles.
Dicho lo anterior, cabe citar el informe emitido por la AEPD en relación al anteproyecto de la ley de transposición de la Directiva 2016/680, de cuya redacción otorgada a las categorías especiales de datos se podría desprender una ampliación del elenco de datos sensibles cuando indica “datos genéticos o biométricos dirigidos a identificar de manera unívoca a una persona física”, mientras que la Directiva 2016/680 hace la referencia a “datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física”. Asumir la redacción del anteproyecto supondría ampliar el espectro de datos sensibles de forma que no solo se amparasen los datos biométricos dirigidos a identificar de manera unívoca a una persona física, sino también a cualquier dato biométrico. De acuerdo con la tesis hasta ahora defendida, esto sería posible en tanto el espíritu de la Ley fuese incluir a los mismos, y no se tratase de una mera errata ortográfica derivada de haber sustituido la coma de la norma europea por la conjunción disyuntiva “o”. No obstante, la AEPD en su informe considera que debe ser replanteado el artículo, señalando al respecto: “se propone modificar la redacción del artículo 11.1 para recoger lo previsto en la normativa europea: “datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física”[13].
| Conclusión |
Con la entrada en aplicación del RGPD, no es posible crear nuevas categorías especiales de datos por los Estados Miembros, debiendo ceñirse a aquellos enumerados en el artículo 9 de dicha norma, aunque sí disponen de un margen de maniobra respecto de la determinación de las causas habilitantes para el tratamiento de esta tipología de datos personales como al establecimiento de medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado. No obstante, la armonización normativa pretendida por el RGPD puede verse flexibilizada en relación al tratamiento de datos genéticos, datos biométricos o datos relativos a la salud, donde los Estados Miembros pueden mantener o introducir condiciones adicionales. Finalmente, ha de destacarse que esta situación difiere de la existente en relación a los tratamientos de datos amparados por la Directiva 2016/680, en donde los distintos Estados Miembros podrían ampliar dicho listado, siempre que no merme, restrinja o se aparte de las exigencias y garantías recogidas en la misma.
[1] Proposición de Ley Orgánica de igualdad social de las personas lesbianas, gais, bisexuales, transexuales, transgénero e intersexuales, de protección de la realidad trans y de no discriminación por razón de orientación sexual, identidad o expresión de género o características sexuales.
[2] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
[3] Guía para la protección de la privacidad y flujo transfronterizo de datos personales adoptadas el 23 de diciembre de 1980 por la OCDE, numeral 51.
[4] Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981, elaborado por el Consejo de Europa.
[5] Informe explicativo del Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981, elaborado por el Consejo de Europa: “The list of this article is not meant to be exhaustive. A Contracting State may, in conformity with Article 11, include in its domestic law other categories of sensitive data, the processing of which is prescribed or restricted. The degree of sensitivity of categories of data depends on the legal and sociological context of the country concerned”.
[6] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
[7] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
[8] Dictamen sobre categorías especiales de datos («datos sensibles»), de 20 de abril de 2011, pág. 7.
[9] Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.
[10] Paul Quinn & Gianclaudio Malgieri, “The Difficulty of Defining Sensitive Data, The concept of sensitive data in the EU data Protection framework”,16 de noviembre de 2020, pag. 7.
[11] Paul Quinn & Gianclaudio Malgieri, “The Difficulty of Defining Sensitive Data, The concept of sensitive data in the EU data Protection framework”,16 de noviembre de 2020, pág. 11.
[12] Consejo de Transparencia y Protección de Datos de Andalucía, Dictamen 2/2020, de 17 de agosto de 2020, pág. 7.
[13] Gabinete jurídico de la AEPD, Informe nº0029/2020, pág. 40.
Alberto Casas es abogado colegiado en el ICAM y Delegado de Protección de Datos certificado conforme al esquema de certificación de la AEPD a través de las entidades AENOR y Asociación Española para la Calidad. Actualmente desempeña labores de consultoría integral en materia de protección de datos a entes públicos y privados al frente del departamento de consultoría jurídica de la empresa Firma, Proyectos y Formación, S.L.
