cesión de datos personales

This post is also available in: enEnglish

El pasado 7 de febrero, The Wall Street Journal reveló que el Departamento de Seguridad Nacional de los Estados Unidos tiene previsto comprar a los operadores de telefonía móvil los datos de localización de sus clientes, con la finalidad de poder detectar inmigrantes ilegales y detenerles.

Al margen de las cuestiones éticas y de política pública que pueden generar este tipo de actuaciones por parte de las autoridades, cabe plantearse si sería posible realizar este tipo de tratamientos de datos en el marco de la normativa europea de protección de datos y, en su caso, en qué condiciones.

A nivel europeo, hay que diferenciar entre las actividades realizadas por las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales, en las que resulta de aplicación la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (la “Directiva”), y las actuaciones dirigidas a la protección y la prevención frente a las amenazas para la seguridad pública, que están dentro del ámbito de aplicación del Reglamento General de Protección de Datos (RGPD).

Si bien la distinción entre ambas situaciones supone todo un desafío, parece que el tratamiento de datos con la finalidad de poder detectar situaciones de entrada irregular de inmigrantes, entraría dentro del ámbito de la protección y prevención de la seguridad pública, en tanto que las situaciones de entrada irregular de inmigrantes no suponen una infracción penal, sino una sanción de naturaleza administrativa (el Código Penal español únicamente tipifica la entrada con documentación falsa o los casos de tráfico ilegal de inmigrantes).

Sentado lo anterior, conviene recordar que la protección otorgada por el RGPD se aplica al tratamiento de datos personales realizado por un responsable o un encargado que cuente con un establecimiento ubicado en la Unión Europea, con independencia de la nacionalidad del interesado o de su lugar de residencia, de modo que el RGPD resulta plenamente aplicable a la cesión de datos personales que puedan realizar los operadores de telefonía móvil a las autoridades competentes.

el RGPD resulta plenamente aplicable a la cesión de datos personales que puedan realizar los operadores de telefonía móvil a las autoridades competentes

El RGPD otorga una especial protección a los datos personales que revelen el origen étnico o racial de una persona física, prohibiendo su tratamiento salvo cuando resulte de aplicación alguna de las excepciones contempladas en el artículo 9 RGPD, entre las cuales resultan de interés las siguientes:

  • que el tratamiento sea necesario por razones de un interés público esencial, sobre la base del derecho de la Unión Europea o de los Estados miembros;
  • que el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública, por ejemplo, la protección frente a amenazas transfronterizas graves para la salud.

Como puede observarse, el enfoque del RGPD es más restrictivo que el contemplado por el marco jurídico norteamericano (entre otras normas relevantes en la materia, pueden citarse la Crime Control and Safe Street Acts o las normas sobre National Security Letters), que deja un mayor margen de interpretación a sus autoridades.

En la Unión Europea será necesario acreditar que la cesión de datos personales por parte de los operadores de telefonía móvil resulta estrictamente necesaria para proteger un “interés público esencial”, lo cual exigirá una ponderación entre los beneficios concretos que puede aportar este tratamiento y los perjuicios para los derechos y libertades de los interesados.

En cualquier caso, ya existen algunos precedentes de este tipo de prácticas a nivel europeo (por ejemplo, la excepción prevista en la normativa británica de protección de datos, que permite limitar las garantías en este ámbito para garantizar un control efectivo de la inmigración), por lo que conviene hacer un seguimiento de estas medidas y analizar cómo se ajustan al RGPD.

Autor: Sergi Gàlvez

This post is also available in: enEnglish

Autores:

Asociado

15 artículos

Asociado del Área de Propiedad Intelectual y Protección de Datos. Especialista en protección de datos y tecnologías disruptivas. Participa en el asesoramiento recurrente en materia de protección de datos y contratación tecnológica de compañías nacionales e internacionales, especialmente en la configuración jurídica de evaluaciones de impacto, transferencias internacionales de datos personales, contratos de encargo de tratamiento y en el asesoramiento durante violaciones de seguridad. Además de prestar asesoramiento continuado a clientes en los ámbitos mencionados, tiene experiencia en asesorar a empresas de diferentes sectores en la configuración legal de proyectos que implementan tecnologías disruptivas, tales como el Big Data, Internet of Things, artificial intelligence y smart robots.

sergi.galvez@cuatrecasas.com