La Comisión Europea ha publicado una guía sobre cómo debe concebirse la interacción entre el RGPD y el Reglamento sobre la libre circulación de datos no personales.
Un año después de que el RGPD comenzase a aplicarse, la mayoría de responsables de tratamiento son (o al menos deberían serlo) conscientes de las medidas de seguridad y requisitos de privacidad que deberían regular los datasets que contienen datos personales. Ahora bien, ¿qué ocurre cuando además de datos personales incluyen también información no personal?
El nuevo Reglamento (Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea), aplicable desde mayo de este año, sienta las condiciones para el tratamiento y circulación de datos no personales dentro de la Unión Europea. El objetivo de esta nueva regulación es eliminar los obstáculos que pudiesen existir en este campo. En consecuencia, cuando se traten datasets mixtos, se deberá tener en cuenta no sólo el RGPD, sino también este nuevo Reglamento.
La Comisión Europea ha publicado una serie de orientacionesa fin de clarificar la interacción entre ambas normativas.
A los efectos del Reglamento para la libre circulación de datos no personales en la Unión Europea, datos no personales significa:
- Datos que en origen no estaban relacionados con ninguna persona identificada o identificable, como datos climáticos recogidos por sensores.
- Datos que inicialmente se vinculaba a una o varias personas pero que después fueron anonimizados.
Se define por tanto como justo el concepto contrario al de dato personal contenido en el RGPD.
Se pueden destacar tres aspectos principales del Reglamento para la libre circulación de datos no personales en la Unión Europea:
- Se prohíbe, como norma, imponer requisitos sobre dónde deberían localizarse los datos.
- Se establece un mecanismo de cooperación para asegurar que las autoridades competentes mantienen sus derechos de acceso a los datos que se procesan en otro Estado Miembro.
- Ofrece incentivos la industria, con apoyo de la Comisión, para desarrollar códigos de conducta.
Los datasets que contienen nombres y contactos de personas jurídicas serán considerados en principio datos no personales, salvo para algunos casos, como, por ejemplo, la situación en que el nombre de la persona jurídica es el mismo que el de la persona física propietaria de la compañía, o bien cuando la información se puede vincular con una persona física identificada o identificable.
En caso de datasets compuestos tanto por información personal como por información no personal:
- El Reglamento para la libre circulación de datos no personales en la Unión Europea se aplicará a la parte de datos no personales;
- El RGPD se aplicará a los datos personales; and
- Si los datos no personales y los datos personales están “inextricablemente Unidos”, los derechos y obligaciones que emanan del RGPD serán los que se apliquen a todo el dataset, incluso cuando la parte de datos personales es una parte muy reducida del mismo.
¿Qué significa inextricablemente unido?
La definición de este concepto no aparece en ninguno de los Reglamentos arriba mencionados. A efectos prácticos, se puede referir a la situación en la que un dataset contiene tanto datos personales como datos no personales y separarlos sería imposible o resultaría demasiado costoso para el responsable, o incluso económicamente ineficiente o técnicamente no factible. Por ejemplo, al adquirir un sistema de gestión de CRM y ventas y generación de informes, hacerlo por separado implicaría doble coste para la compañía pues tendrían que ser softwares diferentes. También regirá esta idea cuando la separación pueda conducir a una reducción significativa del valor del dataset, así como cuando los datos tengan una naturaleza cambiante que haga difícil una separación clara.
¿Cuál es la conclusión entonces?
Siempre que se trate de alguna forma con datos personales, el RGPD se aplicará. Sin embargo, el Reglamento para la libre circulación de datos no personales en la Unión Europea ofrece a los responsables una oportunidad de gestionar de manera diferente los datos personales y los datos no personales siempre y cuando estén debidamente separados.
Este nuevo Reglamento, junto al RGPD, hace del cuadro legal de la UE para la libre circulación de datos uno de los más estables que existen.