viernes, 20 de julio de 2018

NUEVA LEY INFORMÁTICA Y LIBERTADES EN FRANCIA EN APLICACIÓN DEL REGLAMENTO GENERAL DE PROTECCION DE DATOS PERSONALES, RGPD[1].




Por: Carlos A. Ferreyros Soto
Doctor en Derecho

cferreyros@hotmail.com



INTRODUCCIÓN

El presente artículo consta de dos partes: la primera, es la traducción de un comentario publicado por la Comisión Nacional de Informática y Libertades de Francia, el 04 de julio de 2018, el mismo que detalla el procedimiento seguido por esa institución a fin de adecuar la legislación nacional a la legislación europea, luego de la entrada en vigencia del Reglamento General de Protección de Datos, RGPD, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, a través:
  • ·        de una nueva transitoria Ley de Informática y Libertades,
  • ·        de arrogarse ciertos "márgenes de maniobra nacionales" autorizados por el RGPD,
  • ·        de la comprensión de un marco jurídico de doble nivel de aplicación, europeo y nacional,
  • ·        de la aplicación de la legislación nacional a todos los archivos "represivos", penal o de inteligencia y seguridad del Estado
  • ·        de una re-escritura completa de la Ley Informática y Libertades por Ordenanza, dentro de los seis meses siguientes.

La segunda, incide sobre algunas manidas reflexiones:
·    la importancia que las autoridades de transparencia y acceso a la información publica, de protección de datos personales y gestión de intereses en el Perú, sigan o no integradas en un solo organismo,
· el estatuto de independencia que debiera asignárseles para asegurar una representación pluralista, y
·     la previsión y respuesta de la Autoridad Nacional de Protección de Datos Personales, para enfrentar la adecuación del RGPD en el Perú.
  
1. COMENTARIO DE LA NUEVA LEY POR EL CNIL

La Ley n° 2018-493[2] del 20 de junio de 2018, promulgada el 21 de junio de 2018, modifica la Ley Informática y et Libertades para adecuar la legislación nacional al marco jurídico europeo. Ella permite la implementación práctica del Reglamento General de Protección de Datos (RGPD) y la Directiva de Policía-Justicia, aplicable a los archivos penales. La legibilidad del marco legal nacional se mejorará mediante la expedición de una Ordenanza dentro de seis meses.

La nueva Ley Informática y Libertades permite la aplicación efectiva de los textos europeos, que representan un avance mayor para la protección de los datos personales de los ciudadanos y la seguridad jurídica de los agentes económicos.

Ella proporciona a la Comisión Nacional de Informática y Libertades, CNIL de los poderes necesarios para llevar a cabo sus misiones, en un contexto marcado por el reconocimiento de nuevos derechos de los ciudadanos y el fortalecimiento de la responsabilidad de los operadores.

La Ley organiza la articulación necesaria de los procedimientos internos de la CNIL con los nuevos mecanismos de cooperación europea.

Ella ejerce ciertos "márgenes de maniobra nacionales" autorizados por el RGPD, transpone al derecho francés la Directiva Policía-Justicia a la legislación francesa y modifica algunas de sus disposiciones para acercarlas al espíritu del RGPD.

Una buena comprensión del marco jurídico supone combinar, a partir de ahora, los dos niveles, europeo y nacional. El RGPD se aplica directamente en el derecho francés: el reemplaza en numerosos puntos (derechos de las personas, bases legales de los tratamientos, medidas de seguridad a implementar, transferencias, etc.) la ley nacional. En otros aspectos (los "márgenes de maniobra nacionales"), la Ley Informática y Libertades sigue en vigor y complementa al RGPD: se trata, por ejemplo, del procesamiento de datos de salud o datos de delitos, del límite de edad de 15 años para el consentimiento de los menores a los servicios en línea, disposiciones relativas a la muerte digital, etc.

Finalmente, la ley nacional sigue siendo plenamente aplicable a todos los archivos "represivos", ya sea en el ámbito penal o en el campo de la inteligencia y la seguridad del Estado. Numerosas disposiciones especiales han sido previstas en esas materias.

Se ha previsto una Ordenanza para una re-escritura completa de la Ley Informática y Libertades, dentro de los seis meses, en particular para resolver estas dificultades de legibilidad de este marco legal compósito. Mientras tanto, conviene de prestar especial atención al marco legal aplicable a cada tratamiento.

La legislación nacional también debe ser complementada con un nuevo Decreto para la aplicación de la Ley Informática y Libertades a fin de perfeccionar la adecuación de la legislación nacional con el marco jurídico europeo. Este Decreto, sobre el cual se ha solicitado la opinión de la CNIL, debería publicarse en las próximas semanas. Este Decreto permitirá de fijar con mayor precisión los procedimientos de tratamiento por parte de la CNIL de los diversos expedientes de los cuales ella es responsable y precisar determinadas disposiciones de la ley.

La CNIL recuerda, finalmente, la necesidad de adoptar este Decreto y esta Ordenanza al más breve plazo, a fin de que el nuevo marco legal sea más legible para los profesionales y los ciudadanos.

2. APLICABILIDAD  DE LA NUEVA LEY AL PERU

Sobre esta nueva Ley de Informática y Libertades n° 78-17 del 6 de enero de 1978 modificada por la ley n° 2018-493 del 20 de junio de 2018, cabe hacer dos observaciones, aplicables probablemente, a la normativa peruana sobre Transparencia y Acceso a la Información Pública, Protección de Datos Personales y Regulación de la Gestión de Intereses:


 Primero, la CNIL, a diferencia de la Autoridad de Transparencia y Acceso a la Información Pública, Protección de Datos Personales y Regulación de la Gestión de Intereses peruana, es una Autoridad administrativa independiente, que pretende asegurar una representación pluralista; tal como ha sido previsto en el artículo 11°, la CNIL y sus funciones; y en el artículo 13°, su conformación:
Artículo 11
I.- La Comisión Nacional de Informática y Libertades es una autoridad administrativa independiente[3]. Es la autoridad nacional de supervisión en el sentido y para la aplicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 mencionado anteriormente. Lleva a cabo las siguientes misiones:


1° Informa a todas las personas afectadas y a todos los responsables de tratamientos de sus derechos y obligaciones y puede, para este fin, proporcionar información adaptada a las autoridades locales, sus agrupaciones y pequeñas y medianas empresas;


2° Garantiza que el tratamiento de datos personales se lleve a cabo conforme a las disposiciones de esta ley y otras disposiciones relacionadas con la protección de datos personales previstas en las leyes y reglamentos, el derecho de la Unión europea y los compromisos internacionales de Francia.
(…)
Artículo 13
Modificado por la ley n° 2018-493 del 20 de junio de 2018

I.- La Comisión Nacional de Informática y Libertades está compuesta por dieciocho miembros:

1° Dos diputados y dos senadores, designados respectivamente por la Asamblea Nacional y por el Senado de manera a asegurar una representación pluralista;
2° Dos miembros del Consejo Económico, Social y Ambiental, elegidos por esta Asamblea;
3° Dos miembros o ex miembros del Consejo de Estado, de un grado al menos igual al de consejero, elegido por la Asamblea General del Consejo de Estado;
4° Dos miembros o ex miembros del Tribunal de Casación, de un grado al menos igual al de consejero, elegido por la Asamblea General del Tribunal de Casación;
5° Dos miembros o ex miembros del Tribunal de Cuentas, de un grado al menos igual al del asesor principal, elegidos por la junta general del Tribunal de Cuentas;
6° Tres personalidades calificadas por su conocimiento del ámbito digital y de materias relacionadas con las libertades individuales, nombrados por decreto;
7° Dos personas calificadas por su conocimiento del ámbito digital y de materias relacionadas con las libertades individuales, designadas respectivamente por el Presidente de la Asamblea Nacional y el Presidente del Senado;
8° El presidente de la Comisión de acceso a los documentos administrativos, o su representante.

Segundo, el artículo 3°, sobre el Ámbito de Aplicación Territorial, del RGPD establece que éste: 

1. Se aplica al tratamiento o circulación de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. 

2. Se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: 

      a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o 

      b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión. 

3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público

Esto supone que el Reglamento se aplica: 

1) A los responsables o encargados de tratamiento o circulación de datos personales con establecimiento en la Unión, en el ámbito territorial de aplicación de la legislación europea; 

2) A los responsables o encargados de tratamiento o circulación de datos personales de aquellos terceros países (Perú, por ejemplo) que traten o hagan circular datos de ciudadanos europeos, cuando estas se encuentren relacionadas

    a) a la oferta de bienes o servicios a dichos interesados en la Unión, o 

   b) al control de su comportamiento, cuando se realicen en el territorio de la Unión. 

3) El Reglamento se aplica a un responsable no establecido en la Unión, sino en un lugar en que el derecho de los Estados miembros sea de aplicación en virtud del Derecho Internacional público.

COLOFON 

En consecuencia la Autoridad Nacional de Protección de Datos Personales del Perú, debiera interesarse por dos aspectos: 

1. el análisis y obtención del estatuto de autoridad administrativa independiente, y de conformación multidisciplinaria y representación pluralista;

2. realizar un ejercicio similar al realizado por la CNIL francesa, pero que igualmente se preparan en otras latitudes: España, México, Uruguay, entre otros, para analizar e indicar:

a) aquellas normas de aplicación por la legislación nacional, por ejemplo: los archivos relativos a los aspectos penales,  de inteligencia y seguridad del Estado,

b) aquellos que nos vinculan a Convenios o Acuerdos con la Comunidad Andina, la Unión Europea, OCDE,…;

c) re-elaborar una nueva norma que defina las atribuciones sobre Transparencia y Acceso a la Información Pública, Protección de Datos Personales y Regulación de la Gestión de Intereses, integrando los aspectos mencionados en a) y b).




[1] Traducción del ccomentario de la CNIL, a propósito de la adecuación práctica del RGPD en Francia.
[2] El texto integral de la ley en francés figura en el siguiente enlace: https://www.legifrance.gouv.fr/eli/loi/2018/6/20/JUSC1732261L/jo/texte
[3] Los subrayados son del autor.


Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)