Comité Europe de Protección de Datos

Comité Europeo de Protección de Datos (CEPD) - 30.ª sesión plenaria: Respuesta del CEPD a las ONG sobre los Decretos de Hungría y la declaración sobre el artículo 23 del Reglamento general de protección de datos (RGPD)

Wednesday, 3 June, 2020
EDPB

Bruselas, 3 de junio - En su 30.ª sesión plenaria, el CEPD adoptó una declaración sobre los derechos de la personas interesadas en relación con el estado de alarma en los Estados miembros. El Comité también adoptó una carta en respuesta al escrito de la Unión por las Libertades Civiles en Europa, Access Now y la Unión Húngara por las Libertades Civiles (HCLU) en relación con el Decreto del Gobierno húngaro 179/2020, de 4 de mayo.

El CEPD recuerda que, incluso en estos momentos excepcionales, la protección de los datos personales debe respetarse en todas las medidas de emergencia, contribuyendo así a la salvaguarda de los valores universales de democracia, Estado de Derecho y derechos fundamentales en los que se basa la Unión.

Tanto en la declaración como en la carta, el CEPD reitera que el RGPD sigue siendo aplicable y permite responder con eficacia a la pandemia, al tiempo que protege los derechos y las libertades fundamentales. La legislación en materia de protección de datos ya permite las operaciones de tratamiento de datos necesarias para contribuir a la lucha contra la pandemia de COVID-19.

La declaración recuerda los principios fundamentales relativos a las restricciones de los derechos de las personas interesadas en relación con el estado de alarma en los Estados miembros:

  • Las restricciones que sean generales, amplias o intrusivas en la medida en que despojan un derecho fundamental de su contenido básico no pueden justificarse.
  • En determinadas condiciones, el artículo 23 del RGPD permite a los legisladores nacionales limitar mediante una medida legislativa el alcance de las obligaciones de los responsables y encargados del tratamiento y los derechos de los interesados cuando tal limitación respete en lo esencial los derechos y libertades fundamentales y sea una medida necesaria y proporcionada en una sociedad democrática para salvaguardar objetivos importantes de interés público general de la Unión o de un Estado miembro, como, por ejemplo, la salud pública.
  • Los derechos de los interesados constituyen el núcleo del derecho fundamental a la protección de datos y el artículo 23 del RGPD debe interpretarse y leerse teniendo en cuenta que la aplicación de dichos derechos debe ser la norma general. Dado que las restricciones son excepciones a la norma general, solo tendrán cabida en circunstancias limitadas.
  • Las restricciones deberán establecerse «por ley», y la ley por la que se establezcan deberá ser lo suficientemente clara como para permitir a la ciudadanía comprender las condiciones en que los responsables del tratamiento pueden invocarlas. Además, las restricciones deberán ser previsibles para las personas sujetas a ellas. Las restricciones impuestas durante un período no limitado en el tiempo, que se aplican con carácter retroactivo o están sujetas a condiciones imprecisas, no cumplen el criterio de previsibilidad.
  • La mera existencia de una pandemia o de cualquier otra situación de emergencia no es, por sí misma, razón suficiente para justificar cualquier tipo de restricción aplicable a los derechos de las personas interesadas; al contrario, toda restricción deberá contribuir claramente a salvaguardar un objetivo importante de interés público general de la UE o de un Estado miembro.
  • El estado de alarma, adoptado en un contexto de pandemia, es una condición jurídica que puede legitimar las restricciones de los derechos de las personas interesadas, siempre que estas restricciones solo se apliquen en la medida en que sean estrictamente necesarias y proporcionadas con el fin salvaguardar el objetivo de salud pública. Así pues, las restricciones deberán estar estrictamente limitadas en cuanto a su alcance y en el tiempo, ya que los derechos de los interesados pueden limitarse pero no negarse. Además, deberán aplicarse plenamente las garantías previstas en el artículo 23, apartado 2, del RGPD.
  • Las restricciones adoptadas en el contexto de un estado de alarma que suspendan o retrasen la aplicación de los derechos de las personas interesadas y las obligaciones que incumben a los responsables y encargados del tratamiento de datos, sin limitaciones temporales claras, equivaldrían a una suspensión general de facto de esos derechos y no serían compatibles con la esencia de los derechos y libertades fundamentales.

Además, el CEPD anunció que publicará en los próximos meses directrices sobre la aplicación del artículo 23 del RGPD.

Nota para los editores:

Nótese que todos los documentos aprobados durante la sesión plenaria del CEPD se someten a las comprobaciones jurídicas, lingüísticas y de formato necesarias y se publicarán en el sitio web del CEPD una vez se hayan realizado dichas comprobaciones.