Creación de una nueva norma de protección de datos en Austria

La Ley federal austriaca de protección de las personas físicas en lo que respecta al tratamiento de datos personales (Ley de protección de datos (DSG) BGBI. I Nº 165/1999) o DSG para abreviar es una ley de privacidad de datos que se modificó recientemente en 2019. Dado que Austria es un Estado miembro de la Unión Europea, la DSG se modificó con el fin de implementar las disposiciones del Reglamento General de Protección de Datos o GDPR en la legislación austriaca. Como tal, aunque muchas de las disposiciones de la DSG son idénticas a las de la ley GDPR de la UE, existen algunas diferencias entre las dos piezas de legislación en lo que respecta a los controladores y procesadores de datos que realizan operaciones dentro del país de Austra.

¿Cuáles son las diferencias entre la DSG y el GDPR de la UE?

Una de las principales diferencias entre la ley GDPR de la UE y la DSG de Austria son las organizaciones y personas que están exentas de los requisitos y obligaciones que ambas leyes imponen a los responsables y encargados del tratamiento. Como se establece en la DSG, “de conformidad con el artículo 9 de la DSG para el tratamiento de datos personales por parte de propietarios de medios de comunicación, editores y empleados de una empresa o servicio de medios de comunicación, con fines periodísticos de dichas empresas o servicios, no se aplicará el artículo 85, apartado 2, del GDPR, ni la DSG”. En el ejercicio de sus competencias frente a dichas personas y entidades, la DSG observará la protección del secreto editorial”. Además, las disposiciones de la DSG “no se aplicarán a las actividades de tratamiento realizadas con fines científicos, artísticos o literarios”.

Por otra parte, en lo que respecta a las evaluaciones de impacto sobre la protección de datos o EIPD, éstas deben llevarse a cabo en los casos en que la recogida o el tratamiento de datos personales puedan suponer un riesgo para los derechos y libertades de los interesados. A tal fin, la DSG exige que los responsables y encargados del tratamiento lleven a cabo EIPD en diversas circunstancias. Estas circunstancias incluyen, entre otras

• Las operaciones de tratamiento que impliquen una evaluación o una clasificación de personas físicas, incluida la creación de perfiles y previsiones, con fines relativos al rendimiento laboral, la situación económica, la salud, las preferencias e intereses personales, la fiabilidad, el comportamiento, el paradero o los desplazamientos de la persona, que se basen únicamente en un tratamiento automatizado y que puedan tener consecuencias jurídicas, físicas o financieras negativas;
• Tratamientos de datos destinados a evaluar la conducta y otros aspectos personales de personas físicas y que puedan ser utilizados por terceros para tomar decisiones automatizadas que tengan efectos jurídicos sobre las personas evaluadas o que les afecten significativamente de modo similar;
• Operaciones de tratamiento destinadas a la observación, supervisión o control de los interesados, en particular, mediante el tratamiento de imágenes y datos acústicos relacionados, y relativas a datos recogidos a través de redes o destinadas a la vigilancia sistemática y amplia de zonas de acceso público, y lugares públicos, en los que pueden entrar grupos indeterminados de personas, entre otros.

¿Cuáles son los derechos de los ciudadanos austriacos en virtud de la DSG?

Los derechos de los ciudadanos austriacos no varían con respecto a los derechos que se ofrecen a todos los ciudadanos de los Estados miembros de la UE en virtud del Reglamento General de Protección de Datos, como el derecho a ser informado, el derecho de acceso, el derecho de supresión y el derecho de rectificación, entre otros muchos. Sin embargo, la DSG varía de la ley GDPR de la UE en lo que respecta a las excepciones que pueden hacerse a estos diversos derechos. Por ejemplo, como se establece en la DSG, “los abogados y los notarios públicos no están obligados a responder a las solicitudes de acceso de los interesados con arreglo al artículo 15 del RGPD, en la medida en que sea necesario para cumplir con su obligación legal de confidencialidad (con arreglo al artículo 9 de la Ley de Abogados y al artículo 37 de la Ley de Notarios Públicos) para garantizar la protección de los derechos y libertades de su propio cliente o de terceros, o para garantizar la ejecución de reclamaciones civiles”.

En lo que respecta a las sanciones por incumplimiento de las disposiciones de la ley, la DSG es aplicada a nivel nacional por la autoridad austriaca de protección de datos o DSB para abreviar. En este sentido, la DSG está facultada para imponer diversas sanciones a los responsables y encargados del tratamiento de datos en Austria que incumplan la DSG, incluida una multa administrativa de hasta 50.000 euros (56.787 dólares) en función del alcance y la gravedad de la infracción concreta. Dichas infracciones incluyen negarse a realizar una inspección a petición de la DSB, recopilar o tratar datos personales de forma ilícita o transmitir deliberadamente datos personales que infrinjan las disposiciones de la DSG, entre otras. Además, los responsables y encargados del tratamiento que infrinjan la DSG están sujetos a responsabilidades penales.

Dado que Austria es uno de los numerosos países de Europa y de todo el mundo que han ratificado el Convenio para la Protección de las Personas con respecto al Tratamiento Automatizado de Datos de Carácter Personal, o el Convenio 108 modernizado, la protección de los datos personales es claramente una prioridad para el país. Con la aprobación de la DSG de conformidad con los principios de la ley GDPR de la UE, esta prioridad se ha reforzado aún más, ya que estas formas de legislación funcionan conjuntamente para garantizar que los datos personales de los ciudadanos austriacos solo puedan recopilarse o procesarse en un marco jurídico estricto y regulado.