El pasado 25 de enero la Comisión Europea presentó una propuesta de regulación de la protección de datos personales que modificará sustancialmente el panorama normativo sobre esta materia.
El aumento en el uso de Internet, la obsolencia de la Directiva actual, la fragmentación normativa existente en Europa, la necesidad de reforzar la protección del ciudadano, así como la reducción de las cargas administrativas que suponen para empresas y organizaciones la aplicación de la normativa son las principales causas que han motivado este profundo cambio.
El objetivo por tanto se centra en la aprobación de una normativa que resulte directamente aplicable a todos los países miembros, sin tener que pasar por una trasposición como en el caso de las Directivas, tal y como se produce en la situación actual, y que ha dado lugar a la existencia de 27 normas nacionales de protección de datos. Normativas diferentes en muchos casos en su desarrollo, complejas y de muy difícil aplicación en tratamientos realizados por grupos de empresa con presencia en diferentes países de la Unión.
Las cargas administrativas derivadas de las obligaciones de notificación de ficheros, la autorización para transferencias internacionales de datos, sin olvidar, la odisea administrativa que supone la aprobación de las denominadas “binding corporate rules” que en su origen pretendía facilitar la transferencia de datos entre grupos de empresa multinacionales, se eliminan o bien se limitan para determinados casos especiales.
Los derechos de los ciudadanos, y en particular su reforzamiento frente al desarrollo tecnológico, constituye también un elemento importante en el nuevo marco regulatorio. Esta aspiración se traduce en la incorporación de nuevos principios como el de transparencia, “privacy by design”, “derecho al olvido” o “portabilidad”. Principios muy ligados a contrarrestar el poder de la tecnología y negocios relacionados con internet: buscadores, redes sociales, redes de publicidad, etc cuyo modelo de negocio está basado en la explotación de información personal. Una muestra de esta preocupación ya se vió plasmada en la modificación de la denominada Directiva Cookie, que obliga a obtener el consentimiento previo del usuario antes de introducir cookies en su equipo. Directiva no transpuesta en la mayoría de los países miembros de la UE y cuya aplicación está resultando más que conflictiva.
Ambicioso y de muy difícil aplicación resulta el principio del derecho al olvido sobre todo en información publicada en Internet, cuyo control por parte del responsable una vez colgado en la red resulta del todo imposible. Si gigantes como Google o Facebook no cumplen en la actualidad con la Directiva Europea, que son los que indexan y comparten la información, las empresas poco podrán hacer en este sentido.
El consentimiento, piedra angular del derecho a la protección de datos, también queda retocado añadiendo, por ejemplo, el carácter explícito a los requisitos que ha de reunir para otorgarle validez, eliminado otras opciones como el consentimiento tácito. Queda reconocido asimismo en la propuesta el carácter especial del consentimiento otorgado en el entorno laboral otorgándole una legitimación limitada para determinados tratamientos de datos.
Las empresas y entidades que traten datos personales deberán por su parte adoptar medidas para asegurar y demostrar el cumplimiento de la normativa, estableciendo las políticas, controles y formación necesarias, haciendo accesibles a los sujetos las políticas de protección de datos. También deberán implantar medidas de seguridad adecuadas a la tipología de datos tratados. Respecto a ¿cómo? y ¿qué medidas?, y esto es una tónica en el redactado de la propuesta, se prevé un desarrollo separado para determinar el alcance de las mismas. Algunos términos como; estado de la técnica o coste económico van a permitir adaptar las medidas a la estructura de las empresas. Destacable además la obligación de notificar las violaciones de seguridad (Data Breach) a las agencias supervisoras en menos de 24 h y la posibilidad de comunicarlo también a los sujetos afectados.
Se crea asimismo la figura del “Data Privacy Officer”, de implantación obligatoria en el sector público y en empresas de más de 250 trabajadores. Deberá ser experto en derecho de protección de datos y sus funciones detalladas quedan concretadas en la supervisión y cumplimiento de la regulación. Tendrá que comunicarse su identidad a la autoridad supervisora.
El sistema sancionador previsto intenta evitar que a las grandes compañías les compense incumplir con la normativa y por ello se establecen multas en función del porcentaje del volumen de negocio, hasta el 5% en algunos casos. Poco afortunado, en mi opinión, resulta el derecho que se reconoce a los sujetos a recibir una compensación por la entidad responsable en caso de infracción, si ya con la normativa actual se utiliza habitualmente como instrumento de amenaza, generar una expectativa económica supone abrir una puerta peligrosa.
En el supuesto de grupos de empresa con presencia en varios países miembros, la autoridad supervisora competente, será aquella donde se ubique el establecimiento principal. Con esta medida se prentende designar un único interlocutor. Las demás autoridades supervisoras deberán cooperar con aquella en las acciones que realice de control del cumplimiento de la regulación.
En definitiva nos encontramos ante una reforma ambiciosa en su alcance, con cambios importantes que afectaran a la forma no ya de cumplir sino de gestionar el cumplimiento de la normativa de protección de datos. Prueba del alcance y la importancia de la reforma es, como ha dicho la propia Comisaria Vivianne Reding la presión absolutamente feroz que han ejercido por parte de lobbies durante diseño de la misma.
No hay comentarios:
Publicar un comentario