'Europa marca el futuro de la protección de datos', con la opinión de Belén Viyella, asociada senior de Information Technology de ECIJA
Generar confianza y superar los retos que representan las nuevas tecnologías.Éstos son los dos principales objetivos que persigue la propuesta de Reglamento en materia de Protección de Datos que prepara la Unión Europea y que, según todos los pronósticos, estará lista para principios del año que viene. Una nueva norma de cumplimiento directo para todos los Estados miembros y cuyas líneas maestras ya han levantado algunas críticas e incertidumbre. Y es que lo que parecía una norma de armonización de las distintas regulaciones nacionales se ha convertido en una herramienta que realiza una revisión total e introduce importantes novedades.
El planteamiento general es que es necesario reforzar la protección de las personas físicas. Para ello, entre otras medidas, introduce la eliminación del consentimiento tácito: a partir de su aprobación, la manifestación de voluntad deberá ser libre, informada y explícita. Pero, además, cada vez que haya un cambio en la finalidad por la que se recogieron los datos habrá que modificar las condiciones y volver a solicitar el consentimiento.
Pero sin duda la mayor novedad en este ámbito es que por primera vez se regula el ansiado «derecho al olvido». Los datos personales hechos públicos –fundamentalmente en Internet por medio de referencias o hipervínculos– deberán ser cancelados por el responsable cuando el usuario así lo solicite.
Pero la norma da un paso más y, con el fin de reforzar este derecho, añade una nueva obligación a los responsables: estarán obligados a informar a los terceros que estén tratando tales datos para que supriman todo enlace o las copias o réplicas de los mismos. Junto con los derechos de las personas físicas, el futuro Reglamento también regula las obligaciones de los responsables de los datos. Si por un lado establece estrictas condiciones y aún más dura sanciones, por otro la esencia de la norma se basa en la autoorganización interna de la empresa, tal y como señaló Belén Viyella, asociada senior de ECIJA durante la jornada «Novedades del Reglamento de la UE sobre Protección de Datos Personales»:
Así, la norma prevé que el responsable deberá adoptar las políticas internas y aplicar las medidas que considere oportunas con el fin de cumplir con los principios de protección de datos «desde el diseño y por defecto». En segundo lugar, la obligación de declarar los ficheros a las autoridades nacionales será sustituida por la realización de una serie de procedimientos que regulen las operaciones que puedan presentar riesgos específicos a los derechos y libertades de los interesados. En tales casos, y siempre antes del tratamiento de los datos, el responsable o el encargado del mismo deben llevar a cabo una evaluación de impacto de la protección de datos (o «PIA» Privacy Impact Assessment) que debe incluir las medidas, las garantías y los mecanismos previstos para garantizar la protección de los datos personales y demostrar la conformidad con el futuro Reglamento.
Menos flexible se muestra la norma en el caso de las incidencias y sanciones. En un futuro nos encontraremos con un nuevo concepto en materia de protección de datos que es, sin lugar a dudas, una de las grandes críticas que se han producido respecto de la norma: el de brecha de seguridad. Así, las incidencias muy graves en materia de protección de datos personales deberán comunicarse en un plazo máximo de 24 horas a la Autoridad de Control mediante un informe sobre el suceso y, si no fuera factible en dicho plazo, la notificación deberá ir acompañada de una explicación de las razones de la demora. Pero el régimen sancionador no es menos duro: las infracciones muy graves estarán penadas, para el caso de las empresas, con hasta el 2% del volumen mundial de negocios y, en el caso de autónomos, como un millón de euros. Plazos y sanciones escandalosas que ya han levantado las voces más críticas.
Por último, el Reglamento introduce dos nuevas figuras. En primer lugar, se crea la figura del Delegado de Protección de Datos, una figura obligatoria para todas las Administraciones Públicas y para aquellas empresas con más de 250 trabajadores que deberá velar por el buen cumplimiento del Reglamento. En segundo lugar, crea el Consejo Europeo de Protección de Datos que se configura como la autoridad europea en este ámbito, además de centro de cooperación de las autoridades nacionales que, por otro lado, estarán obligadas a trabajar de forma conjunta hasta el punto deque, en el caso de que una autoridad no responda a los requerimientos de otra, podrán ser denunciadas ante la Comisión.
En definitiva, numerosas novedades que aún tendrá que concretarse en un texto definitivo y que, además, deberán matizarse tanto por la Comisión como por el Tribunal de Justicia Europeo. Pero lo que parece evidente es que nuestra Ley Orgánica de Protección de Datos tiene las horas contadas: la Unión Europea es ahora quien marca el camino de la protección de datos.
Enlace a la noticia: 'Europa marca el futuro de la protección de datos'