Aunque todavía no disponemos del texto definitivo que presuntamente será aprobado en los primeros meses de 2016, sí podemos adelantar las líneas maestras de la nueva legislación cuya propuesta ha sido acordada recientemente por el Parlamento y Consejo Europeos.
El derecho a la privacidad o a la protección de datos es un derecho fundamental que con la tecnología actual cobra especial sentido.
Desde hace años la Unión Europea ha sentido la necesidad de contar con una única legislación en todo el territorio de la Unión que permita a quienes realicen tratamiento de datos, aplicar unas mismas reglas en todos los países en los que actúen, evitando diferencias de criterios y regímenes sancionadores dispares según el país en el que se realice el tratamiento.
Las recientes Sentencias del Tribunal de Justicia de la Unión Europea también han ido marcando criterios que estarán recogidos en la nueva legislación: el derecho al olvido, la aplicación territorial a quienes realicen tratamiento de datos de ciudadanos comunitarios, el equilibrio con otros derechos como el de libertad de expresión, entre otros.
En términos generales, la nomenclatura utilizada seguirá siendo la misma pero se avanza en las garantías del interesado (es decir el titular de los datos) y en su protección.
La protección de los datos personales se convierte (como así lo veníamos manteniendo quienes nos dedicamos a esto) en algo más que un cumplimiento formal de obligaciones legales sino en una verdadera cultura de la privacidad que afecta a las organizaciones y que evalúa el riesgo teniendo en cuenta otros muchos factores que afectan a la privacidad y a la confidencialidad de los datos.
Como puntos destacables, apuntamos entre otras, las siguientes novedades:
1.- Análisis de Riesgos y Evaluación de Impacto: como su nombre indica y obligatorio para determinado tipo de tratamiento, la previa realización de un análisis de riesgos a la hora de realizar un tratamiento que suponga un alto riesgo para los derechos de los individuos. Será la autoridad de control la que fijará las operaciones obligatorias que deban ser analizadas así como sus términos.
2.- El Data Protection Officer: figura nueva que ya existe en muchas organizaciones y que con unas funciones delegadas del responsable del tratamiento velará por el cumplimiento del Reglamento, de las políticas internas y será el interlocutor con la autoridad de control entre otras funciones. Sus funciones irán más allá de lo que es actualmente el “responsable de seguridad”. No será una figura obligatoria para todas las organizaciones aunque cualquier responsable podrá designar uno.
3.- El derecho al olvido: en la línea de lo adelantado por la Sentencia del TJUE sobre el tema, el justo equilibrio entre el derecho a la información y el derecho al “borrado” de los datos cuando ya no sean necesarios, un derecho particularmente necesario en Internet.
4.- La portabilidad de los datos. Otro nuevo derecho que introduce el Reglamento que se traduce en el derecho a exigir los datos que trate un responsable para entregárselos a otro de una forma y en un formato sencillo y leíble. Incluso puede implicar la petición de entrega directa.
5.- La ventanilla única. Aunque cada estado miembro tendrá su propia autoridad de control, en el caso de entidades con establecimientos y/o actividad en varios países se podrá elegir la autoridad de control del establecimiento principal o del único establecimiento que será competente para cualquier operación realizada en el territorio europeo. Dicha autoridad de control tendrá facultades de asesoramiento, control y supervisión.
6.- La “pseudoanonimización” de los datos: en la medida de lo posible deberán adoptarse medidas que disocien, anonimicen o encripten los datos personales para garantizar su seguridad.
7.- El deber de información unificado: junto con el consentimiento, el derecho/obligación de información es uno de los pilares de la transparencia en el tratamiento de datos. Se regula los mínimos, incluye el deber de informar sobre posibles transferencias internacionales, el tiempo que los datos serán almacenados, entre otros además de las obligaciones actuales.
8.- Régimen sancionador: las multas y otras medidas serán proporcionales a cada circunstancia y caso particular (en la línea de lo que nuestra Agencia Española de Protección de Datos venía aplicando de facto). El límite de las multas todavía no se ha fijado en el texto aprobado que podrá consistir también en un porcentaje de la facturación global de la compañía en casos graves.
9.- Régimen territorial: punto polémico en este largo trámite parlamentario. Hasta la fecha, las grandes multinacionales extracomunitarias aplicaban sus propias políticas de privacidad (normalmente de los EEUU, que como sabemos cuentan con unas políticas mucho menos garantistas) a pesar de realizar tratamiento de ciudadanos comunitarios.
10.- La llamada “privacidad a la carta”. Las medidas, procedimientos y sistemas que garanticen la privacidad deben ajustarse a las necesidades, tamaño, circunstancias, contexto y finalidades del tratamiento de datos. Se podrá utilizar un mecanismo de certificación o similar para demostrar que se ha cumplido con esta obligación.
Otros: el actual Grupo del Artículo 29 será sustituido por el “European Data Protection Board”, órgano consultivo con funciones similares y que velará por el cumplimiento de la legislación e interpretará y dictará recomendaciones y líneas de actuación.
Se espera la publicación del texto definitivo para principios de 2016 por lo que la entrada en vigor se produciría en 2018, es decir, hay tiempo y mientras tanto se madurarán los requisitos que el Reglamento delega en las autoridades de control.
Seguiremos informando y sobre todo, estaremos atentos para realizar los cambios necesarios para garantizar que la transición a la nueva legislación se haga correctamente.
Comentarios
No hay comentarios