Principales novedades introducidas en el proyecto de Reglamento Europeo de Protección de datos
Paula Garralón, Área Jurídica de Ecix Group y experta en protección de datos
Hace veinte años la Unión Europea promulgó la Directiva 95/46 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos. Son evidentes los cambios producidos en la economía e incluso en la estructura social durante estas dos décadas.
Las personas hemos modificado nuestros hábitos y nuestra forma de comportarnos; fenómenos como la globalización, Internet y las redes sociales han cambiado nuestra forma de relacionarnos con los demás, sin olvidarnos de lo que está por venir; «Big data», domótica, geolocalización, sistemas de identificación mediante radiofrecuencia o Internet de las cosas.
A día de hoy, la manera de relacionarnos con el mundo implica compartir datos que antes nadie conocía; dónde vivimos, dónde trabajamos, qué comemos, aficiones y gustos, amigos, viajes, etc. Todos estos datos que antes permanecían en la esfera más personal del individuo ahora requieren una protección más intensa que la que otorga la mencionada Directiva. Por todo ello, la Comisión, a la vista de la obsolescencia de la normativa actual en protección de datos y la falta de armonización entre los países de la Unión Europea, promulgó a comienzos del año 2012 un paquete legislativo compuesto por Reglamento y Directiva.
La propuesta de Reglamento de protección de datos se encuentra en proceso de aprobación; muchas de las propuestas que expongo a continuación están en proceso de debate y pueden ser modificadas en lo sucesivo, en cualquier caso, muchas son las novedades que se pretenden introducir que tendrán efectos directos en las empresas e incluso en la vida del ciudadano europeo.
Ámbito de aplicación
En primer lugar, es crucial señalar la ampliación del ámbito de aplicación de la normativa a los responsables de tratamiento no establecidos en la UE. El nuevo Reglamento establece que bastará que los responsables traten datos personales de interesados residentes en la Unión Europea en ejercicio de actividades relacionadas con la oferta de bienes o servicios a tales interesados, o el control de su conducta.
Es decir, hasta ahora la normativa europea de protección de datos sólo era de aplicación a responsables establecidos dentro de la Unión o a responsables del tratamiento no establecidos en la Unión a los que les era aplicable la legislación nacional de un Estado miembro en virtud del Derecho internacional público. Pues bien a partir de ahora todo responsable que trate datos de un ciudadano europeo ya sea mediante la oferta de bienes o servicios o mediante el control de su conducta, estará sometido al Reglamento europeo. Esta novedad se traduce en una mayor protección al ciudadano, que hasta ahora se veía indefenso cuando cedía datos a empresas digamos norteamericanas que podían hacer lo que quisieran con sus datos ya que no estaban sujetas a ninguna regla.
Este asunto nos puede traer a la mente la famosa Sentencia del Tribunal de Justicia de la Unión Europea de mayo de 2014, en la que el Tribunal, interpretando la todavía en vigor Directiva 95/46, dijo que Google pese a ser empresa norteamericana está sujeta al derecho europeo, en concreto al derecho español por llevar a cabo un tratamiento de datos mediante un establecimiento para la promoción y venta de espacios publicitarios y cuya actividad se dirige a los habitantes de España.
Vemos por tanto que las últimas decisiones tomadas en la Unión Europea van en la misma línea; la potenciación y refuerzo de la protección de los datos personales de los residentes europeos.
«Accountability»
«Accountability» es un concepto nuevo todavía en construcción, que surge de la necesidad de transparentar acciones y decisiones dentro de las empresas. Este principio general engloba medidas muy concretas para introducir en el tratamiento de datos:
Delegado de Protección de Datos
El «Data Protection Officer» (DPO) o Delegado de Protección de Datos, es una persona física que se constituye como el punto de unión entre una Autoridad de Control y el encargado o responsable del tratamiento. Los interesados tendrán derecho a entrar en contacto con él para tratar todas las cuestiones relativas al tratamiento de datos que les conciernan y a solicitar el ejercicio de los derechos que les confiere el Reglamento. La inclusión de esta figura supone trasladar la obligación de llevar el control de seguridad de los datos dentro de la empresa
Evaluaciones de impacto de privacidad
«Privacy Impact Assessment» (PIA) o evaluación de impacto, consiste en llevar a cabo un análisis de los riegos que un producto o servicio puede entrañar para la protección de datos de los afectados, y, como consecuencia de ese análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
Se trata de una medida preventiva muy beneficiosa para las empresas ya que antes de que éstas vayan a poner en marcha un producto o servicio se aseguran de cumplir con la normativa, identificar las debilidades y así anticiparse y prevenir problemas futuros.
Obligaciones documentales
En un intento de transparentar los fallos en materia de tratamiento de datos, el Reglamento establece para el responsable la obligación de notificar sin demora cualquier incidencia de seguridad a las autoridades de control, además de hacérselo saber a los afectados.
Esta medida tiene un impacto muy positivo sobre el interesado ya que puede conocer en todo momento las brechas de seguridad que sufran sus datos personales y así poder reaccionar, la duda recae sobre los responsables del tratamiento, si actuarán con la diligencia que se espera de ellos al tratarse de una autoinculpación que puede acarrear sanciones.
Privacidad desde el diseño y por defecto
Consistente en implementar medidas, procedimientos técnicos y organizativos que garanticen la correcta privacidad de los datos, ya sea desde la creación del producto (por ejemplo una aplicación móvil) o durante el tratamiento de los datos.
En la práctica lo ideal es que el producto o servicio genere confianza en el usuario y éste no tema por la seguridad de los datos que entrega. Para ello se tratarán los datos imprescindibles para cada fin específico del tratamiento y es importante que no se divulguen o conserven más allá del mínimo necesario, además de otorgar al usuario poder de disposición sobre la difusión de sus datos. Un ejemplo de privacidad por defecto es la configuración de las publicaciones de los usuarios de redes sociales, de manera que por defecto sean lo más privadas posibles, por ejemplo reducidas a los contactos del usuario, y que sea él mismo el que tenga que cambiar la configuración para hacer la información pública.
En cuanto a la privacidad desde el diseño, la configuración de privacidad no es algo que se añada al producto o servicio sino que forma parte del mismo desde su creación, desde la primera fase del proyecto
Sello europeo de protección de datos
Finalmente, se incorpora un mecanismo de certificación en materia de protección de datos que permitirá a los interesados evaluar el nivel de protección que ofrecen los responsables y encargados de tratamiento. Será un mecanismo voluntario que otorgarán las autoridades de control a responsables y encargados que presenten un nivel adecuado de protección.
Portabilidad de datos
Una de las novedades que, a mi juicio, beneficiará al ciudadano es el nuevo derecho a la portabilidad de datos, consistente en que el interesado, siempre que hubiese facilitado sus datos personales y estos se traten electrónicamente, puede exigir al responsable del tratamiento que se los proporcione en formato electrónico interoperable, para facilitárselos o transferirlos a un nuevo proveedor o responsable. Un ejemplo práctico de ello: deseo cambiar de seguro médico, y para ello obtengo en un formato entendible todos mis datos médicos para poder facilitárselos a la nueva aseguradora y así no perderlos. Las ventajas son evidentes, un reciclaje de los datos evitará al ciudadano la realización de nuevas pruebas médicas.
Perfiles y datos seudónimos
En muy pocos años ha surgido todo un negocio para aquellas compañías que obtienen información del usuario que navega en la red, que usa redes sociales, correo electrónico o wearables por poner algún ejemplo. Este usuario entrega constantemente información muy valiosa para empresas que pueden venderla a otras compañías para conocer los gustos y hábitos de consumo y redirigir la estrategia de publicidad y captación de clientes. Es lo que se conoce como Big Data, el problema que plantea es que estos usuarios no han prestado consentimiento para que se comercialice con sus datos.
En este contexto, la Comisión en un intento de reforzar la protección de los datos personales de estos usuarios, les otorga el derecho a oponerse a la elaboración de perfiles de sus datos.
Por otro lado, para no truncar el desarrollo de este nuevo negocio que sin duda fomentará el desarrollo económico, el Parlamento introduce el concepto de dato seudónimo: «dato personal que no puede atribuirse a un interesado en particular sin recurrir a información adicional, siempre que dicha información adicional de mantenga separada y sujeta a medidas técnicas y organizativas destinadas a garantizar que tal atribución no se produzca».
De esta manera, la elaboración de perfiles usando datos seudónimos no supone una injerencia en la protección de los datos de carácter personal de los usuarios.
Transferencias internacionales de datos
El fenómeno de la globalización ha tenido como consecuencia, entre muchas otras, la externalización de servicios fuera de la Unión Europea por parte de muchas empresas. En vista a esta tendencia, se flexibiliza el régimen de las transferencias internacionales de datos. En este sentido aparecen las «Binding Corporate Rules» (BCR), normas vinculantes de carácter interno que facilitan las transferencias internacionales de datos entre empresas pertenecientes a un mismo grupo multinacional. Además se podrán realizar transferencias internacionales sin previa autorización de las Autoridades de Control cuando éstas elaboren cláusulas tipo o cuando el importador o exportador de datos haya obtenido el sello europeo de protección de datos antes mencionado.
«One Stop Shop»
La introducción de la ventanilla única supone una importante novedad ya que cuando el tratamiento de datos personales por parte de un encargado o responsable de tratamiento se lleve a cabo en más de un Estado miembro, habrá una única autoridad de control competente para supervisar las actividades del responsable o encargado y tomar las decisiones correspondientes con el fin de proporcionar seguridad jurídica y reducir la carga administrativa que soportan dichos responsables y encargados. Un ejemplo a efectos ilustrativos: una multinacional tiene su empresa matriz situada en Bélgica y varias sedes repartidas en diferentes países europeos, pues bien, todos los procedimientos los tramitará a través de la Agencia de protección de datos belga.
Esta novedad supone un claro beneficio para las empresas pero tiene un fuerte impacto sobre los ciudadanos ya que, en este mismo ejemplo, si soy un ciudadano español y tengo que reclamar algo frente la multinacional tendría que dirigirme al estado belga, con el idioma como primera barrera. Esta ventanilla única, según el director de AEPD supone «una merma en las garantías de los ciudadanos» por la pérdida de tiempo y el aumento de costes que supone.
Sanciones
Finalmente, uno de los temas más comentados desde que se publicó la propuesta es el relativo al régimen sancionador. Como novedad desparece la graduación de las sanciones como leve, grave y muy grave y se introduce la posibilidad de apercibir en casos de primer incumplimiento y no deliberado o de obligar al infractor a realizar auditorías durante un tiempo.
En cuanto a las sanciones pecuniarias, se podrán imponer multas de 100.000.000 € o bien el 5% del volumen de negocios mundial (si es superior a esos 100 millones). Podrá graduarse la sanción en función de la actitud que ofrezca el responsable por subsanar la incidencia o infracción, por ejemplo se tendrá en cuenta si se ha obtenido un Sello de Certificación Europeo. El objetivo de este nuevo régimen sancionador es el impacto disuasorio real para las empresas y que la imposición de una sanción de este tipo afecte gravemente a su reputación.
Tras esta breve exposición de las principales novedades que introduce el Reglamento, a mi juicio lo más importante es que se consiga crear una cultura general de protección de datos. Sensibilizar al usuario medio, que conozca los riesgos que entraña la cesión de sus datos y los derechos que el ordenamiento le atribuye y sensibilizar a encargados y responsables de tratamiento para que incorporen la privacidad y seguridad de los datos a su política principal, convertirlo en una prioridad.
