Confilegal
Firmas

Europa marca la normativa en la era Snowden y Ashley Madison

Daniel López Carballo
21 Diciembre, 2015

Tras un año marcado por diferentes acontecimientos en el ámbito de la protección de datos personales, casi en el tiempo de descuento, conocíamos el acuerdo entre Consejo y Parlamento, desbloqueando la Norma que, si no hay sorpresas de última hora, regulara el tratamiento de datos personales en Europa durante los próximos años.

Las vulneraciones de datos personales, casos como Ashley Madison, las revelaciones de Snowden, o las diferentes Sentencias que hemos ido conociendo (anteriormente Derecho al Olvido, y más recientemente sobre el Safe Harbor), ponen de manifiesto la necesidad de dotas de mayor protección los derechos de las personas sobre su información. Un aspecto que debe completarse con el reconocimiento de una madurez de las empresas e instituciones, avanzando en un sistema de protección efectiva de este derecho  fundamental.

Un Derecho que encuentra su protección, entre otros, en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, además de las diferentes Constituciones nacionales (en el caso de España nuestra Carta Magna garantiza este derecho en su artículo 18).

El imparable avance tecnológico, la aparición de nuevos modelos de negocio y la globalización de la información, evidenciaban la necesidad de innovar también en el ámbito jurídico. Conceptos como la propia interpretación de qué es un dato personal, necesitaban una visión desde la óptica del siglo XXI. Del nombre y apellidos hemos evolucionado a otro tipo de información que, actualmente, posibilitan la plena identificación de las personas. De igual manera, el tratamiento masivo de datos, implica en muchas ocasiones que la anonimización de los datos sea una tarea prácticamente imposible.

Un paso decidido por parte de Europa de adecuarse a una nueva realidad, de aportar seguridad jurídica y transparencia en el tratamiento de los datos personales, dando soluciones a las cuestiones que, tanto los propios ciudadanos y empresas, como la actualidad, reclamaban.

El pasado 15 de diciembre, el Consejo, Parlamento y Comisión llegaban a un acuerdo, que posteriormente sería refrendado por la Comisión de Libertades Civiles, Justicia y Asuntos (48 votos a favor, 4 en contra y 4 abstenciones), dando luz verde a la aprobación de un Reglamento que actualizará las reglas de juego marcadas por la Directiva de protección de datos de 1995.

Así las cosas, tras años de interminables debates y trámites, propuestas y modificaciones, todo hace pensar que vemos la luz al final del túnel, y que aquella norma, en la que muchos habían perdido la fe de conocer, regulara la forma en que obtenemos y tratamos los datos de las personas.

Pero ¿qué aporta el futuro Reglamento? ¿En qué se modifican las reglas de juego actuales para ciudadanos y empresas? Como punto de partida para entender la futura norma, debemos considerar como princípiales beneficiarios a las propias personas, que ven reforzados los derechos ya existentes, ampliándose los reconocidos con la incorporación de otros tales como el renombrado derecho al olvido o el derecho a la portabilidad de los datos (entendido como aquel que tienen las personas a transferir de una forma más fácil sus datos personales entre proveedores de servicios).

El refuerzo del consentimiento y el deber de información, dos conceptos fundamentales para garantizar este derecho fundamental. El deber de información debe basarse en información clara y entendible, algo que ya ponía de relieve la propia Agencia Española de Protección en relación con la información facilitada sobre la instalación y utilización de cookies en entornos web.

De igual manera que a las empresas se les reconoce una mayoría de edad en el tratamiento de datos personales, dando un paso más en la regulación y aseguramiento de los datos personales, así como en la adopción de garantías, el texto reconoce una madurez a las personas sobre el tratamiento de sus datos. Un concepto fundamental en un momento en el que los datos personales se consolidan como activo empresarial y motor económico, más en el desarrollo de la economía digital.

En este sentido las personas deben ser libres para manifestar su consentimiento sobre el uso que de sus datos van a hacer, entre otros, empresas e instituciones, dándoles la capacidad de decidir sobre este tratamiento de datos.

Un aspecto que no tiene que limitar el desarrollo económico, o imposibilitar la actividad empresarial. Al contrario, tal y como venimos observando en diferentes mercados y modelos de negocio, la generación de confianza en los usuarios, la adopción de medidas que garanticen la seguridad y confidencialidad de los datos personales, o la claridad en la información que se les facilita, genera una mayor fidelización de los clientes, y la llegada a un público mayor.

La inversión en derechos, no debe ser entendida como un gasto a perdida, difícilmente recuperable, si no como un activo empresarial. Un concepto que se une a la minimización del riesgo de sanciones, un aspecto que veníamos contemplando en las diferentes resoluciones de la Agencia Española de Protección de Datos, en los que el consentimiento para el tratamiento de los datos se erige como uno de los incumplimientos más destacados.

En la actualidad la ausencia de información, conlleva que el ciudadano desconoce a quien le está facilitando realmente sus datos, con que finalidades van a ser tratados, por quién, o ante quien ejercitar sus derechos.

La próxima norma reconoce, así mismo, el derecho de las personas a conocer sobre la seguridad de sus datos, es decir, como indicaba la propia Comisión Europea en su nota de prensa, “las empresas y organizaciones deberán informar rápidamente a las autoridades nacionales de control sobre las violaciones graves en materia de datos, para que los interesados puedan tomar las medidas apropiadas”. 

Una mayor protección de los menores de edad, aunque en este punto será potestad de cada estado que deberá fijar la edad límite entre 13 y 16 años, exigiéndose la autorización de padres o tutores para poder utilizar servicios telemáticos, debiendo establecerse mecanismos para la verificación de la edad real de cada usuario. Una preocupación que hoy es una realidad. Si bien nos encontramos ante nuevas generaciones, denominadas “nativos digitales”, que se familiarizan con la tecnología en cortas edades, es necesario que junto con el conocimiento tecnológico, se avance en la formación y educación de los menores respecto del tratamiento de sus datos personales, las implicaciones de subir o compartir informaciones o fotografías en redes sociales, y como, junto con una correcta configuración de la privacidad, puede aumentarse el control sobre los datos.

El derecho a la protección de los datos personales es un derecho que se encuentra íntimamente ligado a otros, tales como el derecho al honor o la intimidad personal y familiar. En este punto diferentes noticias han puesto de manifiesto que las instituciones deben actuar en la defensa de los menores, en este sentido nos encontramos en el ámbito internacional, tristemente, fenómenos que llenan las redes sociales de fotografías de menores, que desconocen la difusión que de su información se está realizando y las finalidades con las que la misma está siendo usada.

Es importante que, para una plena efectividad, estas medidas se completen con un esfuerzo educativo, de formación y concienciación, tanto por las propias Instituciones (sírvase de ejemplo iniciativas que se están llevando a cabo en países iberoamericanos como Argentina o Colombia)

Esto, por el contrario, redunda en un mayor control y exigencias técnicas y de seguridad, sobre todo de las grandes empresas. Si bien para ellas tener un marco normativo común europeo es una ventaja a la hora de prestar servicios por igual en todo el continente, se introducen medidas adicionales a las que ya venían siendo obligadas como, por ejemplo, la evaluación del impacto en aquellos tratamientos que puedan ser de alto riesgo así como un deber de consulta previa a las agencias, de cara a implementar las medidas adecuadas en cada caso. Se impone, por tanto, la privacidad a medida –privacy by design-, es decir, tener en cuenta el impacto en la privacidad de los usuarios desde el primer momento en que se desarrolla el servicio, de cara a ofrecer siempre garantías de protección de los derechos de los usuarios. Por no hablar de que se amplía el rango sancionador, pudiendo llegar hasta el 4% del volumen de negocio anual de la compañía.

En este periodo transitorio hasta 2018 toca ir adecuando procedimientos y medidas de seguridad, no solo para cumplir con la normativa y no ser sancionado sino para que la privacidad sea un valor diferencial en el servicio a unos usuarios que cada vez demandan mayor seriedad en este ámbito.

Daniel López Carballo

Daniel López Carballo

Asociado Senior de Information Technology en ECIJA


Leave a Reply

Be the First to Comment!

avatar
wpDiscuz