Protección de Datos: La futura normativa europea y su impacto en las compañías

Por Francisco Javier Carbayo, Asociado Senior del Área de Governance, Risks and Compliance de Ecix

El año 2012 ha sido especialmente intenso en materia de debate sobre regulación en Protección de Datos debido a la publicación, con fecha de 25 de enero, de la “Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)”, para sustituir a la actual Directiva 95/46/CE.

Muchos han sido los análisis, artículos, estudios, etc., que se han publicado, como los del Supervisor Europeo de Protección de Datos, algunas Autoridades de Protección de Datos o recientemente el Data Privacy Institute. Viviane Reding, Comisaria Europea que lidera el impulso de la norma, ya se ha venido pronunciado sobre posibles evoluciones del borrador, a partir de las opiniones que viene recogiendo, entre ellas las derivadas de la intensa actividad de lobby que viene de Estados Unidos.

Este artículo de la serie de Universo Compliance, se centra en señalar los principales aspectos del borrador de un modo objetivo, aportando una valoración del impacto que puede tener en las compañías y las posibles directrices sobre las que ir diseñando el proceso de adaptación.

Lógicamente, no cabe desconocer que hablamos de una norma en proceso de formación, proceso que previsiblemente se habría de desarrollar todavía durante el 2013 para culminar a principio de 2014. ¿Evita esto que hablemos de qué supone la Propuesta de Reglamento? Dada la magnitud del cambio que se prevé y la aproximación que podemos hacer al impacto sobre los modelos actuales de gestión de cumplimiento en Protección de Datos, se puede afirmar que no es así, sino todo lo contrario.

Y es que España es un país donde ya existe una cultura y conocimiento de la protección de datos gracias a las normas publicadas desde el año 1992 (LORTAD, LOPD, RMS Y RLOPD principalmente), pero hay novedades en la Propuesta de Reglamento que llevará trabajo absorber y asimilar en las organizaciones que tratan datos personales.

En todo caso, y como aspectos más destacables (cierto es que cabría recoger otros) de la Propuesta de Reglamento, cabe señalar los siguientes:

• Las empresas con más de 250 empleados o las Administraciones públicas tendrán que tener unData Protection Officer. Aunque esta regla puede variar en futuros borradores de la Propuesta, lo cierto es que la figura supone una evolución del Responsable de Seguridad, ya que el DPO no sólo se encarga de las medidas de seguridad, sino de todos los aspectos de Protección de Datos, y debería tener una cierta capacidad ejecutiva.

• Se prevén sanciones de entre 100 y 1.000.000 de euros o hasta un 5% de la facturación anual a nivel mundial de una empresa. El régimen sancionador resulta ciertamente sorprendente, aunque hay que tener en cuenta que su aplicación se realizará por las Autoridades de Protección de Datos locales.

• El consentimiento expreso será la regla general. Las normas sobre consentimiento se verían fortalecidas (p.e. el tratamiento de datos para fines de marketing también requeriría el consentimiento expreso).

• Las notificaciones de ficheros a la correspondiente Autoridad de Protección de Datos nacional quedarían eliminadas. Lo que no significa que no haya que seguir identificando los tratamientos para poder aplicar las medidas de cumplimiento, por lo que el camino recorrido ya con los ficheros notificados resultará muy útil.

• Se impondrán mayores deberes a los Responsable de fichero y a los Encargados de tratamiento en cuanto información a los interesados sobre el tratamiento de sus datos. Aumenta la intensidad de las necesidades de organización interna dirigida no sólo al cumplimiento como tal, sino a la comunicación, demostración e incluso publicitación de tal consentimiento.

• Privacy by design y Privacy by default pasarían a ser actuaciones obligatorias, al igual que los Privacy Impact Assessments en ciertos casos. La interiorización de estos conceptos en las Organizaciones supone un cambio cultural importante, diferente en cada caso, por lo que conviene ir creando pautas de evolución en tal sentido.

• Los Responsable de fichero y a los Encargados de tratamiento se verían obligados a mantener unaamplia documentación sobre el tratamiento de datos. La gestión de cumplimiento va a requerir la definición de metodologías customizadas por entidad o grupo de entidades, donde la automatización de procesos y la adopción de herramientas basadas en “1 acción de adecuación, efecto en N empresas”, resultará clave para un cumplimiento ajustado en costes y sostenible.

• Las violaciones y brechas de seguridad habrán de ser notificadas en las 24 horas siguientes a su descubrimiento a las Autoridades de Protección de Datos nacionales y a los afectados. Mucha dudas genera la operativa de esta regla, pero sin duda resulta una novedad muy a tener en cuenta.

• Se regula el tormentoso derecho al olvido. En cierto modo, no es más que una evolución o escisión a partir del actual derecho de cancelación, pero el interés social sobre este concepto obligará a prestarle mucha atención, sobre todo a las empresas con mayor intensidad de vida en Internet.

• Las Binding Corporate Rules se reconocen explícitamente, siempre con sujeción a ciertos requisitos mínimos. No obstante, por primera vez sería posible transferir datos personales fuera de la UE sobre la base de un “equilibrio de intereses” probado.

• En muchos casos, la Comisión Europea se concede la facultad de emitir los llamados «actos delegados», como interpretación de las disposiciones del Reglamento, lo que supone un cambio del centro de poder en la formulación de políticas de protección de datos desde los estados miembros hacia Bruselas.

• Las asociaciones podrán presentar quejas y reclamaciones ante las Autoridades de Protección de Datos y/o acciones judiciales en nombre de las personas afectadas por una supuesta vulneración de la normativa.

Y es que ante todo, el Reglamento UE es una evolución importante que pretende adaptar la Normativa de Protección de Datos a la realidad actual (y futura en cierta medida). En este sentido, el reforzamiento de la posición del interesado, deriva principalmente de que la Privacidad y la Protección de Datos son realidades de creciente relevancia y cercanía para la Sociedad y los ciudadanos.

Por último antes de concluir, cabe plantear cómo será el encaje de la Propuesta de Reglamento con la LOPD y su RLOPD. Partimos de una situación que ya de por sí dificulta el encaje: se confronta una norma de ámbito nacional con una norma de ámbito supranacional y que afecta a toda la Unión Europea. Esto conlleva, más allá de las complejidades de la técnica legislativa, el surgimiento de numerosas dudas en cuanto a que cómo va a ser la estrategia de evolución entre ambos modelos, cuestión todavía por definir.

En todo caso, y por señalar uno de los aspectos materiales donde el encaje genera más dudas en lo relativo a la Seguridad en el tratamiento de los datos personales, está por ver cómo se resuelve la transición entre dos modelos muy diferentes: catálogo de Medidas de Seguridad del RLOPD vs. definición únicamente de directrices del Reglamento UE (basadas en un previo análisis de riesgos).

Queda, sin duda, un camino largo para la aprobación definitiva de la normativa que haya de sustituir a la Directiva 95/46/CE, pero desde luego queda claro ya que los cambios serán significativos.

Visto en diariojuridico.com