LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

28/03/2024. 21:49:56

LegalToday

Por y para profesionales del Derecho

Europa celebra hoy el día de la Protección de Datos con los trámites de la nueva normativa encallados

Legal Today

El 14 de enero se ha emitido la primera resolución sancionadora de la Agencia Española de Protección de Datos por el uso de cookies sin cumplir los requisitos legales establecidos en materia de información y consentimiento por parte de dos entidades.

Hoy, 28 de enero, Europa celebra el Día de la Protección de Datos mientras en las instituciones comunitarias reconocen la práctica paralización de los trámites legislativos que están renovando la normativa europea de protección de datos, la cual data de 1995; prácticamente del nacimiento de Internet. Se trata de una jornada de sensibilización social acerca de la trascendencia real de la privacidad en la vida diaria de las personas, las empresas y las administraciones que promueve la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los Estados miembros de la Unión Europea. El día alberga como objetivo principal el impulso entre los ciudadanos del conocimiento de sus derechos y responsabilidades en materia de protección de datos y privacidad.

Bandera Europea

La creación del Día de la Protección de Datos se remonta a 2006, año en que el Comité de Ministros del Consejo de Europa estableció el 28 de enero como efeméride para festejar el Día de la Protección de Datos en Europa, en conmemoración del aniversario de la firma del Convenio 108, piedra angular de la protección de datos en Europa. Este año el 28 de enero cobra seguramente más relevancia por todos los condicionantes que vive una institución como la privacidad en los tiempos en que las redes sociales y los motores de búsqueda están completamente familiarizados con la ciudadanía, las Administraciones Públicas y el mundo de la empresa.

De hecho, en días pasados la Presidencia griega de la Unión Europea ha manifestado su intención de impulsar, aunque haya clima de elecciones en Bruselas,  la Directiva y el Reglamento de Protección de Datos que se está tramitando en las instituciones comunitarias constatado ya un efectivo retraso de los plazos. "Llevamos dos años y medio trabajando en esta nueva legislación y esperamos que la presidencia griega haga progresos en este tema" ha afirmado la semana pasada la Directora General de Justicia de la Comisión Europea, Françoise Le Bail. La Directora General de Justicia ha admitido que hay "presiones de los lobby" de las grandes empresas fundamentalmente estadounidenses para intervenir en el proceso legislativo de la que será nueva normativa europea de Protección de Datos, en la que cobran importancia las multas "si las multas no son significativas, la regulación no será respetada. Esta es una de las razones por la que esta propuesta de legislación ha atraído alguna preocupación de las empresas", ha comentado  Françoise Le Bail.

Puntos de la nueva normativa de Protección de Datos Europea que se tramita en Bruselas

Las instituciones comunitarias trabajan, como hemos señalado, en una propuesta de Reglamento y  de Directiva sobre el tratamiento de los datos. A partir de su entrada en vigor, que no se prevé para pronto dadas todas las dificultades de redacción que se están encontrando los textos, todas las normativas internas de los países miembros tendrán que modificarse. Los puntos que se conocen hasta ahora son los siguientes:

1.-Derecho al olvido

La Comisión Europea defiende que los ciudadanos puedan solicitar que sus datos sean borrados si no desean que los sigan procesando. Algunos eurodiputados proponen borrar este derecho porque consideran que es imposible aplicarlo.

2.-Consentimiento explícito

La Comisión Europea propone que una empresa pueda procesar información personal sólo si antes ha obtenido el permiso de la persona afectada. Tal permiso puede ser retirado en cualquier momento.

El eurodiputado verde alemán Jan Philipp Albrecht, principal responsable de la tramitación de la propuesta de directiva en la Eurocámara, pretende que se aclare que tal consentimiento sólo se aplica a la razón por la cual los datos fueron inicialmente recopilados en cada caso.

3.-Análisis del perfil y el comportamiento


Los datos personales se analizan de manera automática para predecir el comportamiento de las personas en su trabajo o en tanto que consumidores, la evolución de su situación económica, de su salud, de sus gustos, etcétera. El eurodiputado Jan Philipp Albrecht plantea que sólo se permitan estas prácticas si existe consentimiento previo o en algunos casos claramente definidos.

4.-Transparencia

Las empresas y las autoridades públicas deberían explicar con claridad sus políticas de protección de datos y disponer de un responsable si cuentan con al menos 250 empleados, según la propuesta de la Comisión Europea. El eurodiputado Jan Philipp Albrecht cambia este criterio al defender que esta medida se aplique a empresas que procesen datos de al menos 500 personas al año.

Según un reciente estudio de Iron Mountain, las empresas están preocupadas y confusas por cómo gestionar sus datos, cumpliendo a la vez con la legislación vigente. Un 36% de las medianas empresas en Europa  y un 22% en España admiten estar almacenando toda la documentación, independientemente de las directrices de conservación de documentos, solo por si la necesitan alguna vez. Más de la mitad de las empresas europeas (54%) creen que los requisitos para la protección de datos están cambiando tan rápidamente que nunca serán capaces de mantenerse actualizadas.

Ignacio Chico, Director General de Iron Mountain España opina al respecto que "así las cosas, este retraso en la votación de la nueva ley, debería ser un tiempo ganado que las empresas europeas deberían aprovechar para entender la información que tienen y dar prioridad a la preparación y prevención, impulsando entre todo el personal una cultura de la Responsabilidad Corporativa de la Información. La legislación propuesta es una oportunidad que tienen las empresas para analizar si cuentan con las políticas adecuadas para prevenir pérdidas de datos, para construir barreras de defensa, reducir el riesgo al que se expone su información y presentarse al exterior como empresas responsables en cuanto a la custodia de la información se refiere. En el entorno actual y ante la nueva legislación que va a llegar, las empresas han de dar los pasos necesarios para proteger los datos personales que tienen de ciudadanos europeos, de los que son responsables".

5.-Multas

La Comisión Europea plantea multas por infringir las normas que se elevan hasta un máximo de un millón de euros o el dos por ciento de la facturación anual global de la empresa infractora.

6.-Policía y Justicia

La propuesta de Directiva relativa a la protección de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos incluye conceptos de la propuesta de reglamento como el análisis de los perfiles, el consentimiento explícito, la claridad y la designación de un responsable de protección de datos en las autoridades contempladas.

Caso  PRISM y Unión Europea

PRISM es el nombre del programa de vigilancia electrónica que, fruto de las revelaciones de  Edward Snowden en junio del pasado año, se tiene la certeza de que Estados Unidos puede haber espiado a más de 35 líderes mundiales. Los informes y documentos que se han filtrado y han sido directa o indirectamente reconocidos por la Administración norteamericana indican que el programa  se ha implementado como un medio para la vigilancia a fondo de las comunicaciones y otras informaciones almacenadas. En este sentido, a finales del mes de octubre el embajador de Estados Unidos en España reconoció programas de seguridad nacional "para la protección de nuestros ciudadanos y coordinación con los aliados".

El Parlamento Europeo puso en marcha en julio una investigación sobre el escándalo de la vigilancia de la agencia estadounidense. "Una prioridad fundamental de esta investigación es recopilar a partir de las fuentes estadounidenses toda las informaciones relevantes y las pruebas", explicó a través de una declaración escrita el eurodiputado laborista británico Claude Moraes, principal responsable de la investigación iniciada por la comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo.

El Parlamento Europeo ha pedido asimismo en una resolución a la Comisión, el Consejo y los países de la UE que consideren todos los instrumentos de que disponen en las negociaciones con EE.UU., incluida la posible suspensión de los acuerdos sobre el registro de nombres de pasajeros (PNR, en sus siglas en inglés) y sobre transferencias de datos bancarios con fines antiterroristas (TFTP, también por sus siglas en inglés): "el acuerdo comercial con EE.UU. no debe menoscabar las normas de la UE sobre privacidad ni las negociaciones en curso en la Unión Europea sobre el paquete de protección de datos", destaca el texto, y añade que sería "desafortunado" que los esfuerzos para concluir un acuerdo comercial con EE.UU. se vieran afectados por las supuestas actividades de vigilancia.

Primera resolución sancionadora de la Agencia Española de Protección de Datos por el uso de cookies sin cumplir los requisitos legales

Tal y como informa ECIJA, la regulación vigente en materia de cookies se recoge en el artículo 22.2 de la LSSI (Ley 34/2002, de Servicios de la Sociedad de la Información y el Comercio Electrónico), modificado por el Real Decreto Ley 13/2012, de 30 de marzo, por el que se transponen directivas en materia de mercados interiores de electricidad y gas, y en materia de comunicaciones electrónicas, que establece que: "Los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal".

En el caso analizado por la Resolución 02990/2013 de la Agencia Española de Protección de Datos se presta especial atención a la interpretación de las dos principales obligaciones impuestas por la normativa: el deber de información y el de obtención del consentimiento.

María González Moreno y Teresa Pereyra Carame, desde ECIJA comentan que "En relación con el deber de información, la Agencia Española de Protección de Datos en la Resolución analizada, establece claramente los requisitos a cumplir. Así, se hace referencia a la denominada puesta a disposición de la información por capas. La Agencia Española de Protección de Datos considera válido que la información requerida por la normativa pueda ser facilitada al usuario a través de diversas capas, siempre y cuando la información facilitada sea clara, completa, y la misma se encuentre accesible al usuario, estableciendo el contenido mínimo que ha de contener cada una de las capas".

Primera Capa: La primera capa de información debe ser facilitada al usuario en el primer acceso que se realice al site del prestador, bien a través de la barra de encabezamiento, pie de página o ventana emergente accesible desde la propia home del sitio web.

"En esta primera capa deberá incluirse la siguiente información mínima:

  • Advertencia sobre el uso de cookies no exceptuadas que se instalan en al navegar por los sitios web o al utilizar el servicio solicitado.
  • Identificación de las finalidades de las cookies que se instalan, con información de si las cookies son propias o de terceros.
  • Advertencia, en su caso, de que se si realiza una determinada acción (clicar en un "acepto", seguir
  • navegando en el "site", etc.) se entenderá que el usuario acepta el uso de las cookies.
  • Un enlace a la segunda capa informativa en la que se indica la información más detallada".

Segunda Capa (Política de Cookies): La segunda capa de información debe corresponderse con

lo que denominamos Política de Cookies. La Agencia Española de Protección de Datos ha venido

recomendando que esta información especifica sobre el uso de cookies se facilite a través de una

política o documento especifico, distinto de las Condiciones de Uso, Aviso Legal o Política de

Privacidad del site, en cuanto que su independencia facilita su localización por parte del usuario, y en consecuencia, el cumplimiento de los requerimientos de información exigidos.

Siguen comentando María González Moreno y Teresa Pereyra Carame que el contenido de esta segunda capa de información también es definido por la Agencia Española de Protección de Datos en la Resolución 02990/2013:

"En la segunda capa se debería incluir la siguiente información:

  • Definición y función de las cookies.
  • Tipo de cookies que utiliza la web y su finalidad.
  • Forma de desactivar o eliminar las cookies descritas y forma de revocación del consentimiento ya prestado.
  • Identificación de quienes utilizan las cookies, incluidos los terceros con los que el editor haya
  • contratado la prestación de un servicio que suponga el uso de cookies".

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.