LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 00:10:27

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Análisis del impacto sobre la protección de los datos de carácter personal en el proyecto de reglamentación europea

asociado Senior del área de Privacidad y Compliance de ECIJA

Es sabido que el proyecto de Reglamento Comunitario de Protección de Datos prevé un régimen sancionador mucho más estricto que el que existe actualmente en las legislaciones nacionales y que el objetivo último de la norma es la construcción de un espacio económico interior homogéneo, que favorezca el tráfico económico intracomunitario y a la vez facilite la adaptación normativa a compañías extranjeras, que pasarán a tener un único texto de referencia, acabando así con la disparidad legislativa que tantos escollos procedimentales ha acarreado a compañías establecidas en terceros países.

Un mapamundi y un portátil con un candado

El marco sustantivo del proyecto europeo es novedoso en muchos aspectos, pero quizás podría decirse que es esencialmente el principio de responsabilidad reforzada el que inspira con mayor visibilidad el carácter del nuevo texto. Desde que en su informe 3/2010 el Grupo de trabajo del artículo 29 acometió deslindar las características del principio de responsabilidad reforzada (accountability) en la protección de datos personales, varios de sus corolarios ideológicos parecen haber permeado directamente hacia los mandatos sustantivos del texto legal.

Ser accountable en la tenencia de un fichero significaría contraer un compromiso serio y efectivo en la custodia segura del mismo, pero ante todo significará cerciorarse de que se será titular del dato en virtud de un justo título, y que el tratamiento al que se va a someter es proporcional, no intrusivo y acorde con las finalidades del mismo. Todo ello, desde un punto de vista eminentemente ex ante, y proactivo, que cristaliza en el deber de llevar a cabo evaluaciones previas de impacto, según lo previsto en el art. 33 del citado borrador.

Es el propio titular del fichero quien no solamente debe tener la iniciativa de corroborar la adecuación de las medidas de seguridad, y actualizarlas al estado del arte en cada momento, sino que antes de recabar una nueva categoría de datos o someter los datos que ya posee a un nuevo tratamiento el titular debe verificar que dispone de justificación y razonabilidad suficiente. En definitiva, la pro-actividad del titular del fichero en el aseguramiento de la correcta custodia y tenencia del dato pasa a tener carácter vinculante. Y será imposible que cumplan de facto con el estándar legal aquellas organizaciones en que la privacidad del usuario continúe siendo abordada como un mero requisito formal y burocrático, a remolque de otras prioridades empresariales.

Es previsible que con el devenir del tiempo observaremos cambios patentes incluso en la misma composición de las mesas de toma de decisiones de las empresas.

La dilucidación dela información e inputs que se recabarán o no de los consumidores competía hasta ahora en exclusiva al comité de dirección, entendido en su sentido más restringido: CEO's, CFO's directores y jefes de márketing y ventas. Tal y como lo hemos conocido hasta ahora el comité directivo de una gran corporación, compuesto exclusivamente por estas figuras, es quien viene definiendo estrategia y operaciones en solitario, y se invoca solo a posteriori la intervención del equipo legal, como un último trámite en la cadena de aprobaciones del workflow, normalmente bajo la forma de un dictamen en que los letrados solo pueden elegir o recomendar opciones de entre un catálogo cerrado en cuyo diseño inicial ni siquiera han tenido ocasión de intervenir.

El proyecto de reglamentación europea propugna una quiebra radical de este esquema y retrotrae la intervención del equipo legal al momento mismo en que la propia estrategia empresarial es definida. Y las corporaciones deberán estar en condiciones de probar que realizaron sus propios análisis de riesgos y evaluación de impacto con carácter previo al inicio de la actividad. Tendrá valor claramente indiciario la justificación de que se hayan abortado ciertas estrategias intrusivas alternativas, y que el responsable de privacidad goza de suficiente independencia orgánica y objetividad en sus decisiones.

El simple benchmarking o alineación con las best practices del sector no implicarán automáticamente la conformidad del hecho per se, sino que justificarán a lo sumo una prueba inidiciaria más. No es coincidencia que el borrador Reglamento europeo ha abandonado por fin la definición de catálogos cerrados de datos según el nivel alto, medio o básico. El legislador comunitario parecería haber comprendido que las capacidades semánticas del dato son cada vez más interdependientes del específico contexto en que se recabe y se trate posteriormente, y que con la emergencia de fenómenos impredecibles como por  ejemplo el big data las casuísticas se multiplican exponencialmente, no siendo siempre más posible pronosticar a priori las connotaciones deducibles del dato a partir de un catálogo cerrado.

En definitiva, parece haber terminado la tutela de derechos de privacidad articulada sobre la base de un modelo que no contemplaba la realidad digital del momento vigente.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.