LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 06:56:47

LegalToday

Por y para profesionales del Derecho

Protección de datos personales: El gran cambio

abogado especialista en derecho de las tecnologías de la información

Socio
Field Fisher Waterhouse
eduardo.ustaran@ffw.com

Una revolución silenciosa está teniendo lugar en los pasillos del poder de Bruselas. El proceso de reforma de la legislación europea de protección de datos a cuya tramitación se han dedicado los últimos dos años está a punto de suponer el mayor desarrollo legislativo en los últimos 15 años. La Comisión Europea ha anunciado que su propuesta de un nuevo marco de protección de datos verá la luz en las próximas semanas y, a tenor de los documentos que se han filtrado, supondrá sin ningún lugar a dudas uno de los hitos más relevantes para la protección de datos personales.

Un brazo con una llave saliendo de la pantalla de un portátil

El proyecto de Reglamento elaborado por la Dirección General de Justicia, Libertad y Seguridad ha sido remitido al resto de Direcciones Generales de la Unión Europea y las consiguientes modificaciones  finales están aplicándose en este momento. ¿Por qué es este un desarrollo crítico? ¿En qué radican las novedades del proyecto y cómo va a afectar a los ciudadanos y empresas?

Los cambios legales

Aunque construido sobre los cimientos de la Directiva sobre protección de datos actual, el nuevo marco traerá consigo cambios importantes destinados a dotar de mayor aplicabilidad real a una ley que ha perdido parte de su eficacia y requiere hacer frente a los cambios que han tenido lugar en la sociedad de la información del siglo XXI.

Sin entrar al detalle, dado que son lógicamente susceptibles de ser afinadas en la versión final que se publique, las principales novedades introducidas por la nueva regulación serán las siguientes:

• Un Reglamento – Es ampliamente aceptado que la utilización de un Reglamento, en lugar de otra Directiva, será el mejor mecanismo para establecer un régimen armonizado que ofrezca un nivel homogéneo de protección en toda la UE. Esto significa que una vez aprobado, el Reglamento será directa y universalmente aplicable en todos los Estados miembros de la UE, sin necesidad de transposición por la legislación nacional. Este nuevo enfoque plantea pros y contras y, si bien constituye una herramienta muy beneficiosa para aquellas empresas que operan a nivel internacional, también es cierto que elimina la posibilidad de adecuar el marco jurídico a especificidades y sensibilidades propias de cada territorio. Dicho esto, es discutible que la actual posibilidad de adecuar el marco jurídico al territorio haya reportado algún tipo de beneficio tanto a los ciudadanos, como sujetos protegidos, como al tejido empresarial en España.

• Aplicación en función del lugar de residencia del titular de los datos – Cualquier compañía que trata datos personales en el contexto de las actividades de un establecimiento en un Estado miembro de la UE estará, en todo caso, sujeto a la nueva normativa. Sin embargo, la regulación extiende la aplicabilidad de las normas europeas a la aquellas organizaciones establecidas fuera de la UE que dirijan sus actividades de tratamiento de datos o monitorización de comportamientos de individuos que residan en la UE. La ejecución fuera de la UE de las posibles sanciones en que incurran estas compañías sometidas a diferentes jurisdicciones supondrá, a todas luces, uno de los caballos de batalla en el futuro.

• Los principios de privacidad – Los principios que de calidad de los datos, transparencia en el tratamiento y proporcionalidad siguen siendo el fundamento del marco legal si bien nuevos principios, tales como la minimización de los datos (es decir, los datos personales recabados deben limitarse al mínimo necesario) y la rendición de cuentas, o accountability en inglés, que incidirá en la carga de responsabilidad del Responsable de tratamiento, vienen a sumarse a estos.

• Consentimiento – El consentimiento del individuo titular de los datos seguirá siendo la piedra angular de la legislación europea de protección de datos pero los requisitos para la obtención de un consentimiento válido será más restrictivos que nunca, centrándose fundamentalmente en la determinación de si existe en cada caso una libertad individual de elección. Se prevén las siguientes modificaciones respecto al consentimiento:

El controlador debe soportar la carga de probar que el interesado ha otorgado su consentimiento.

Cada una de las finalidades para las cuales se requiere el consentimiento deben estar claramente diferenciadas.

El consentimiento no proporcionará una base jurídica para el tratamiento, cuando haya un desequilibrio significativo entre las posiciones del titular de los datos y el responsable de tratamiento. Como ejemplo paradigmático, el empleador no podrá basar un determinado tratamiento de datos en el consentimiento de un empleado.

• El reforzamiento de los derechos – Algunos de los cambios más radicales es probable que provengan del reforzamiento de los derechos individuales del titular de los datos. El nivel superior lo ocupará el tan discutido derecho a ser olvidado, seguido de cerca por el derecho a la portabilidad de los datos personales, de extraordinaria relevancia en el sector de las redes sociales. Sin duda, la Comisión quiere dar al individuo el mayor control posible sobre sus datos, en particular en relación con las actividades de creación de perfiles. El Reglamento también se prevé que vaya a exigir a las empresas una mayor transparencia en el tratamiento de sus datos, debiendo proporcionar a los titulares de los datos información relativa al período durante el cual los datos personales serán almacenados, al mismo tiempo que información sobre los diferentes derechos a disposición de los individuos y si sus datos personales serán transferidos internacionalmente.

• Obligaciones del Responsable del tratamiento – La otra cara de la ampliación de los derechos individuales supone que el Responsable del tratamiento estará obligado a enfrentarse a responsabilidades muy específicas tales como la obligación de elaborar y aplicar políticas internas de protección de datos que den cumplimiento a los principios anglosajones del "Privacy by design" y el "Privacy by default" y las cuales deberán ir mucho más allá del mero hecho de disponer de un documento de seguridad. Programas de formación a empleados, establecimiento de responsables de protección de datos, y no tan solo de seguridad, así como la preevaluación del impacto en materia de protección de datos de cada una de las actividades y productos desarrollados por la compañía supondrán un esfuerzo adicional.

• Notificación de las infracciones de datos – Tal y como se requiere en la actualidad a los proveedores de servicios de comunicaciones electrónicas de acceso público, la obligación de notificar las vulneraciones o brechas de seguridad a las autoridades de protección de datos (y en algunos casos a las personas afectadas), se aplicará con carácter general. Esto representa una desviación importante de las prácticas actuales y generará una mayor probabilidad de que tengan lugar investigaciones por las autoridades de protección de datos.

• Datos de las transferencias – Se espera una mayor flexibilidad en este tema junto con un reconocimiento expreso de normas corporativas vinculantes (BCR, en su acrónimo inglés), tanto para cesiones de datos como para encargos de tratamiento. La Comisión Europea ha dejado claro que esperan que las BCR se conviertan en el estándar que empleen las empresas internacionales en el futuro. Una preocupación que seguirá sin resolverse probablemente, es el conflicto entre las peticiones de datos de las autoridades de países ajenos a la UE y las limitaciones en la divulgación de datos impuestas en la normativa europea, lo que probablemente supondrá una necesaria implicación de las autoridades de protección de datos para determinar la forma de resolver dicho conflicto.

• El papel de las autoridades de protección de datos – La principal novedad en este frente versará sobre su competencia geográfica. Con toda probabilidad, la autoridad de protección de datos del Estado miembro en el que se encuentre el establecimiento principal de la organización responsable de tratamiento será la encargada de supervisar su actividad en el conjunto de la UE. Debemos suponer que esto irá acompañado de más y mejores mecanismos internacionales de cooperación entre las distintas autoridades.

• Poderes sancionadores – La Comisión ha incidido en su voluntad de dotar a las autoridades nacionales de poderes sancionadores muy importantes y en armonizar las sanciones económicas en toda la UE y se prevé que las sanciones máximas puedan representar hasta un 5% de la facturación anual de la organización a nivel mundial.

Implicaciones prácticas

Con la creciente importancia que ha adquirido para las empresas el tratamiento y segmentación de datos personales y a tenor de las mencionadas novedades legislativas, la protección de datos personales va a suponer una prioridad mucho mayor entre las empresas. A la luz del futuro régimen, hay algunas medidas inmediatas que resultaría positivo adoptar, incluyendo:

• Participación en el debate legislativo – El proceso legislativo iniciado por la Comisión Europea continuará en los próximos meses, por lo que existen claras oportunidades para influir en el resultado a través del acercamiento a los legisladores y responsables políticos, tanto en Bruselas como en los Estados miembros.

• Las políticas de privacidad y las cláusulas en formularios – La transparencia y el consentimiento deben tomar el centro del escenario, la implementación de cláusulas y políticas de privacidad adecuadas resulta de vital importancia. Ha llegado definitivamente el momento de revisar su contenido.

• Derechos del titular de los datos – Tener los procedimientos adecuados para cumplir con los derechos ARCO, las mayores exigencias de transparencia y los nuevos derechos que finalmente se incorporen resulta la clave para en este aspecto.

La rendición de cuentas o accountability – El cumplimiento del nuevo marco normativo será crítico y disponer de políticas internas que garanticen el tratamiento responsable de los datos y disponer, especialmente, de pruebas de su aplicación de una manera razonable, es una tarea que debe iniciarse o completarse sin demora. Si bien es aún pronto para saber qué concretas implicaciones tendrán las obligaciones relativas al "privacy by design" y el "privacy by default", la práctica de llevar a cabo evaluaciones de impacto en la privacidad ya debería estar integrada en las actividades de diseño de productos y servicios, cuando estos productos o servicios impliquen el acceso o el uso de datos personales.

• Transferencias internacionales de datos – Los días de la firma a ciegas de las llamadas cláusulas modelo y de meterlas inmediatamente en el cajón han terminado. Las Normas Corporativas Vinculantes se configuran como el camino a seguir y la única garantía de un eficaz enfoque global de protección de datos.

Con todo, no cabe duda de que la Comisión ha creado un marco que tiene como objetivo abordar los problemas de hoy y de mañana en materia protección de datos. Cómo respondan las empresas de servicios a este desafío será crucial para su éxito.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.