LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

19/09/2024. 03:54:21
19/09/2024. 03:54:21

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Nueva normativa europea sobre datos personales: primeros borradores

Javier Carbayo

Asociado Senior del Área de Governance, Risk & Compliance de ECIJA

Largo tiempo llevamos ya con el debate sobre la reforma de la normativa europea sobre protección de datos, aportando todos los que en mayor o menor medida estamos implicados en esta materia nuestras opiniones, opciones y propuestas.

Un candado con una llave usb

Fruto de ese debate, como borrador inicial que hay que tomar con la debida precaución, hemos conocido a través de la web http://www.statewatch.org/ dos textos de la Dirección General de Justicia de la Comisión Europea:

  • Proposal for a Regulation of the European Parliament and of the Council on the rotection of ndividuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)
  • Proposal for a Directive of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data

Centramos esta breve nota de análisis en el primero de los textos, pues es el que se propone para sustituir a la actual Directiva 95/46/CE, siendo que es apreciable ya de inicio el hecho de que pasamos de una regulación vía Directiva (que requiere la consiguiente transposición al ordenamiento de cada Estado miembro) a una regulación vía Reglamento (directamente aplicable en los Estados miembros).

En todo caso, y como aspectos más destacables (aunque cabría recoger otros muchos) del borrador de Reglamento cabe señalar los siguientes:

 

  • Las empresas con más de 250 empleados o las Administraciones públicas tendrán que tener un Data Protection Officer.
  • Se prevén sanciones de entre 100 y 1.000.000 de euros o hasta un 5% de la facturación anual a nivel mundial de una empresa.
  • El consentimiento expreso será la regla general. Las normas sobre consentimiento se verían fortalecidas (p.e. el tratamiento de datos para fines de marketing también requeriría el consentimiento expreso).
  • Las notificaciones de ficheros a la correspondiente Autoridad de Protección de Datos nacional quedarían eliminadas.
  • Se impondrán mayores deberes a los Responsable de fichero y a los Encargados de tratamiento en cuanto información a los interesados sobre el tratamiento de sus datos.
  • Privacy by design y Privacy by default pasarían a ser actuaciones obligatorias, al igual que los Privacy Impact Assessments en ciertos casos.
  • Los Responsable de fichero y a los Encargados de tratamiento se verían obligados a mantener una amplia documentación sobre el tratamiento de datos.
  • Las violaciones y brechas de seguridad habrán de ser notificadas en las 24 horas siguientes a su descubrimiento a las Autoridades de Protección de Datos nacionales y a los afectados.
  • Se regula el tormentoso derecho al olvido.
  • Las Binding Corporate Rules se reconocen explícitamente, siempre con sujeción a ciertos requisitos mínimos. No obstante, por primera vez sería posible transferir datos personales fuera de la UE sobre la base de un "equilibrio de intereses" probado.
  • El Grupo del artículo 29 cambiaría su nombre al de "Consejo Europeo de Protección de Datos", y tendría un procedimiento reforzado para imponer actuaciones a las Autoridades de Protección de Datos nacionales.
  • En muchos casos, la Comisión Europea se concede la facultad de emitir los llamados «actos delegados», como interpretación de las disposiciones del Reglamento, lo que supone un cambio del centro de poder en la formulación de políticas de protección de datos desde los estados miembros hacia Bruselas.
  • Las asociaciones podrán presentar quejas y reclamaciones ante las Autoridades de Protección de Datos y/o acciones judiciales en nombre de las personas afectadas por una supuesta vulneración de la normativa.

Queda, sin duda, un camino largo para la aprobación definitiva de la normativa (sea Reglamento, sea Directiva o sean ambos instrumentos) que haya de sustituir a la Directiva 95/46/CE, pero desde luego queda claro ya que los cambios serán significativos. Enero 2012 está previsto como el siguiente hito temporal en el proceso, veremos que nos depara el nuevo año.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.