El empuje de la actividad económica y el desarrollo tecnológico de los últimos años han propiciado que la legislación básica en materia de Protección de Datos en el ámbito de la Unión Europea -Directiva 95/46/CE (en lo sucesivo, la Directiva)-, haya perdido intensidad a la hora de garantizar del derecho a la privacidad de las personas físicas, a pesar de haber sido completada y modificada directa o indirectamente por otras Directivas europeas.
Como ya es sabido, el 25 de abril de 2012, tras los informes favorables del Grupo de expertos creado por el artículo 29 de la Directiva, vio la luz un borrador inicial de Reglamento del Parlamento Europeo y del Consejo en materia de protección de las personas físicas respecto al tratamiento y al libre movimiento de sus datos de carácter personal.
Sin embargo, después de casi año y medio en el que se han recogido las opiniones de las partes interesadas y se han emitido los informes Albrecht y Droutsas (el pasado febrero) y los informes de las comisiones IMCO, JURE, ITRE, el debate sobre el Reglamento sigue abierto.
Las cuestiones que han desatado mayor polémica son las relativas a las definiciones, los derechos de los afectados (derecho a la información -exigencia del consentimiento explícito- y derecho al olvido), la regulación e imposiciones, cargas administrativas para los responsables de tratamiento y las fuertes sanciones previstas.
En el nuevo contexto operativo se hace necesaria una revisión de conceptos en materia de privacidad y el Reglamento introduce las definiciones de: brecha en la seguridad de los datos, información genética, información biométrica, datos de salud, establecimiento principal, representante, empresa, grupos de empresas y normas vinculantes corporativas. No obstante, veremos si finalmente se abre el abanico y se añaden conceptos como «seudónimo» o «elaboración de perfiles».
Otra cuestión es cómo quedará finalmente regulada la obligación de obtener el consentimiento explícito de los afectados, ya que parece que tanto el responsable como el encargado de tratamiento tendrán la carga de la prueba de haber obtenido el consentimiento válido de los afectados. Desde luego será necesario, al menos por parte de los responsables del tratamiento, revisar y actualizar los consentimientos obtenidos de los afectados y adecuarlos a las nuevas exigencias.
Como uno de los temas estrella debatidos a raíz del texto del Reglamento se encuentra la figura del derecho al olvido. La distribución viral de los datos a través de las redes sociales y la indexación de los mismos en buscadores han hecho casi imposible el ejercicio del derecho de cancelación de los datos de carácter personal en internet.
El Reglamento pretende regular esta figura del derecho al olvido obligando a las empresas que tienen datos de los usuarios a que, de forma general, procedan a la cancelación y la abstención de comunicarlos o diseminarlos desde la solicitud del afectado.
Sin duda no es una cuestión sencilla y, en ese sentido, estamos también a la espera de la resolución prejudicial planteada por la Audiencia Nacional en relación con el "derecho al olvido", que actualmente está siendo analizada por el Tribunal de Justicia de la Unión Europea.
Adicionalmente, el Reglamento introduce una serie de cargas administrativas, como son:
- la figura obligatoria del Data Protection Officer (Delegado de Protección de Datos) para el sector público y para grandes empresas (250 empleados);
- la responsabilidad de cumplir con la regulación y demostrar su cumplimiento.
- la obligación de notificar brechas de seguridad a la autoridad supervisora y a las personas afectadas en un plazo máximo de 24 horas;
- obligación de realizar un informe de impacto para determinados tratamientos que supongan un riesgo específico para los afectados o tengan probabilidades de desarrollar riesgos.
Parece lógico que al menos para las empresas que se vean obligadas a contar con un delegado de protección de datos se debiera reducir la carga administrativa relativa a la demostración del cumplimiento y a los informes de impacto.
Del mismo modo, la exigencia de notificación de brechas de seguridad es excesivamente ambiciosa si no se limita a los casos de alto riesgo ya que, en caso contrario, las autoridades de protección de datos podrían verse colapsadas con este tipo de comunicaciones.
Por último, en relación con las sanciones, se establecen tres niveles de sanciones que van desde 250.000 € o hasta el 0,5% de facturación por infracciones leves, hasta 1.000.000 € o hasta el 2% de facturación por infracciones muy graves
Es destacable que las sanciones conseguirán en todo caso el efecto disuasorio pretendido, aunque la presión de las partes interesadas hace que tanto la graduación de las sanciones como la cuantía de las mismas pueda ser modulada en la versión definitiva.
Por el momento nos encontramos a la espera de que el Consejo de Europa alcance una posición común para iniciar la negociación del texto entre el Parlamento, el Consejo y la Comisión Europea. Con toda probabilidad, de la citada negociación saldrá una nueva propuesta de Reglamento. Por ello, quedamos a la espera de una nueva versión de Reglamento en la que queden solventadas las incertidumbres generadas por el primer borrador publicado.