Recientemente el Consejo de la UE ha llegado a un acuerdo sobre el reglamento general de protección de datos personales.
Tras tres años de negociaciones, ahora esta propuesta de reglamento se someterá a la correspondiente ronda de conversaciones con las Autoridades de control europeas, pero se espera que esté aprobado definitivamente antes de que finalice el 2015.
Para acceder a la última versión pincha aquí
El nuevo Reglamento, si finalmente es aprobado tal y como ha quedado redactado, reconocerá el Derecho al Olvido, tan comentado últimamente, y que es el derecho de los usuarios al borrado de sus datos cuando estos no sean pertinentes (los famosos casos de Google). Además, como curiosidad, reconoce el derecho a la portabilidad de los datos, permitiendo a los usuarios portar todos sus datos de una red social a otra.
Otra de las novedades que aporta esta redacción es el derecho de los usuarios perjudicados por el tratamiento de sus datos en internet a reclamar sanciones a las empresas que podrán ser de hasta un 2% de la facturación anual de la empresa o de un máximo de un millón de euros. También se pondrá en marcha el sistema de "ventanilla única" para empresas y particulares, dirigido a facilitar la denuncia de abusos de empresas con sede extranjera en los tribunales europeos.
Sin duda una de las controversias que suscita este reglamento es la de la figura del Delegado de Protección de Datos. Según el nuevo reglamento el Delegado de Protección de Datos (DPO, Data Protection Officer) tendrá las funciones de informar y asesorar al responsable o al encargado y a los empleados de las obligaciones que les incumben en virtud del reglamento, así como supervisar el cumplimiento del mismo, concienciar y dar formación al personal que participa en las operaciones de tratamiento, así como cooperar con la autoridad de control ya sea a solicitud de esta o por iniciativa propia.
Además, el delegado deberá actuar con independencia en el desempeño de sus tareas y no podrá recibir ninguna instrucción relativa al ejercicio de sus tareas, no pudiendo ser sancionado por el responsable o el encargado del tratamiento por desempeñar sus funciones.
A lo largo de estos últimos tres años, se ha discutido mucho sobre la obligatoriedad o no de contar con el Delegado de Protección de Datos. Así en la versión anterior del Reglamento se establecía como obligatorio para empresas de más de 250 trabajadores y para todas las Administraciones, siempre que se traten a más de 1.000 afectados. Ahora, en esta nueva versión se declara voluntario, salvo que cada Estado decida que sea obligatorio.
El artículo 35 establece expresamente
"El responsable o el encargado del tratamiento podrán o, cuando lo disponga el
Derecho de la Unión o el del Estado miembro, deberán designar un delegado de
protección de datos"
Además, el delegado de protección de datos podrá pertenecer a la plantilla del responsable o del encargado del tratamiento o desempeñar las funciones de delegado en el marco de un contrato de servicios, por lo que el DPO podrá ser una empresa externa.
Tras la redacción de esta última versión, el Grupo del Artículo 29 (GT29), cuya función es estudiar todas cuestiones relativas a la protección de datos en la Unión Europea, emitir dictámenes y asesorar a la Comisión, ha emitido sus conclusiones respecto a esta nueva redacción.
Como principal disconformidad el GT29 considera recomendable que la figura del DPO sea obligatoria en función del tipo de datos que se traten y su volumen y, entre otras muchas, considera que las administraciones públicas deberían ser sancionadas económicamente.
Para acceder al documento con las conclusiones del GT29 pincha aquí