Con fecha del 25 de enero del 2012, el Parlamento Europeo junto con el Consejo publicaron la propuesta del nuevo reglamento relativo a la protección de las personas físicas, en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos.

La propuesta se basa en la Directiva 95/46/CE del año 1995, la cual tenía por cometido defender el derecho fundamental a la protección de datos y garantizar la libre circulación de estos datos entre los Estados miembros de la Unión Europea.

Dicha propuesta vale decir, refleja claramente los factores determinantes en cuanto a la necesidad de actualizar la Directiva en vigor. El gran incremento en la magnitud del intercambio y la recogida de datos personales, determina que tanto las autoridades como las empresas privadas utilicen y gestionen enormes cantidades de datos personales. Al mismo tiempo, las personas difundimos e intercambiamos cada vez más cantidad de datos personales a través de internet; desde pagos electrónicos hasta cuando nos hacemos un perfil en cualquiera de las muchas redes sociales que hoy día existen.

Basados en lo anterior, la propuesta parte del factor clave que ha representado la tecnología tanto en la vida económica como social de las personas, y determinan que es fundamental generar confianza en el consumidor para que no se ralentice el desarrollo y la utilización de las nuevas tecnologías al momento de adquirir productos y servicios a través de internet. Seamos claros al respecto, si bien se parte de la base del derecho de los ciudadanos, a nadie escapa que el trasfondo es el miedo a que se ralentice la economía dentro del marco virtual que representa internet.

Precisamente, el Eurobarómetro especial (EB) 359 (Data Protection and Electronic Identity in the UE – Protección de Datos e Identidad Electrónica en la UE, 2011); refleja clara y literalmente “la percepción generalizada de la opinión pública de que existen riesgos significativos, especialmente a lo que se refiere a la actividad en línea”. A decir verdad no es para menos; a nadie escapa que la legislación respecto del tema en los Estados miembros de la UE es cuando menos sensiblemente diferente. Claro ejemplo de cómo cada miembro de la UE marca sus propias reglas del juego es la Ley de Cookies que se estableció en la Directiva 2009/136/CE, y que algunos de los países miembros de la UE parecen no estar por la labor de respetar.

Volviendo a la propuesta del nuevo Reglamento de Protección de Datos, la cual tiene como fecha límite para ser aprobada en mayo de 2014, hay algunos elementos que se introducen cuando menos interesantes de reparar en ellos. En mi opinión personal incluso pueden resultar ser determinantes en muchos aspectos, no solo desde lo que representará a nivel legislativo en cada país miembro de la UE, sino también para las empresas y usuarios de internet.  

Modificaciones del reglamento de protección de datos de la UE.

Dada la extensión de la propuesta del nuevo reglamento, me limitaré a comentar solo algunas de dichas modificaciones, las cuales en mi opinión personal considero más significativas y relevantes.

– La figura del DPO (Data Protection Officer).

Tanto las autoridades, organismos públicos y empresas con un mínimo de 250 empleados, deberán contar con un Delegado de Protección de Datos; por un plazo mínimo de dos años. Aunque la propuesta a modo de borrador todavía no es demasiado explícita en cuanto los requerimientos de la nueva figura, sus competencias entre otras serán: supervisar la implementación y aplicación de las políticas internas de la organización, gestionar la información de los usuarios y las solicitudes presentadas en el ejercicio de sus derechos, realizar auditorias, formación de personal y actuar como enlace con la autoridad de control.

– Control extraterritorial.

El capitulo 5, referido a la transferencia de datos personales a terceros países u organizaciones internacionales, se basa en el artículo 25 de la Directiva 95/46/CE el cual se refiere al nivel adecuado de protección del Estado de Derecho, el recurso jurisdiccional y la supervisión independiente. En la propuesta del nuevo reglamento de protección de datos, se confirma explícitamente la eventual evaluación por parte de la Comisión Europea respecto del nivel de protección que ofrece tanto un territorio como un sector determinado en un tercer país. En caso de tratarse de países para los cuales la Comisión no tenga adoptada una decisión de adecuación, se requerirá que aporten las garantías adecuadas; clausulas tipo de protección de datos, normas corporativas vinculantes y clausulas contractuales.

– La seguridad de los datos.

El borrador del nuevo reglamento no establece niveles en función de los datos tratados, aunque si hace especial hincapié en la obligación que asume el gestor de dichos datos personales. El nivel de protección de datos adecuados, según lo expuesto en el borrador, establece que se debe atender desde la naturaleza de los datos en cuestión, el nivel de riesgo que ellos representen y los costes que supongan la implementación de dichas medidas de seguridad. Si los sistemas de seguridad fueran eventualmente vulnerados, el nuevo reglamento establece la diferencia entre notificar a la autoridad de control sobre dicha incidencia y la notificación al interesado en cuestión si éste hubiera visto afectado. Vale decir que dichas medidas están contempladas en la Directiva 2009/136/CE o comúnmente conocida como Ley de Cookies; lo que se pretende con el nuevo borrador es que homogeneicen los criterios aplicados en cada territorio de la Unión Europea. Algo que como comenté anteriormente, al parecer no han logrado todavía con la Ley de Cookies en vigor.

– Accountability.

Es el nuevo principio que se suma a los existentes en cuanto al tratamiento de datos personales, el cual alude directamente a la responsabilidad por parte de las empresas u organizaciones a implementar los mecanismos necesarios que garanticen los principios establecidos con anterioridad (el consentimiento expreso del usuario para el tratamiento de sus datos personales, la calidad en la gestión de los mismos y la privacidad entre otros). Al mismo tiempo, se suma el principio de Transparencia al nuevo reglamento; el cual se pretende sea un mecanismo facilitador en las relaciones entre el interesado y quien gestiona sus datos, como también entre el responsable de dichos datos y la autoridad de control respectiva.

– Nuestros derechos.

En el apartado específico sobre los derechos de los ciudadanos, el borrador del nuevo reglamento es en dónde pretende hacer la diferencia. Precisamente, una de las bases del nuevo principio de Transparencia es el establecer mecanismos más sencillos para el ejercicio de los derechos de los ciudadanos; incluso se contempla la posibilidad de implementar formularios por parte de la Comisión Europea para tales menesteres.

Aunque sin lugar a dudas el más significativo es la implementación del “Derecho al olvido”; un derecho del cual por cierto mucho se habló en su momento y hasta éste borrador no se había concretado nada respecto de él. ¿Y qué es el Derecho al olvido?, ni más ni menos que la eliminación de datos personales facilitados aún con previo consentimiento por parte del ciudadano. Bien porque éste ejerza su derecho a la eliminación de los mismo, o porque se den otras circunstancias como el vencimiento del plazo legal estipulado para el tratamiento de dichos datos, o porque la gestión de los datos personales no se trate de la forma que estipula el nuevo reglamento.

También dentro del apartado de los derechos del ciudadano, es significativa la posibilidad de oponerse a la creación de perfiles automatizados; los cuales se centran en aspectos de la persona como su formación profesional, situación económica o preferencias puntuales. En cuanto al tratamiento de datos personales de menores, el nuevo reglamente establece la edad mínima en 13 años; y dicho tratamiento de datos solamente será legal previo consentimiento del padre o tutor del menor.

En todo caso estamos ante un borrador de un nuevo reglamento, el cual entrará en vigor de un modo u otro, es decir con o sin modificaciones, como máximo en mayo de 2014. Hasta el momento habrá que esperar, y me asalta la duda de cómo harán para que se aplique a posterior de su fecha límite de aprobación.

En mi opinión personal, y partiendo desde los antecedentes en la aplicación de otras normativas de la Comisión, sospecho que como siempre la UE encontrará serias dificultades para lograr materializar sus intenciones. Esperemos que por el bien de los ciudadanos y el ejercicio de nuestros derechos, el nuevo reglamento de protección de datos personales se logre poner en práctica.

Fuente: UE/Publicaciones y Documentos Oficiales