Por César Iglesias Rebollo. Abogado, experto en Derecho y NT de Umer & Co.
El pasado día 28 de enero fue el día de la Protección de Datos en Europa, una oportunidad, sin duda, para hacer una parada en el trabajo diario y mirar hacia el futuro de la regulación en el sector. En particular, a la vista de que el día 25 se hacían públicas las propuestas de la Comisión Europea para la reforma de la regulación europea de la protección de los datos de carácter personal.
Como se sabe, en esta materia, el futuro no se decide en Madrid, si no en Bruselas. Ya el 4 de noviembre de 2010 la Comisión europea publicitaba el proceso de estudio de la reforma de una Directiva, la 95/46/CE, que resulta necesario valorar a la luz de los cambios tecnológicos, empresariales y, sobre todo, sociales que han tenido lugar durante los últimos años.
Por un lado, han cobrado fuerza cuestiones que, como el “derecho al olvido”, parecían de importancia menor en 1995 y que ahora, gracias al BOE digital, Google y Facebook, es materia de titulares (véase la prensa diaria de la semana del 17 de enero de 2011).
Por otro, se ha constatado, con la experiencia, las dificultades organizativas y técnicas que se plantean a las empresas que quieren cumplir con una regulación que necesariamente debe ser genérica. En ese sentido, otras legislaciones, como la californiana, ya han avanzado exigiendo que las empresas hagan públicas las brechas de seguridad que sufran. También la propia Comisión Europea avanzó en este ámbito, en su Recomendación de mayo de 2009 sobre aplicaciones basadas en tecnología RFID, proponiendo la mejora del diseño de productos y servicios desde el punto de vista de la protección de datos. Para esto la recomendación prevé un estudio de impacto en la privacidad de las nuevas aplicaciones previo a su lanzamiento, que facilite un diseño de las mismas respetuoso con la protección de datos.
También, se ha puesto de manifiesto que, la protección de datos es una materia que afecta de forma directa e indirecta prácticamente todas las actividades públicas y privadas. Véase, por ejemplo, como la protección de datos es una de las cuestiones recurrentes en todos los debates sobre reutilización de la información en el sector público.
Por la importancia que tiene la regulación de protección de datos, se considera, en la justificación a la propuesta de reforma de la normativa comunitaria que nos ocupa, que la diversa forma de trasponer la Directiva 95/46/CE en los países de la Unión Europea ha afectado negativamente al mercado interior y ha incrementado la carga burocrática que deben soportar las empresas. Por este motivo, se ha decidido que la forma que debe adoptar este cambio de la normativa de protección de datos es de Reglamento en vez de Directiva.
El borrador de Reglamento acaba de superar el trámite de la consulta entre las diferentes Direcciones Generales de la Comisión Europea y está a punto de empezar su tramitación por el Consejo y el Parlamento europeos.
¿Cuáles son los principales puntos que contempla este Reglamento?
Hay muchos temas que merecen ser examinados en el Reglamento, entre ellos destacaría los siguientes:
– Regulación de las formas de prestar consentimiento:
El borrador de Reglamento establece en su art. 7.1 la obligación del responsable del tratamiento de ser capaz de demostrar que ha recibido el consentimiento del usuario para un uso concreto. Esto supondría un notable endurecimiento de la regulación española actual que, al menos en teoría, dejaría actualmente un margen para acreditar la existencia del consentimiento de diferentes vías, incluyendo la actuación del propio usuario.
– Derecho al olvido:
El borrador del Reglamento regula el llamado “derecho al olvido” sobre el que tanto se ha hablado en torno a diversos supuestos en los que los buscadores de Internet recogen informaciones que los titulares consideran que no deberían ser accesibles por esta vía, aunque lo estén en, por ejemplo, Boletines Oficiales.
Los expositivos del borrador de reglamento recuerdan que este nuevo derecho es especialmente relevante para los menores de edad que dan sus datos para el tratamiento, entendemos que se está pensando sobre todo en las redes sociales, aunque no se las mencione expresamente, sin ser conscientes de los riesgos que conllevan y luego quieren retirarlo.
La obligación del responsable del tratamiento en estos casos no se limita a la eliminación de los datos que controla sino también de las copias de dichos datos o réplicas que hayan podido hacer terceros (por ejemplo, los buscadores de Internet) de la información publicada.
– Derecho a la portabilidad de los datos:
Otro derecho de nuevo cuño que recoge el borrador del reglamento es el derecho a la portabilidad de los datos. Esto es, que se puedan trasladar los datos de un proveedor de servicios a otro. Por ejemplo, que la lista de contactos en una red social se pueda exportar a otra.
El ejercicio de este derecho depende, en buena medida, del desarrollo de estándares adecuados para el intercambio de información de este tipo entre proveedores de servicios
– “Privacy by design”:
Como ya se comentó más arriba, la Comisión Europea promueve la realización de estudios de impacto en la privacidad para facilitar que los productos y diseños ofrezcan las máximas garantías desde su mismo inicio. El Reglamento avanza en esta línea.
– Deber de comunicación de las violaciones de seguridad
Una medida, importada de otras legislaciones, como ya se ha mencionado más arriba, es la exigencia que se comuniquen las posibles atentados contra la seguridad que sufran una empresa.
– Designación de un “Data Protection Officer”:
Para determinadas entidades se establece la obligación de establecer un responsable de la protección de datos en la empresa. Este responsable debe supervisar la implantación de las medidas para la protección de datos en la empresa.
Estas y otras novedades son las que se están planteando ahora en el Consejo y en el Parlamento Europeos. Seguiremos atentamente la evolución de este borrador que promete tener un profundo impacto en la protección de los datos de carácter personal en España.
