LAWYERPRESS - INTERNATIONAL EDITION  

MARKETING

COMUNICACIÓN

INTERNET

FORMACIÓN

DIRECTORIO
  PORTADA

Noticias de Bufetes

Operaciones

 Vida Colegial Comunidad Legal Sistema Judicial Internacional
  Arbitraje TIC Abogados Jóvenes Entrevistas Colaboraciones/Opinión Reportajes   Agenda Gente  

 

Derecho de las Tecnologías de la Información y de la Comunicación - TIC

Jones Day comenta la iniciativa para modernizar las normas europeas de protección de la intimidad
MADRID, 14 de FEBRERO de 2012 - LAWYERPRESS
 

Paloma Bru, abogada de Jones Day

El 25 de enero de 2012, la Comisión Europea dio a conocer sus propuestas legislativas para modernizar las normas de protección de la intimidad y la privacidad en la Unión Europea (UE). Estas propuestas han sido diseñadas con el objetivo de alinear las normas de privacidad y protección de datos existentes desde el año 1995 con las recientes evoluciones tecnológicas, tales como, entre otros, el crecimiento de Internet a nivel global, el “cloud computing”, las redes sociales y los “smart-cards.”
Las propuestas de la Comisión consisten en un nuevo Reglamento (“Proyecto de Reglamento”) y en una Directiva (“Proyecto de Directiva”). El principal objetivo del Proyecto de Reglamento es la protección de los datos personales en el marco de las actividades de las empresas que desarrollan su actividad en la UE. Por su parte, el Proyecto de Directiva tiene como objetivo principal establecer las normas que deben regir el intercambio de información entre las autoridades policiales y judiciales de los Estados Miembros de la UE.
Las principales novedades de la propuesta presentada por la Comisión pueden sintetizarse en los siguientes aspectos:

Novedoso Sistema de Multas.
El cambio más importante de la propuesta de la Comisión es la introducción de un nuevo sistema de multas por incumplimiento de las normas de protección de datos. Este nuevo sistema recuerda, aunque a una escala menor, el sistema actual de las multas impuestas por el Derecho de la Competencia.

Para los incumplimientos por parte de las empresas, se establecen las siguientes multas:
- Multas superiores al 0,5% del volumen de negocios anual global (ingresos brutos anuales a nivel global), que se aplicarán en casos de incumplimientos consistentes en no implantar mecanismos adecuados para dar respuesta, en tiempo y forma (gratuita), a los requerimientos de información de los sujetos afectados o interesados (“Data Subject”).
- Multas superiores al 1% del volumen de negocios anual global se podrán aplicar cuando el sujeto obligado “intencionadamente o negligentemente” (i) no responda de forma adecuada y completa a los requerimientos de información de los sujetos afectados, (ii) no rectifique errores cometidos, (iii) incumpla el derecho del afectado a la cancelación de sus datos, (iv) genere obstáculos a la portabilidad de los datos tratados, (v) no determine suficientemente la responsabilidad compartida de los responsables del fichero o tratamiento, (vi) no mantenga la suficiente documentación sobre el tratamiento de datos efectuado, (vii) no respecte las normas sobre los datos especialmente protegidos (datos sensibles).
- Multas superiores al 2% del volumen de negocios anual global, que serán de aplicación, entre otros, en los siguientes casos: (i) tratamiento ilegal de datos personales y datos especialmente protegidos, (ii) inobservancia o incumplimiento de la obligación de contar con un responsable de protección de los datos o, para empresas que se encuentren fuera de la UE, un representante en la UE, (iii) fallo en el establecimiento de medidas apropiadas para cumplir con los principios de “intimidad y privacidad por defecto” y “por diseño” y el principio “a ser olvidado” (explicados más adelante), (iv) incumplimiento de la obligación de comunicar y/o dar noticia de cualquier violación de los derechos de protección de datos de forma completa y adecuada, (v) incumplimiento de las obligaciones de cooperación con las autoridades de protección de datos (“APD”), (vi) violación de las normas de transferencias internacionales de datos, y (viii) incumplimiento de las normas que regulan el secreto profesional.
El Proyecto de Reglamento también prevé los criterios que deberán ser considerados para la imposición de multas como, por ejemplo, la naturaleza, gravedad, la duración de la violación, la intención y la existencia de conductas previas de similar naturaleza (reincidencia). Por el contrario, en la propuesta presentada no se recogen las directrices para el cálculo de las multas.

Ampliación del campo de protección de las reglas de protección de datos e intimidad
Las propuestas presentadas extienden y amplían el alcance y campo de actuación de las reglas de privacidad e intimidad, tanto material como territorialmente.
Desde el punto de vista material, el Proyecto de Reglamento amplía la protección garantizada a los sujetos afectados, incluyendo expresamente dentro del ámbito protegido, todos los datos que puedan ser identificados a través de los datos de ubicación y localización así como los datos “on line” y/o telemáticos.
Se incluyen expresamente dentro del marco de datos “sensibles” o especialmente protegidos, y por tanto quedan sometidos a la misma protección, los datos relativos a infracciones delictivas y/o criminales y los datos genéticos.
En relación a los “sujetos obligados”, el Proyecto de Reglamento atribuye la condición de responsable conjunto a los encargados del tratamiento que traten datos bajo las instrucciones del responsable del tratamiento. Las obligaciones anteriormente impuestas a los responsables del tratamiento, son ahora también directamente impuestas a los encargados del tratamiento. Por ejemplo, a los encargados del tratamiento que traten datos personales por cuenta del responsable del tratamiento, como por ejemplo las empresas de “cloud computing”, se les impondrán obligaciones directas de protección de datos de carácter personal.
Desde el punto de vista territorial, el Proyecto de Reglamento extiende la aplicación de las reglas de protección de datos a las empresas que no se encuentren establecidas en territorio de la UE si (i) los datos tratados son relativos a personas que residen en territorio de la UE y (ii) el tratamiento de los datos se relaciona con la prestación de bienes y servicios en el seno de la UE o con la monitorización del comportamiento de ciertas personas en la UE. Adicionalmente se establece que estas empresas deberán, además de cumplir la normativa que sea finalmente aprobada, nombrar un representante en la UE.

Opt- In
El consentimiento del titular de los datos se mantiene como piedra angular del marco jurídico de la protección de datos pero, con esta nueva regulación, se define el mismo de forma más estricta. De conformidad con la Directiva de 1995, el titular de los datos debe proporcionar, de forma previa al tratamiento de los datos, su consentimiento “inequívoco”. En la propuesta presentada el consentimiento debe ser, además, expreso; i.e, otorgado por escrito o a través de una conducta que demuestre de forma clara el otorgamiento del mismo. Se debe entender, por tanto, que el Proyecto de Reglamento predetermina el sistema “opt-in”.
El consentimiento de los menores con edades inferiores a 13 años, deber ser verificado con la conformidad de los padres y/o tutores.

One-stop shop
Con la normativa actual, dependiendo del país donde la empresa desarrolla su actividad, ésta puede estar sujeta a 27 regulaciones diferentes así como a 27 diferentes autoridades nacionales (APDs).
El Proyecto de Reglamento impone el principio del país de origen (“One-stop shop”), el cual determina que la ley aplicable y la APD competente es aquella del país donde la empresa tiene su establecimiento principal. Según este principio, para el responsable del tratamiento, el país de origen es el país europeo donde esté ubicado el local donde se adopten las grandes decisiones sobre el tratamiento de los datos. Para el encargado del tratamiento, el local donde tiene su sede administrativa dentro del territorio de la UE.
Con todo, se prevén algunas limitaciones al principio de “one-shop-stop” en la medida en la que el Proyecto de Reglamento permite a los interesados y las asociaciones de protección de datos (i) presentar quejas ante las APDs de sus respectivos países e (ii) interponer acciones contra el responsable del tratamiento o contra el encargado, en los Tribunales del Estado Miembro donde el interesado tenga su residencia habitual.
Eliminación de los procedimientos de notificación con excepción de los incumplimientos de los derechos de protección de datos.
La regulación propuesta por la Comisión propone eliminar el actual sistema de notificaciones previas de tratamiento de datos a las autoridades nacionales.
Las empresas que traten datos de carácter personal pasarán a ser responsables de sus propias conductas obligándose a (i) nombrar un responsable interno de protección de los datos que tendrá como función principal velar por el respecto de las normas de protección de datos aplicables, (ii) mantener la documentación de todos los tratamientos de datos efectuados, de forma a que esto pueda ser analizada y en su caso, evaluada por las APDs, y (iii) efectuar una evaluación sobre el impacto que en la privacidad e intimidad pueden tener determinados tratamientos de datos (sujetos a previa aprobación de la APDs) como por ejemplo los casos de la video vigilancia, sistema de archivos a gran escala relacionados con menores , datos genéticos, o datos biométricos.
El Proyecto de Reglamento contempla también la obligación de las empresas de notificar y comunicar cualquier violación o incumplimiento de los derechos de protección de datos, tanto a la APD correspondiente como a los sujetos afectados por el incumplimiento. Ambas comunicaciones deben efectuarse, en todo caso, dentro de las 24 horas siguientes a la infracción si esto factible.

Simplificación de las reglas aplicables a las transferencias internacionales de datos
De forma previa, el Proyecto de Reglamento clarifica que la Comisión debe adoptar decisiones adecuadas (ej, determinando que el país de destino confiere la protección de datos adecuada) que permitan y promuevan la libre circulación de información. Además, estandariza y refuerza la aplicación de las Reglas Corporativas Vinculantes (RCVs), de acuerdo con lo establecido por el Grupo del Artículo 29.
Las RCVs son normas o reglas internas de protección de datos a las cuales las empresas de un mismo Grupo se adhieren de forma voluntaria para efectuar transferencias de datos internacionales.
El Proyecto de Reglamento ayuda a incrementar la eficiencia de las RCVs simplificando su proceso de aprobación por parte de las APDs, al mismo tiempo que extiende su ámbito subjetivo de aplicación a los encargados del tratamiento.
Derecho “a ser olvidado”, intimidad y privacidad “por defecto” y “por diseño” y portabilidad de los datos.

El Proyecto de Reglamento introduce algunos conceptos novedosos
En primer lugar, el “derecho a ser olvidado” que es un concepto que refuerza la posibilidad de borrar los datos personales incompletos o indebidos y permite a los titulares afectados requerir al responsable del tratamiento para que elimine cualquier dato personal que haya sido recabado y para que se abstenga de realizar cualquier comunicación y/o cesión de los mismos.
En aquellos casos en los que el responsable del tratamiento haya hecho públicos estos datos, la aplicación de este principio implicaría la obligación del responsable de adoptar todas las medidas necesarias y razonables para inutilizar y/o eliminar cualquier vínculo, copia o replica de los datos publicados.
En segundo lugar, bajo la denominación “privacidad por diseño” se engloba la obligación de adoptar e implantar las medidas y procedimientos técnicos y organizativos más adecuados a la naturaleza del medio de tratamiento utilizado con el objeto de garantizar la protección de los derechos de los interesados.
En tercer lugar, la denominada “privacidad por defecto” implica que el respecto a la privacidad se configura como la norma base y principio general que debe garantizarse mediante el cumplimiento de las medidas desarrolladas en el Proyecto de Reglamento.
Por último, la “portabilidad de los datos” establece un derecho a transferir los datos de carácter personal de un sistema de tratamiento de datos electrónico a un otro, sin obstáculos e interferencia por parte del responsable del tratamiento. En caso de que sea requerido por el interesado, el responsable del tratamiento deberá proporcionar una copia del procedimiento de portabilidad en un formato electrónico estructurado, que permita su reutilización por parte del interesado.
Se prevé que, para el desarrollo de los cuatro conceptos referenciados, la Comisión adopte nueva normativa de desarrollo en la que se definan y determinen las obligaciones especificas que deben ser adoptadas por los sujetos obligados para garantizar estos principios.

Próximos pasos
Las propuestas legislativas presentadas serán analizadas y discutidas en el seno del Parlamento y Consejo Europeo, los cuales podrán añadir enmiendas a los textos propuestos de forma previa a su aprobación.
Aunque la duración de este proceso es indeterminada (en tanto en cuanto el mismo depende de la existencia una posición común) se prevé que el mismo no finalice hasta finales del año 2012.


 

 

Enlaces a

Publicaciones

Boletines Oficiales

Colegios Oficiales

Facultades

Otros sitios de interés

Internacional

Top Bufetes Europeos

Secciones

 
Nosotros  /  Contacto  / Newsletter  / Noticias  / Tarifas  / 
MARKETING  / COMUNICACIÓN  / INTERNET  / DIRECTORIO DE BUFETES  / 
Servicios Auxiliares  / Tablón de Anuncios  / El Foro del Marketing  / 
Publicaciones jurídicas / Colegios Oficiales / Boletines Oficiales / Facultades / Otros sitios de Interés / Enlaces Internacionales / 
Notarios
sitemap

copyright, 2012 - Strong Element, S.L.  -  Peña Sacra 18  -  E-28260 Galapagar - Madrid  -  Spain -  Tel.: + 34 91 858 75 55  -  Fax: + 34 91 858 56 97   -   info@lawyerpress.com  -  www.lawyerpress.com - Aviso legal