La Propuesta de Reglamento de
Protección de Datos presentada por la Comisión Europea al Consejo y al
Parlamento Europeo tiene como pretendido objetivo modernizar el marco
normativo vigente de la Unión Europea.
Esta
armonización, como no podía ser de otra forma, se ha acogido favorablemente por
todas las partes implicadas. Una actualización de estas características debería
facilitar a las empresas su expansión a otros mercados europeos, así como a los
usuarios el uso de los servicios y la adquisición de bienes de otros países
europeos con total confianza en su nivel de protección.
Sin embargo, esta
“modernización” tiene un doble filo.
Por un lado, recoge la
realidad que estamos viviendo, regulando los elementos propios del entorno
digital. Pero por otro, le aplica un estricto régimen normativo, que puede tener
un impacto nocivo para la industria digital, su avance y la viabilidad de sus
modelos de negocio.
Nos encontramos en una situación en la que
el beneficio que puede
suponer la actualización de la normativa puede ser superado por el coste de no
encontrar el adecuado equilibrio entre el derecho a la protección de datos y la
promoción de la innovación, competitividad y mercado único digital.
Se apuntan algunos de los aspectos que se recogen en el reglamento y que pueden
suponer una traba para la innovación:
a)
Definición de datos personales:
del
Reglamento parece desprenderse que
todos los identificadores únicos
digitales y los datos de localización
serán considerados datos personales
y por tanto, se amplía
el ámbito de aplicación material
del Reglamento. Al respecto actualmente existe el
debate sobre si deben considerarse
como datos personales si la identificación no es
posible por el responsable del tratamiento, pero si
por un tercero.
Necesidad de trabajar más en el concepto de datos pseudónimos.
b)
Legitimación para el tratamiento de datos
– El Reglamento establece que el consentimiento
debe ser una manifestación
“libre, específica, informada y explícita”. Aunque no
hay duda de que el consentimiento explícito se justifica en numerosas
situaciones, y especialmente cuando tratan datos sensibles, la extensión a casi
todos los tratamientos de datos genera un efecto negativo y esta rigidez no se
traduce en una mayor garantía para el ciudadano. Lo importante, en la mayoría de
las ocasiones, es que éste pueda tener toda la información, y oponerse al
tratamiento, lo que se traducirá en un mayor conocimiento sobre el sentido y
alcance de su acción.
Además, la excepción “interés
legítimo del responsable” para el tratamiento de datos también
se reduce en el
borrador de la Comisión, por lo que se limitaría de
forma drástica las posibilidades de las empresas de tratar los datos de forma
lícita. El Parlamento sin embargo, ha incluido esta
posibilidad esta posición y
se espera que el Consejo vaya en la misma línea.
c)
Restricción en la generación de perfiles
- El Reglamento introduce la necesidad de recabar el consentimiento para llevar
a cabo actividades de creación de perfiles que produzcan efectos jurídicos o
afecten significativamente al interesado.
La creación de perfiles es una
actividad que se lleva a cabo en casi cualquier empresa y que les permite
adoptar decisiones en función de determinadas variables sin que esto tenga un
efecto negativo sobre la persona.
Teniendo en cuenta la definición más estricta de consentimiento, puede resultar
difícil obtenerlo.
El Parlamento ha introducido algo más de margen, estableciendo que
la elaboración de perfiles basada únicamente en el tratamiento de datos
pseudónimos no afecta de modo significativo a los intereses, derechos o
libertades del interesado.
Esto permitiría ciertas actividades de creación de perfiles, algo positivo,
teniendo en cuenta que
la segmentación permite a las empresas ser más eficaces analizando posibles
mejoras que redundan en innovación y desarrollo.
Habrá que ver en qué términos se pronuncia el Consejo al respecto.
d)
El
Reglamento inicialmente estaba
destinado a reducir la carga administrativa, por
ejemplo, eliminando la necesidad de
notificación previa de las operaciones de
tratamiento de datos en
una serie de casos o designado una
sola Autoridad de Protección de Datos
como el responsable
para las empresas que operan
en muchos Estados miembros ("one-stop-shop").
Sin embargo, se han incluido algunas obligaciones, como la
necesidad de notificar a la Autoridad de Protección de Datos
y los interesados
afectados las violaciones de datos; hacer
evaluaciones de impacto de análisis
de riesgos para tratamiento de datos
especialmente delicados; y
proporcionar a las Autoridades de
protección de datos esas con copias de
las evaluaciones de impacto de
protección de datos a petición.
Nadie discute la necesidad de adaptar las normas a la era digital y los
beneficios de algunos de sus principios. El Reglamento es, además de una
realidad próxima, un necesario sustituto de una Directiva que fue publicada de
forma coetánea a la popularización de internet.
Pero los aspectos anteriormente mencionados, debieran ser revisados para que
el Reglamento de protección de datos sea
uno de los cimientos del mercado único digital europeo.
Y para que la propuesta suponga una verdadera modernización del marco
normativo, éste debería tener en cuenta que uno de los pilares de la economía
digital es el tratamiento de la información. Con las barreras que establece
actualmente el Reglamento es posible que las empresas europeas no puedan seguir
innovando.
Por otro lado, los consumidores europeos
tienen actualmente acceso a una
amplia gama de servicios
educativos, científicos, informativos y de
entretenimiento que se pagan en
su totalidad o en parte
por la publicidad. Y todos estos avances se encuentran
amenazados a medio plazo por propuestas que no están teniendo en cuenta este
aspecto.
Sería necesario aplicar la fórmula coste- beneficio, para ver si las actuales
medidas van a redundar en una mayor protección, y apostar por la confianza
digital y la transparencia en un entorno en el que la idea de consentimiento
explícito está caduca y un consentimiento informado y granular se postula como
una solución lógica.
De esa manera el usuario tiene una mayor capacidad de decisión.
Y es que multitud de empresas han adoptado numerosas políticas para asegurar la
protección de la privacidad de sus usuarios y cumplir con los más altos
estándares de la legislación en materia de protección de datos.
No obstante, es necesario conocer las actitudes de los ciudadanos en la
protección de su información y cuál es su preocupación y conocimiento acerca de
sus derechos y herramientas para protegerla con el fin de adaptar esta nueva
norma a la realidad, no sólo tecnológica, si no sociológica. |