Con aprobación en el Parlamento
Europeo del nuevo paquete jurídico de Protección de Datos, tras cuatro años de
negociaciones, se inicia un cambio drástico en el panorama de la privacidad
y la protección de datos en el ámbito comunitario en el cual los
profesionales jugarán un papel clave. Por primera vez en la historia, todos los
países de la UE tendrán un único marco normativo, que además estará adaptado al
nuevo entorno de internet. De este modo, se favorecerá el crecimiento de la
economía digital y una adecuada tutela de este derecho fundamental de los
ciudadanos, incluyendo la consolidación de nuevos derechos como el denominado
derecho al olvido.
Desde la Asociación Profesional
Española de Privacidad (APEP) se quiere destacar como principal virtud de la
iniciativa que el Reglamento va a garantizar la circulación de datos en el
mercado interior y va a resolver los problemas de incompatibilidades
normativas existentes actualmente entre los diferentes países. Pero, además, es
pertinente resaltar que este Reglamento también se aplica en el caso de
responsables no establecidos en la UE, cuando las actividades de tratamiento
de datos personales estén relacionadas con la oferta de bienes o servicios a
interesados que residan en la UE o el control de su comportamiento (en la medida
en que éste tenga lugar en la UE).
El Reglamento será publicado
próximamente en el Diario oficial de la UE y entrará en vigor 20 días después.
Sus disposiciones serán de aplicación directa en todos los Estados miembros dos
años después.
Nuevas responsabilidades para
un nuevo escenario
Para APEP el Reglamento supone
un desarrollo destacado de la cultura de la privacidad en el ámbito económico y
social, exigiendo nuevas obligaciones y responsabilidades a Administración y
empresas. Los preceptos de protección de datos deberán integrarse desde el
principio en cualquier proyecto, producto o servicio que requiera gestión de
datos personales (privacidad por diseño), con la obligación añadida de que en su
configuración automática por defecto sólo recopile y gestione aquellos datos que
sean estrictamente necesarios (privacidad por defecto). Además, en determinados
casos, los responsables deberán evaluar con carácter previo los
procedimientos de tratamiento de datos personales para evitar posibles riesgos (Data
Protection Impact Assessment, DPIA).
Un elemento muy destacable de la
reforma es que introduce el concepto de accountability, que
implica que no sólo existe responsabilidad por una infracción, sino que la no
adopción de todas las medidas requeridas para el perfecto cumplimiento
normativo, o falta de diligencia, supone también una responsabilidad punible
para la empresa y/o profesional.
El creciente protagonismo de
los profesionales en privacidad
De todo lo comentado
anteriormente se deriva que el nuevo Reglamento de Protección de Datos de la UE
obliga a los profesionales de la privacidad a asumir nuevas responsabilidades y
un mayor rigor en el desarrollo de metodologías de cumplimiento normativo, por
lo que se les requerirán nuevas competencias, mayor formación y certificaciones
confiables. En este sentido, la norma introduce la figura del Delegado de
Protección de Datos (DPO, por sus siglas en inglés), que será obligatorio para
la Administración y para empresas que cumplan una serie de requisitos,
fundamentalmente, que realicen una monitorización periódica y sistemática de
datos a gran escala (estudios de solvencia, mercados, riesgos…) o gestionen
datos de categorías especiales (datos considerados sensibles).
El texto del Reglamento exige
explícitamente profesionalidad a los profesionales y en concreto a los DPO, en
contraposición con el ejercicio poco diligente o prácticas directamente
fraudulentas que algunas empresas y “consultores LOPD” han desarrollado en
los últimos años en España y han sido denunciados por APEP por producir
perjuicios a la Seguridad Social, la Agencia Tributaria y poner en riesgo a
empresas contratantes por incumplimiento de la Ley Orgánica de Protección de
Datos española (enlace). Es conveniente mencionar que el nuevo Reglamento,
además, aumenta las sanciones de forma muy notable, llegando a multas de
hasta el 4% de la facturación global de las empresas.
Más poder a los ciudadanos
sobre sus datos
Según ha comunicado el
Parlamento Europeo, el nuevo Reglamento de Protección de Datos tiene como
objetivo “dar más control a los ciudadanos sobre su información privada”,
por lo que las nuevas reglas incluyen: la necesidad de un “consentimiento claro
y afirmativo” de la persona concernida al tratamiento de sus datos personales,
la “portabilidad” o el derecho a trasladar los datos a otro proveedor de
servicios, el derecho a ser informado si los datos personales han sido
pirateados, un lenguaje claro y comprensible sobre las cláusulas de privacidad,
y la posibilidad de ejercer el mencionado derecho al “olvido”, mediante la
rectificación o supresión de datos personales en internet.