PROPUESTA DE REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS DEL PARLAMENTO EUROPEO Y DEL CONSEJO: Cuándo y cómo afectará a las empresas que tratan datos de carácter personal

El rápido desarrollo de las Tecnologías de la Información y Comunicación y su implantación en casi todas las esferas de la vida cotidiana (tanto económica o empresarial como social) han generado grandes retos para la protección de los datos de carácter personal. En este contexto, la Comisión Europea consideró necesario establecer un marco normativo más sólido y coherente con los últimos avances tecnológicos (cloud computing, redes sociales, smartphones, etc.) y presentó una propuesta legislativa dirigida a reformar la regulación aplicable a la protección de datos en Europa, siendo uno de los pilares fundamentales la “Propuesta de Reglamento General de Protección de Datos” de fecha 25 de enero de 2012 (en adelante, la “Propuesta de Reglamento”).

Sin ánimo de entrar en el análisis del complejo y extenso procedimiento legislativo en la UE, nos limitaremos a destacar que, previsiblemente, la Propuesta de Reglamento será objeto de aprobación definitiva a finales de este año 2014 o, como máximo, principios de 2015. Pero, siendo una norma de origen comunitario ¿cuándo resultará exigible su cumplimiento a las empresas españolas? Y, ¿Cuáles serán las novedades fundamentales? A continuación incluimos unos breves comentarios al objeto de dar respuesta a las citadas cuestiones:

1. ¿Cuándo habrá que cumplir el contenido de la Propuesta de Reglamento?

Una vez aprobado, a finales de 2014 o principios de 2015 tal y como adelantábamos, el Reglamento será de aplicación directa en todos los Estados de la Unión Europea a los dos (2) años de su entrada en vigor, la cual, se producirá el vigésimo día siguiente al de su publicación en el Diario Oficial de la UE. Es decir, no será necesaria la aprobación de ninguna norma de carácter nacional, ni la publicación del Reglamento en el BOE, para que el mismo resulte plenamente exigible en España.

2. ¿Qué empresas se verán afectadas?

Todas las empresas que traten datos de carácter personal y dispongan de un establecimiento en un Estado miembro deberán cumplir el Reglamento, aunque las operaciones materiales de tratamiento de la información se lleven a cabo fuera de la Unión Europea.

Del mismo modo, y esta es la novedad principal, las empresas no establecidas en Europa se verán obligadas a adecuarse a dicho Reglamento cuando traten datos personales de personas residentes en la UE en el ejercicio de actividades relacionadas con la oferta de bienes o servicios a tales sujetos.

3. ¿Cuáles serán las principales novedades?

A continuación se enumeran brevemente algunas de las novedades más significativas del Reglamento respecto de la normativa actual:

  • Nombramiento del Delegado de Protección de Datos – DPO (Data Protection Officer).

A pesar de que se trata de una obligación inexistente en nuestra legislación actual, de facto, las grandes empresas ya cuentan con figuras similares al denominado “Data Protection Officer”. Será a partir de la fecha en que resulte aplicable el Reglamento, cuando existirá la obligación legal de designar un Delegado de Protección de Datos en los siguientes supuestos:   

– Tratamiento de datos de más de 5.000 personas durante 12 meses consecutivos.

– Tratamiento de categorías especiales de datos como, por ejemplo, los relativos a la salud.

– Tratamiento de datos de localización.

– Tratamiento que consista en la monitorización del interesado (ej. navegación);

– Tratamiento de datos de menores y empleados a gran escala.

– Administraciones Públicas.

  • Deber de información y consentimiento.

La información que sobre el tratamiento de sus datos han de proporcionar los responsables a las personas afectadas, deberá ser más extensa, clara y comprensible. En esta línea, se deberá proporcionar información sobre la identidad y datos de contacto del Delegado de Protección de Datos.

Asimismo, destaca la inclusión del “interés legítimo” como supuesto legitimador para el tratamiento de datos, que en la LOPD se recoge con el requisito adicional de que los datos figuren en Fuentes Accesibles al Público. Pese a la anulación del Artículo 10.2.b) del Reglamento de la LOPD, el citado requisito sigue existiendo en la LOPD, pero el mismo debe interpretarse conforme a la conocida Sentencia del Tribunal de Justicia de la UE de 24 de noviembre de 2011 (aplicada en la Sentencia del Tribunal Supremo de fecha 8 de febrero de 2012). Es decir, realizando en cada caso concreto una ponderación entre el interés del Responsable del Tratamiento y los derechos fundamentales de los ciudadanos afectados, con el fin de determinar cuál prevalece atendiendo a las circunstancias concurrentes.

  • Medidas de seguridad.

La Propuesta de Reglamento no detalla los niveles ni las medidas de seguridad aplicables a los tratamientos de datos, tal y como hace la normativa española. De forma que, la obligación actual de implementar medidas concretas en función de la tipología de datos se sustituirá por la necesidad de una “evaluación de riesgos” para determinar las medidas a adoptar.

  • Auditorías de control.

Sera obligatorio realizar una auditoría bienal no solo de las medidas de seguridad, sino, del conjunto de obligaciones relacionadas con la protección de datos.

  • Deber de notificación de incidencias (Data Breach).

Será obligatorio notificar sin demora injustificada a las Autoridades de Control las incidencias que puedan afectar a la seguridad de los datos y, con carácter general, deberán comunicarse también a los afectados.

  • Sello Europeo de Protección de Datos.

Las empresas podrán solicitarlo a las Autoridades de Control que lo otorgarán mediante un proceso previo de certificación realizado por profesionales acreditados. Se podrán certificar tratamientos concretos (no el conjunto de tratamientos de una compañía) y su vigencia será de 5 años.

Es preciso destacar las ventajas que la obtención del Sello Europeo podrá tener en materia sancionadora, ya que, si se dispone del mismo la sanción económica por incumplimiento de las obligaciones previstas en el Reglamento (debemos entender que en relación con el tratamiento certificado y no otros realizados por el mismo responsable) solo podrá ser impuesta en los casos de incumplimiento intencionado o negligente.

  • Infracciones y sanciones.

Desaparece la graduación de sanciones (leve, grave y muy grave). Las multas podrán llegar hasta 100.000.000€, o bien, el 5% del volumen de negocios mundial (si es superior a esos 100 millones).

En nuestra opinión, si bien el contenido del Reglamento no puede calificarse de “revolucionario” en la materia, sí obligará a todas las entidades, públicas y privadas, a hacer un esfuerzo de adaptación real y no meramente conceptual o técnica. Por ejemplo, integrando en sus estructuras la figura del Delegado de Protección de Datos, revisando los supuestos legitimadores de sus tratamientos de datos, realizando la “evaluación de riesgos” con el objetivo de redefinir su riesgo en protección de datos, etc.

   

0 comentarios

Escribe tu comentario

¿Quieres unirte a la conversación?
Agradecemos tu participación.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *