5 aspectos destacables del Reglamento Europeo de Protección de Datos

El 12 de marzo de 2014 es aprobada la propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos).

Visión general del contenido del reglamento:

Objetivos del Reglamento:

• Adaptar la protección de datos a las nuevas demandas del mundo digital.

• Evitar las actuales divergencias en la aplicación de las normas (de 1995) por parte de los diferentes Estados miembros y velar por los derechos fundamentales a la protección de datos personales y la aplicación de manera uniforme en todos los ámbitos de las actividades de la Unión.

• Aumentar la confianza del consumidor en los servicios en línea facilitando una mejor información con respecto a los derechos y a la protección de datos mediante la introducción del derecho a la rectificación, al olvido y a la supresión, derecho a la portabilidad de datos y de oposición.

• Impulsar el mercado único digital reduciendo la fragmentación actual y las cargas administrativas.

Aspectos destacables del reglamento:

1. Los negocios que manejen datos personales de más de 5000 usuarios, deberán efectuar evaluaciones de impacto sobre la privacidad con carácter obligatorio para cualquier operación de procesamiento de datos que entrañe riesgo, considerándose procesamiento arriesgado el efectuado con datos personales de 5000 o más individuos.

2. Sanciones desproporcionadas. La autoridad de control correspondiente impondrá al menos una de las siguientes sanciones:

• (i) un aviso por escrito en casos de primer incumplimiento no deliberado;
• (ii) auditorías regulares del sistema de protección de datos;
• (iii) Las sanciones administrativas oscilarán entre1.000.000€ o el 2% del volumen de negocios total de la empresa, hasta 100.000.000 € o el 5% del volumen de negocios global, prevaleciendo la cantidad que resulte superior.

3. Figura del “Data Protection Officer” (DPO): Se modifican los casos en que será obligatoria la designación del DPO. Ahora será obligatoria para: una autoridad u organismo públicos, si el tratamiento lo lleva a cabo una persona jurídica con respecto a más de 5 000 interesados durante un periodo consecutivo de 12 meses, cuando las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados y cuando las actividades principales del responsable o del encargado del tratamiento consistan en el tratamiento de categorías especiales de datos con arreglo al artículo 9, apartado 1, datos de localización o datos relativos a niños o a empleados en ficheros a gran escala.

4. Obligaciones del Responsable del tratamiento: El Responsable del tratamiento estará obligado a enfrentarse a responsabilidades muy específicas tales como la obligación de elaborar y aplicar políticas internas de protección de datos que den cumplimiento a los principios del “Privacy by design” y el “Privacy by default” y las cuales deberán ir mucho más allá del mero hecho de disponer de un documento de seguridad.

Puesto que el Reglamento tiene como objetivo la protección de los datos personales de los ciudadanos europeos, las mejoras más destacables son las siguientes:

1. Dificultad para las transferencias de datos a terceros países, sobre todo en casos de transferencias requeridas por tribunales o autoridades administrativas de países terceros. Si un país tercero solicita a una empresa (por ejemplo, una red social o un buscador) información personal procesada en la UE, dicha empresa deberá obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información.

2. Derecho de supresión (que sustituye al derecho al olvido),  por el que cualquier persona podría solicitar que se borren sus datos sí;

• (i) no se cumplen las normas de la UE,
• (ii) los datos ya no son necesarios o
• (iii) la persona retira o no da su consentimiento al almacenamiento de esa información. La invocación de este derecho quedará limitada cuando los datos en cuestión hayan sido recabados con fines estadísticos, para la investigación histórica o científica, por motivos de salud pública o para ejercer la libertad de expresión.

3. Datos que revelen creencias filosóficas, orientación o identidad sexual, sanciones administrativas, fallos judiciales y presuntos delitos no serán susceptibles de ser tratados.

4. Consentimiento explícito y lenguaje claro, será entendido como una “manifestación libre, específica e informada de la voluntad del interesado, ya sea mediante una declaración o una clara acción afirmativa”. Esto impediría, por ejemplo, prácticas como la de mantener marcada la casilla de “aceptar” en las políticas de privacidad.

5. Reforzamiento de los derechos individuales del titular de los datos. Esto es así a través de la definición del derecho al olvido, el derecho a la portabilidad (de extraordinaria relevancia en el sector de las redes sociales) y el principio de rendición de cuentas (Accountability), aspectos analizados en profundidad en nuestra formación, con vistas al impacto que tendrá en las empresas una vez que entre en vigor la norma.