Un paso más hacia un Reglamento Europeo

Ayer miércoles 12 de marzo se daba un paso más en el camino hacia un Reglamento Europeo de protección de datos. El Parlamento Europeo dad un amplio respaldo al Reglamento con 621 votos a favor, 10 en contra y 22 abstenciones.

Cabe recordarse que, aunque la propuesta era presentada por  la Comisión Europea en enero de 2012, ya tiempo atrás se venía pidiendo desde diferentes sectores una actualización de la normativa europea, que el próximo año cumplía su veinte aniversario, en aras a un reforzamiento de la protección de datos personales y responder a los retos que suponen las nuevas tecnologías de la información, la globalización y la tendencia cada vez más extendida de utilizar datos personales en investigaciones penales, tal y como se desprende de la propia nota del Parlamento Europeo.

La propia Viviane Reading afirmaba en enero de este año “Si la Unión Europea desea que sus esfuerzos para reconstruir la confianza resulten creíbles, si desea servir de ejemplo para otros continentes, tiene que empezar por poner orden en su propia casa (…) Necesitamos incorporar la reforma de la protección de datos en el corpus legislativo. Deseo ver que las medidas sobre la protección de datos cobran la máxima velocidad en 2014”

Según el propio comunicado del Parlamento Europeo, el paquete legislativo está formado por dos propuestas: un reglamento general que cubre la práctica totalidad de los datos procesados en la UE, desde las redes sociales, las páginas de compras por Internet o los servicios bancarios en línea hasta los registros universitarios y de hospitales, pasando por las bases de datos de clientes de las empresas.

La segunda propuesta legislativa (una directiva de mínimos) reemplaza una decisión marco del Consejo de 2008 y se aplica a los datos personales procesados en el marco de la cooperación policial y judicial. Hasta ahora, las reglas europeas en este ámbito se aplicaban a los datos intercambiados por las autoridades de distintos Estados miembros. Sin embargo, la nueva norma abarcaría también los datos procesados por las autoridades dentro de cada país. La directiva fue aprobada con 371 votos frente a 276 y 30 abstenciones.

Entre los puntos fuertes de la norma europea cabe resaltar el respaldo al texto de la Comisión Europea en relación al consentimiento expreso previo al tratamiento de los datos por las empresas o entidades, entendido el consentimiento como manifestación libre, específica e informada de la voluntad del interesado, ya sea mediante una declaración o una clara acción afirmativa. El consentimiento deberá expresarse con lenguaje sencillo y claro, poniendo fin a las interminables políticas de privacidad en ocasiones difícilmente entendibles y legibles por los ciudadanos.

Se sustituye el concepto de “derecho al olvido” por el derecho a la supresión”, cualquier persona podría solicitar que se borren sus datos si no se cumplen las normas de la UE, los datos ya no son necesarios o la persona retira o no da su consentimiento al almacenamiento de esa información. En el caso de los datos procesados en Internet, la empresa responsable tendría que reenviar la solicitud de borrado a otras que hayan utilizado esa información. Este derecho quedará limitado cuando estos se hayan recabado con fines estadísticos, para la investigación histórica o científica, por motivos de salud pública o para ejercer la libertad de expresión.

Se incrementan las sanciones económicas, las multas podrían llegar hasta 100 millones de euros o el 5 por ciento del volumen de negocios anual de la empresa.

Si un país tercero pide a una empresa (por ejemplo, una red social, un motor de búsqueda o un proveedor de servicios en la nube) que le proporcione información personal procesada en la UE, la compañía tendría que obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información.

Las últimas informaciones aparecidas en relación a los programas de vigilancia de la Agencia Nacional de Seguridad de Estados Unidos, también han tenido su peso en el texto aprobado. “Si un país tercero pide a una empresa (por ejemplo, una red social, un motor de búsqueda o un proveedor de servicios en la nube) que le proporcione información personal procesada en la UE, la compañía tendría que obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información”.

Se fijan a la elaboración de perfiles mediante el procesado automático de los datos para analizar o prever el comportamiento de una persona, su situación económica, salud, preferencias, fiabilidad trabajo, localización, salud o preferencias.

Según la propia página web del Parlamento Europeo, se ha aprobado su posición en primera lectura, pero las negociaciones no podrán empezar hasta que los Estados miembros reunidos en el Consejo hayan llegado a una posición común. La Presidencia griega tiene por objetivo cerrar un acuerdo entre los países durante el primer semestre de 2014.