El año que comienza se prevé cargado de novedades en el ámbito de la protección de datos a nivel europeo, la modificación de la Directiva 95/46/CE, y la aparición de nuevas figuras en el ámbito legal, vienen a consolidar el debate que, desde hace tiempo, se había iniciado sobre la evolución que debería seguir la legislación, no sólo de los Estados Miembro, si no de la propia Unión Europea. En palabras de José Luís Rodríguez Álvarez, Director de la Agencia Española de Protección de Datos, “La sociedad ha cambiado, y con Internet y las tecnologías han surgido nuevos riesgos que no estaban cubiertos con la normativa actual, y ese cambio debe ser de ámbito europeo”.
En mayo de 2011, a lo largo de las sesiones del I Congreso Nacional de Privacidad, organizado en Madrid por la Asociación Profesional Española de la Privacidad, tuvimos la ocasión de debatir sobre las nuevas figuras y las líneas que seguían los primeros borradores de la esperada reforma de la Directiva Europea.
La reforma planteada se vértebra sobre dos instrumentos: un reglamento que establece un marco general de la Unión Europea para la protección de datos de carácter personal, y una Directiva sobre la protección de datos personales tratados con fines de prevención, detección, investigación o persecución de delitos, así como las acciones judiciales correspondientes.
La necesaria aparición de la figura del Data Protection Officer, como responsable de la implantación y seguimiento de los planes de seguridad, en entidades de más de 250 empleados o en la propia Administración Pública (como ya está ocurriendo en determinadas Diputaciones y otros organismos públicos), era algo demandado por las propias empresas y los ciudadanos. Un perfil que coordine las políticas de privacidad, no sólo en lo referente a la elaboración de un Plan de Seguridad, o su implantación tecnológica en colaboración con los departamentos de informática y sistemas, si no con otros departamentos que acceden a la información: comercial, recursos humanos, asesoría jurídica. Es, a mi entender, un perfil integrador, que, desde un punto de vista positivo, consiga optimizar los recursos, minimizar los riesgos y establecer procedimientos adecuados a la legislación vigente y al método de trabajo de la entidad.
Cabe reseñar la obligatoriedad de elaborar un informe de riesgos en materia de protección de datos, sobre acciones a llevar a cabo que pudieran tener un impacto sobre los datos de las personas. Otra novedad del Reglamento sería la inclusión de un capítulo específico de protección de datos en los informes de auditorías de cuentas y memorias de gestión.
El reforzamiento del consentimiento expreso a la hora de tratar los datos, se hace necesario, más cuando estos van a ser utilizados con fines comerciales, de marketing, … aumentando el deber de información sobre los fines y el tratamiento de los datos, al propio interesado. En este sentido, y para una mayor defensa de los derechos de las personas sobre el tratamiento de los datos, se reconoce la personalidad de Asociaciones para presentar quejas y reclamaciones en nombre de las personas, cuando sus derechos en materia de protección de datos, así como el desarrollo de una ventanilla única que facilite al ciudadano denunciar irregularidades ante el Organismo correspondiente en materia de protección de datos..
Los Responsables de Ficheros deberán notificar al Organismo de Protección de Datos de su respectivo país, cualquier pérdida, robo o piratería, así como a los usuarios afectados, cuyos datos se encuentran en el Fichero alterado, en el plazo de veinticuatro horas desde el hecho.
La necesaria unificación de criterios e imposición de un conjunto único de normas sobre protección de datos para los 27 Estados miembro de la Unión Europea, se eliminarán determinados requisitos administrativos innecesarios. El Reglamento intensifica la responsabilidad y la obligación de rendir cuentas de todos aquellos que procesen datos personales (por ejemplo la obligación de notificar a la autoridad nacional, por parte de las empresas, cualquier violación de datos grave en el plazo de 24 horas).
Los ciudadanos tendrán un acceso más fácil a sus propios datos y deberán poder transferir sus datos personales de un proveedor de servicios a otro con mayor facilidad (Derecho a la portabilidad de datos).
Se reconoce el derecho al olvido, que ayudará a los ciudadanos a gestionar mejor los riesgos inherentes a la protección de datos en línea, los usuarios podrán borrar sus datos cuando no existan razones legítimas para conservarlos.
La normativa será aplicable a toda empresa activa en el mercado comunitario que ofrezca servicios a ciudadanos europeos y procese datos personales en terceros países. Así mismo, se refuerza la figura de las propias autoridades nacionales independientes de protección de datos para que efectúen una mejor aplicación de las normas comunitarias en su territorio, teniendo potestad para sancionar a empresas que quebranten las normas de protección de datos, pudiendo llegar las mismas hasta el millón de euros o el dos por ciento del volumen de negocios anual global de la empresa.
Por último, aunque existen otras novedades reseñables, tales como la propia figura del Consejo Europeo de Protección de Datos.
Tal y como se informa en el comunicado de prensa que se difundió por la propia Comisión Europea, la reforma nace en un momento marcado por el progreso tecnológico, con un auge de la globalización, que modifica las vías de obtención, acceso y tratamiento de los datos de carácter personal.
En palabras de la Vicepresidenta de la Comisión Europea y Comisaria de Justicia “Hace 17 años, menos de 1% de los europeos usaba internet. Hoy en día se transfieren e intercambian enormes cantidades de datos personales entre los continentes y de una punta a otra del mundo en fracciones de segundo (…) La protección de datos personales es un derecho fundamental de todos los europeos, quienes, no obstante, a veces sienten que pierden el control sobre sus datos personales. Mis propuestas contribuirán a infundir confianza en los servicios en línea dado que los ciudadanos estarán mejor informados de sus derechos y tendrán un mayor control sobre la información que les atañe. La reforma conseguirá todos estos objetivos al tiempo que facilitará el funcionamiento de las empresas y les permitirá ahorrar costes. La existencia de un marco legal sólido, claro y uniforme a escala de la UE permitirá liberar el potencial Mercado único Digital y fomentar el crecimiento económico, la innovación y la creación de empleo”.
En palabras de la Vicepresidenta de la Comisión Europea, Viviane Reding, la normativa será de aplicación a los Estado miembro, a las empresas que ofrezcan servicios a los consumidores europeos y “a aquellas que tengan sus servidores fuera de la Unión”.
Viendo las informaciones que llegan desde los diferentes ámbitos europeos, no podemos más que esperar, una normativa que puede ser revolucionaria en materia de protección de datos y más acorde a los tiempo actuales, a las nuevas tecnologías, a las finalidades y lugares de tratamiento de los datos y a los propios derechos de las personas.