Principales novedades del borrador de Reglamento de Protección de Datos de la UE

En Enero 2012 se publicó por parte del Parlamento Europeo junto con el Consejo, la propuesta de Reglamento Europeo de Protección de Datos relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos. Dicha propuesta tiene como fecha límite para su aprobación mayo de 2014.

Al ser un Reglamento, es de aplicación directa en todos los Estados miembros. Dicha aplicación tendrá repercusiones a nivel nacional y europeo con un importante impacto en las empresas. Se trata de una revisión importante que tratar de garantizar los niveles de seguridad, de privacidad, de profesionalización y transparencia en el tratamiento de datos. Se prevé un régimen sancionador mucho más estricto que el que existe actualmente en las legislaciones nacionales.

El objetivo último de la norma es la construcción de un espacio económico interior homogéneo, que favorezca el tráfico económico intracomunitario y a la vez facilite la adaptación normativa a compañías extranjeras, que pasarán a tener un único texto de referencia, acabando así con la disparidad legislativa.

A pesar de estar solo en fase de borrador y pendiente de aprobación, muchos son los cambios que se pueden producir en su articulado. A continuación vamos a tratar de enumerar los que podrían ser más significativos:

1. Nuevos conceptos: privacy by design, privacy by default, accountability…

El borrador de Reglamento europeo abandona la distinción de datos en nivel básico, medio y/o alto, por tratarse de un catálogo cerrado que no permite pronosticar desde un primer momento las connotaciones deducibles del dato, y porque no contempla la realidad digital del momento vigente.
No se establecen niveles de seguridad en función del tipo de datos personales que trate, sino que impone al responsable y al encargado que implementen medidas de seguridad que garanticen un nivel de protección adecuado atendiendo a tres criterios: los riesgos que se presenten, la naturaleza de los datos y los costes de implementación.

El borrador del Reglamento establece en el artículo 23 el concepto de Privacy by Design o privacidad desde el diseño, que se completa con el de Privacy by Default o privacidad por defecto.

El Privacy by Design implica la necesidad de analizar y valorar las consecuencias o repercusiones que cualquier tratamiento de datos tendrá sobre la privacidad, para establecer así las medidas de seguridad y garantías que sean necesarias para preservarla, e impedir que se recojan más datos de los necesarios y que éstos estén disponibles a un número indeterminado de personas.

Ambos conceptos forman parte del Principio de Rendición de Cuentas o Accountability. Implica un ejercicio de responsabilidad por parte del responsable de tratamiento que se verá en la obligación de tener en cuenta la seguridad de la información incluso antes de proceder al tratamiento de la misma.  Se deben implantar mecanismos que garanticen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de validación que garanticen su fiabilidad.
Todo ello, desde un punto de vista eminentemente proactivo. El propio titular del fichero debe tener la iniciativa de comprobar la adecuación de las medidas de seguridad, y actualizarlas en cada momento.

Las características del principio de responsabilidad reforzada ya constan descritas en el Informe 3/2010 del Grupo de trabajo del artículo 29.

El futuro reglamento va más allá, puesto que en determinados casos, por el riesgo que entraña el tratamiento, será necesario, además, llevar a cabo un Informe o  Evaluación de impacto, Privacy Impact Assessment (PIA).

El PIA se deberá confeccionar en todo caso  cuando confluyan los supuesto del artículo 33 del borrador, y que son los siguientes:

a) mediante dicho tratamiento, se podrán evaluar ciertos aspectos del individuo en su entorno profesional, situación económica, localización, preferencias, aficiones y gustos, etc; b) la información a tratar comprende vida sexual, salud, origen racial, investigaciones epidemiológicas, etc;
c) mediante dicha información se podrá monitorizar espacios de acceso público (como la videovigilancia);
d) el tratamiento será de gran escala (volumen) de datos genéticos, biométricos y de menores;
e) otros casos que puedan requerir la consulta al órgano supervisor de protección de datos.
El PIA deberá incluir, como mínimo: (i) una descripción general de las operaciones de tratamiento previstas; (ii) una evaluación de los riesgos para los derechos y libertades de los interesados; (iii) las medidas contempladas para hacer frente a los riesgos; y, (iv) las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a probar la conformidad con la normativa. Permitirá que las medidas que se adopten tengan como finalidad evitar la pérdida de datos, los accesos y cesiones no autorizados.

En definitiva, pro-actividad por parte del titular del fichero pasando a ser la privacidad una prioridad empresarial y no un mero requisito formal. La intervención del equipo legal deberá realizarse en el momento en que la propia estrategia empresarial es definida.

2. Principio de Transparencia:

El objetivo es facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control. De este principio se derivan las siguientes obligaciones:
a) Se suprime la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control (en nuestro caso, Agencia Española de Protección de Datos-AEPD). b) Deber de conservación la documentación de todas las operaciones de tratamiento de datos tanto para el Responsable como para el Encargado del tratamiento.
c) Establecimiento de mecanismos sencillos para el ejercicio de los derechos y la obligación de informar a los solicitantes de la posibilidad de presentar una reclamación ante la autoridad de control y de recurrir a los tribunales.
d) Cooperación con autoridades de control. Los responsables y encargados del tratamiento deberán colaborar con su autoridad de control nacional, ante la Comisión y el Consejo Europeo de Protección de Datos.

3.-  Tratamiento de datos de menores:

Se fija la edad de los menores en menos de 13 años. El tratamiento de los datos de estos menores solamente será lícito si el padre o tutor del menor ha prestado su consentimiento previo.

4.-  Nuevos Derechos para los ciudadanos:

Derecho al olvido: Implica la supresión de datos en aquellos supuestos en que: (i) los datos ya no son necesarios conforme a la finalidad para la que fueron recabados; (ii) porque el interesado ha revocado su consentimiento para el tratamiento o bien porque ha expirado el plazo para el tratamiento legal de los datos; (iii) porque el interesado ha ejercitado su derecho de oposición, o (iv) bien porque el tratamiento de los datos no se está realizando conforme a la normativa.
Se trataría de ejercitar un derecho de cancelación de datos personales tal y como se recoge actualmente en la normativa, pero se reconoce al ciudadano que cualquier sitio web o red social que almacene sus datos estará obligada a suprimirlos de inmediato y abstenerse de darles más difusión si el titular de los mismos lo solicita, debiendo adoptar las medidas necesarias, técnicas y organizativas, con el fin de informar a los terceros sobre la solicitud que el interesado ha realizado para que supriman sus datos.

Derecho a oponerse a la creación de perfiles que consistan en evaluar, de manera automatizada, determinados aspectos personales propios de dicha persona física o a analizar o predecir en particular su rendimiento profesional, su situación económica, su localización, su estado de salud, sus preferencias personales, su fiabilidad o su comportamiento.

Derecho a la Portabilidad de los Datos con el fin de obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.  La aplicación más práctica de este derecho es la posibilidad de cambiar de operadora de telecomunicaciones, de una manera ágil y sencilla.

5.-  Notificación de Brechas de Seguridad:

Las incidencias muy graves en materia de protección de datos personales deberán comunicarse en un plazo de 24 horas a la Autoridad de Control mediante un informe sobre el suceso.
Adicionalmente, el responsable del fichero deberá comunicar dicha brecha de seguridad, si así lo estima oportuno la Autoridad de Control, a todos los afectados por la misma.

6.-  Delegado de Protección de Datos:

La propuesta de Reglamento le dedica una sección entera a esta nueva figura, dada la relevancia que tiene para el futuro.

Las empresas de más de 250 empleados, los organismos públicos y aquellas entidades que realicen tratamientos que requieran un seguimiento de los interesados se verán en la necesidad de contar por un plazo mínimo de 2 años con un delegado de protección de datos o Data Protection Officer –art. 35-. Se permite contar con un solo DPO en los casos de grupos de empresas.

Se trata de un cargo al que va vinculada la responsabilidad y la independencia y que requiere un alto grado de especialización en la materia, pudiendo ser dicho puesto desempeñado tanto por alguien que ya pertenezca a la organización o ser ajeno a ella. Entre las funciones que le serán encomendadas podremos encontrar, entre otras, la de supervisar la implementación y aplicación de las políticas internas, la formación del personal, las auditorías, la información de los interesados y las solicitudes presentadas en el ejercicio de sus derechos, velar por la conservación de la documentación, supervisar la realización de la evaluación de impacto y actuar como punto de contacto para la autoridad de control.


Autor: Verónica Eguirón - ISO 27001 Lead Auditor, CDPP
Departamento de Consultoría