Carpeta de justicia

LawAndTrends



  • Aprobado el texto hace unos días, desde su publicación en el Diario Oficial de la UE tendrá una vacatio legis de dos años. Diferentes cualificados expertos analizan su repercusión.

¿Será el ya aprobado Reglamento Europeo de Protección de Datos el nexo de unión entre el fomento de la economía digital y la protección de datos?  ¿Qué impacto va a causar que los ficheros ahora no haya obligatoriedad de inscribirlos?  ¿Este Reglamento fomenta la cultura del derecho al olvido? ¿Habrá modulación para las sanciones que propone dicho Reglamento para las empresas que incumplen dicha normativa?

Estas y otras son cuestiones que subyacen de la aprobación definitiva hace unos días del Reglamento Europeo de Protección de Datos tras cuatro años de intensos debates. Ahora se establece una vacatio legis de dos años para que los países de la UE incorporen sus legislaciones a este marco europeo.  Nuestra publicación ha querido tener las impresiones de varios expertos en el sector para conocer cuáles son realmente las primeras consecuencias de este nuevo marco común en materia de privacidad a nivel europeo.

A este respecto, opinan, Javier Puyol, exmagistrado, socio de Ecix y experto en derecho y tecnología, Rodolfo Tesone abogado y presidente de ENATIC; Rafael García Gozalo, director del área internacional de la AEPD; y Ricard Martínez como presidente de APEP. Cuatro valiosas opiniones para que nuestros lectores se configuren una opinión sobre este asunto de actualidad y que va a ser clave en los próximos años para proteger nuestra privacidad y apoyar la innovación industrial.

Puede correr el riesgo que la norma nazca obsoleta

Javier Puyol, exmagistrado, socio de Ecix y Abogado TIC, cree que, en la teoría, la pretensión de dar al ciudadano control sobre su privacidad es algo bueno “se trata que se empodere sobre sus datos y tenga mayor control. El planteamiento teórico es deseable veremos cómo se articula en la práctica”, apunta. Sobre que su aprobación haya tardado cuatro años de debates y vaya a entrar en vigor en el 2018 es un dato que no pasa desapercibido para este jurista experto en privacidad: “Una norma que nace con una proyección de seis años refleja el status quo de la sociedad y de su tecnología, pero no a nivel futuro. Puede correrse el riesgo que la norma nazca obsoleta”, advierte. Desde su punto de vista una normativa como esta no puede basarse en derecho positivo y sí en principios. Para este jurista es mejor impulsar una cultura de protección de datos en el continente europeo que impulsar el duro régimen sancionador que este Reglamento conlleva, con sanciones incluso del 4 por cien de la facturación para aquellas faltas muy graves.”  A este respecto comenta que habrá que distinguir los hechos dolosos e intencionados de los involuntarios para aplicar dicho régimen sancionador.

Realmente el propósito del legislador es crear un régimen jurídico en materia de privacidad para todos los países de la UE.  “Es posible que esta nueva normativa no regule todos los aspectos de la privacidad; se habla que un 40 por ciento de los temas pueden quedar en manos de los legisladores locales, con lo cual se puede crear una dispersión que quiere evitar el propio legislador europeo”; indica Puyol. También desde Bruselas se insiste en que la nueva normativa europea va a ayudar a impulsar la economía digital y la innovación que con ella va siempre implícita: “Desde la UE se han dado cuenta que era necesario una nueva normativa que protegiera bien los datos de carácter personal, pero al mismo tiempo garantizar la libre circulación de datos como un motor de la economía”. En su opinión, esta normativa clarifica bastante lo que es el derecho al olvido: “Es de desear que el Reglamento del que hablamos pueda ofrecer seguridad jurídica en materia privacidad, a nivel general y a nivel de derecho olvido, como tema particular”.

Sobre las obligaciones que plantea a las empresas en materia de privacidad, Javier Puyol destaca que “hablamos de una nueva filosofía que debe calar de forma más grande en los ciudadanos. Desde el punto de vista empresarial se ve desde la accountability, obligación de las empresas en materia de cumplimiento sobre todo por los valores sociales que imperan en la sociedad. Esta es una exigencia que trasciende desde lo estrictamente legal. Salvando las distancias me recuerda a lo que está pasando en nuestro país con los temas de compliance”. En el texto final, la figura del DPO queda como elemento obligatorio “punto clave de contacto entre el regulador, la sociedad y la propia empresa en estos temas para cumplir la nueva normativa y a si ser respetuoso con todos los derechos en liza”; señala nuestro interlocutor quien ve clave su figura dentro de la empresa. “Habrá que ver cómo va evolucionando la legislación nacional ante la entrada de este Reglamento, si la normativa cambia o hay alguna colisión entre ambos derechos. A nivel España no está resuelto este tema, me temo”, subraya. En el Reglamento se habla de la creación de una autoridad central en materia de regulación, cuestión que es seguro pueda modificar la actividad de la actual AEDP y resto de reguladores en otros países.

ENATIC y el Reglamento

Desde ENATIC es una buena noticia que este Reglamento de Protección de Datos vaya a sustituir a la Directiva de comunitaria 95/46/CE de 24 de octubre de 1995  relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos    personales y a la libre circulación de estos datos, ya obsoleta.  El próximo 29 de abril organizarán una jornada para analizar su impacto. En opinión de Rodolfo Tesone, presidente de esta asociación de abogados tecnológicos era fundamental “la uniformidad que se plantea a nivel europeo en materia de privacidad ayudará sin duda en impulsar lo que es la economía digital al conocerse ya las reglas de juego que se van a utilizar. Es evidente que esto redundará en una mayor seguridad jurídica”; indica.  Para este experto en abogacía y tecnología está nueva norma puede ayudar al llamado Mercado Único Digital que quiere desarrollarse en Europa.  A su juicio, habrá que ver cómo encaja dicha normativa con la llamada inteligencia artificial y robótica, elementos nuevos tecnológicos “habría que haber aprovechado para dar un paso adelante e incorporar este tipo de innovación, ejemplos de la cuarta revolución industrial que estamos viviendo”, avisa.  Sobre cómo va adaptarse la AEPD al nuevo escenario en el que habrá una nueva autoridad central europea, Tesone prefiere ser prudente y esperar acontecimientos, “estamos expectantes para ver cuál será su coordinación”.

A juicio de Tesone este texto habla de la autodeterminación informativa y de la portabilidad de la información, con lo que el ciudadano es más dueño de sus propios datos  y como titular de los mismos los pueda gestionar con más autonomía”, explica.  Y es que, en definitiva, los responsables de tratamientos de datos personal deben darse cuenta que esos datos no son suyos “la portabilidad y la obligada custodia de esos datos por el DPO son un gran avance en este nuevo Reglamento Europeo de Protección de datos”.  Sobre la figura del DPO, desde ENATIC se prefiere que se hubiera desarrollado un poco más “ahora se observa que tanto la administración pública como determinados sectores que trabajan con muchos datos tendrán que tener a este profesional. Cualquier empresa que trate datos debería contar con una figura de este tipo que se extendiera en el derecho digital ocupándose de otros temas también de calado. Al final se crearía la figura del Legal Information Officer que cubriría estas materias.” Sobre las sanciones que señala el Reglamento también cree que deberá establecerse una graduación en función de la gravedad del tema. “Estas sanciones, por vez primera, podrán ir también a empresas que aun no estando ubicadas en Europa traten datos de carácter personal de ciudadanos europeos”

La irrupción ya plena del DPO en la privacidad de las empresas va a necesitar según opina el presidente de ENATIC de una regulación clara de esta nueva profesión que surge en el seno de las empresas: “Hay que luchar contra el intrusismo y con aquellos profesionales y empresas que dan el servicio sin estar bien formados. Creo que en este sentido tanto ENATIC como el CGAE tendrán un protagonismo importante en esta cuestión” subraya. Se trata de garantizar que se dará ese servicio con el mínimo exigible a nivel de formación y experiencia.  Respecto a la no obligatoriedad de la inscripción de ficheros ahora con este nuevo texto, la opinión personal de Tesone tiene que ver que “daba la sensación que solo con el mero registro de los ficheros las empresas cumplían en materia de privacidad. Estábamos hablando de un trámite declarativo a nivel formal.  Nosotros hubiéramos querido que se hubiera legislado más en materia de auditoria, y que los datos se pudieran consignar de cara a terceros. De tal forma que estas empresas con gran volumen de datos puedan certificar por terceros que cumplen con lo que hacen.” A su juicio, elementos como privacy by design;  las PIA, y el concepto accountability son tres ejes orientados hacia la sostenibilidad y prevención del cumplimiento normativo.

AEPD: Más herramientas para control de los datos del ciudadano

La opinión de la AEPD, Agencia Española de Protección de Datos viene gracias a Rafael García Gozalo, su responsable del área internacional quien señala en este Reglamento “mejoras significativas en el régimen europeo de protección. Además de su máximo efecto armonizador, refuerza las herramientas de los ciudadanos para ejercer el control sobre sus datos, recogiendo elementos como el derecho al olvido y la portabilidad. “En relación con el primero de ellos, el Tribunal de Justicia de la Unión Europea estableció en el caso Google vs. AEPD que se trataba de una proyección de los tradicionales derechos de cancelación y oposición, por lo que en el Reglamento el llamado derecho al olvido quedará regulado como un derecho al borrado. A él se añade el nuevo derecho a la portabilidad, por el cual la persona que tenga sus datos almacenados en los servidores de un proveedor de servicios podrá solicitar su traslado a otro servicio similar sin que el responsable pueda oponerse. Otro aspecto fundamental del Reglamento que supone un refuerzo para los derechos de los ciudadanos es que este se aplicará a toda empresa que trate de forma sistemática datos de ciudadanos europeos, esté o no establecida en la Unión.

También le preguntamos cómo va a responder dicho Reglamento a los nuevos retos de Internet, como son Internet de las cosas, big data o drones. Reconoce que es difícil responder de forma simple a la cuestión: “El Reglamento incluye disposiciones que pueden responder a algunas de las características de estas tecnologías. Por ejemplo, en materia de información a los interesados, o en lo relativo a las bases legales para el tratamiento de datos. “A su juicio, es muy importante la regulación que se hace de la llamada “accountability”, o responsabilidad proactiva de quienes tratan datos, que incluye la implantación de medidas preventivas a través de las cuales los responsables de tratamiento tienen que poder demostrar que están en condiciones de cumplir con el Reglamento. “Entre esas medidas hay algunas que se ajustan muy bien a sectores como el de big data o el de internet de las cosas. También se regulan de forma detallada las relaciones entre responsables y encargados de tratamiento o todo lo relacionado con transferencias internacionales, cuestiones ambas que están en el trasfondo de muchos tratamientos realizados con esas tecnologías.”

Enfoque más proactivo de responsable de tratamiento

En opinión del director del área de internacional de la AEPD, el propio Reglamento  “promueve la adopción de un enfoque basado en la responsabilidad proactiva de los responsables de tratamiento en lugar de la inscripción tradicional de ficheros ahora no obligatoria“. Este enfoque apuesta por la aplicación de medidas de carácter preventivo orientadas a evitar un incumplimiento de la legislación, ya que cuando se produce la infracción se pueden causar daños que difícilmente pueden ser compensados con la sanción. Por ello, conceptos como la rendición de cuentas por parte del responsable (accountability), la privacidad desde el diseño, la figura del delegado de protección de datos o la notificación de quiebras de seguridad pueden ayudar en gran medida a una gestión de la protección de datos más efectiva por parte de los responsables.”  Para este experto este nuevo texto normativo diseña “ un sistema integrado de protección, en el que todas las medidas previstas desempeñan un papel y cada una de ellas puede resultar más o menos exigente dependiendo del tipo de empresa, del sector de actividad en que opere o del tipo de tratamiento o tratamientos que lleve a cabo.”

Desde la AEPD se ve con buenos ojos la presencia del DPO como garante de la privacidad “. Siempre hemos entendido que la presencia de un DPO, o al menos de alguien que esté en condiciones de supervisar internamente y asesorar a la organización en materia de protección de datos es una opción que puede contribuir de manera muy eficaz a evitar errores,  a hacer una correcta aplicación de las previsiones legales y a mejorar el nivel de protección que la organización ofrece”. Ahora el nuevo Reglamento  no prevé que el DPO tenga que implantarse en todas las empresas, sino sólo en las administraciones públicas y en empresas del sector privado que realicen determinados tratamientos de riesgo, como pueden ser los que impliquen datos sensibles.

Respecto al futuro de la figura del regulador en Europa y sus relaciones con otras entidades similares, García Gozalo aclara que el Reglamento no prevé la existencia de una autoridad central. “Lo que sí crea el Reglamento es un Comité Europeo de Protección de Datos, que sustituirá al actual Grupo de Autoridades Europeas sumando a las competencias que éste tiene actualmente otras muy ligadas a esa más intensa cooperación entre autoridades” e indica que . La AEPD es una de las autoridades que participarán en el Comité, como ahora lo hace en el Grupo Europeo de Autoridades, y seguirá desempeñando sus competencias en la manera que prevé el Reglamento, aunque siempre en esa dinámica de cooperación y búsqueda de armonización en las decisiones que el Reglamento promueve. Pero esas funciones no suponen la sustitución de las autoridades nacionales, sino un importante reforzamiento de una instancia de cooperación europea que ya existe actualmente

APEP, la importancia de los profesionales

En opinión de APEP, Asociación de Expertos en Privacidad y de su presidente Ricard Martínez con esta nueva normativa jurídica: ”se inicia un cambio drástico en el panorama de la privacidad y la protección de datos en el ámbito comunitario en el cual los profesionales jugarán un papel clave. Por primera vez en la historia, todos los países de la UE tendrán un único marco normativo, que además estará adaptado al nuevo entorno de internet. De este modo, se favorecerá el crecimiento de la economía digital y una adecuada tutela de este derecho fundamental de los ciudadanos, incluyendo la consolidación de nuevos derechos como el denominado derecho al olvido.”  Desde su punto de vista el nuevo Reglamento va a garantizar la circulación de datos en el mercado interior y va a resolver los problemas de incompatibilidades normativas existentes actualmente entre los diferentes países.  Otra gran novedad es que  “este Reglamento también se aplica en el caso de responsables no establecidos en la UE, cuando las actividades de tratamiento de datos personales estén relacionadas con la oferta de bienes o servicios a interesados que residan en la UE o el control de su comportamiento (en la medida en que éste tenga lugar en la UE).” Dato importante que también afecta a la extensión del régimen sancionador.

Nuevas responsabilidades para un nuevo escenario

Con la nueva normativa,  “Los preceptos de protección de datos deberán integrarse desde el principio en cualquier proyecto, producto o servicio que requiera gestión de datos personales (privacidad por diseño), con la obligación añadida de que en su configuración automática por defecto sólo recopile y gestione aquellos datos que sean estrictamente necesarios (privacidad por defecto)” indica Martínez.   Un elemento muy destacable de la reforma es que introduce el concepto de accountability, que implica que no sólo existe responsabilidad por una infracción, sino que la no adopción de todas las medidas requeridas para el perfecto cumplimiento normativo, o falta de diligencia, supone también una responsabilidad punible para la empresa y/o profesional. Este nuevo texto  obliga a los profesionales de la privacidad a asumir nuevas responsabilidades y un mayor rigor en el desarrollo de metodologías de cumplimiento normativo, por lo que se les requerirán nuevas competencias, mayor formación y certificaciones confiables. “La figura del DPO va a ser clave para el desarrollo de este Reglamento y será un interlocutor válido para las empresas y los propios reguladores. “En este texto se regula su actividad y profesionalidad fuera de cualquier competencia desleal para determinados casos.”

Más poder a los ciudadanos sobre sus datos

Según ha comunicado el Parlamento Europeo, el nuevo Reglamento de Protección de Datos tiene como objetivo “dar más control a los ciudadanos sobre su información privada”, por lo que las nuevas reglas incluyen: la necesidad de un “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales, la “portabilidad” o el derecho a trasladar los datos a otro proveedor de servicios, el derecho a ser informado si los datos personales han sido pirateados, un lenguaje claro y comprensible sobre las cláusulas de privacidad, y la posibilidad de ejercer el mencionado derecho al “olvido”, mediante la rectificación o supresión de datos personales en internet. En opinión de Martínez sobre el tema de los derechos del menor solo se enuncia “y hay elementos que pueden ser inoperantes, esta es una norma de carácter general, pero en muchas ocasiones remite al derecho local de los estados miembros. Esto puede generar serios problemas de coherencia”; indica.  Sobre el papel de los reguladores nacionales frente a la autoridad central señala que tendrán que trabajar en diseñar políticas coherentes y coordinadas “los mecanismos de coordinación serán estratégicos, al mismo tiempo que estas entidades tendrá que abrirse a los profesionales de la privacidad, son claves en el desarrollo de este reglamento, especialmente los DPO y su trabajo”.




No hay comentarios.


Hacer un comentario

He leido y acepto los términos legales y la política de privacidad