10 notas básicas que debe conocer sobre el futuro reglamento de protección de datos

Con ocasión del Día Europeo de Protección de datos que se celebra el 28 de Enero, analizaremos diversas cuestiones relacionadas con la materia, especialmente reseñando las notas básicas del Proyecto de Reglamento Europeo que regula esta cuestión y que en breve podría aprobarse.

Con la expansión de las TIC y la sobreexposición en redes sociales, la necesidad de una regulación que garantice una mayor protección de datos de los usuarios ha venido adquiriendo un nuevo significado, poniendo de relieve la importancia capital que supone tan delicada materia en aras de una mayor protección de datos de tan sensible calado.

La Comisión, el Consejo y el Parlamento Europeo, conscientes de esta nueva realidad, y de la necesidad de adaptarse a los cada vez más vertiginosos y rápidos cambios en esta revolución tecnológica, ya promovieron en el año 2002 un Proyecto que se encuentra prácticamente consolidado y que podría ver la luz en la primavera de este mismo año.

En el proyecto de Reglamento que es objeto de análisis, se actualizan los principios ya sentados en la Directiva de Protección de Datos de 1995, recogiendo además los derechos de los titulares de dichos datos, imponiendo determinadas obligaciones a los encargados y responsables del tratamiento de datos.

Hasta ahora, la materia se había abordado de manera aislada por cada uno de los Estados Miembros, Con la futura normativa europea se busca, armonizar la normativa europea sobre cuestión tan sensible, más homogénea y acorde con los principios de una Europa unida, igualitaria y solidaria. Nos encontraremos con una reglamentación válida para toda la UE , lo que ayudará a reforzar los derechos de los consumidores, ofrecerá seguridad jurídica a las empresas y aumentará la confianza en los ciudadanos , como han señalado diversos responsables sobre la materia.

Dos son los instrumentos normativos europeos que abordan tales cuestiones: un Reglamento que establece un marco general en la UE para la protección de datos y una Directiva relativa a la protección de datos personales tratados para los fines de prevención , detección, investigación o enjuiciamiento de los delitos y las actividades judiciales relacionadas.

En Derecho&Perspectiva, conscientes de la repercusión de la materia, de su actualidad jurídica y de su impacto, hemos tenido a bien analizar algunas de las notas básicas que todo usuario debe conocer sobre el futuro Reglamento de Protección de Datos.

1. Derechos de los titulares de estos datos, podemos destacar:

.- derecho de acceso y ratificación (ya regulados anteriormente de manera expresa)

.- derecho al olvido (a la luz de la jurisprudencia europea más reciente en la materia)

.- acceso más fácil a los datos personales

.- necesidad de consentimiento claro y expreso respecto al tratamiento de sus datos personales

.- derecho de oposición

.- derecho a la “portabilidad” de los datos de un prestador de servicios a otro.

.- derecho a obtener información transparente y de fácil acceso a los interesados sobre el tratamiento de sus datos.

.- se establecen nuevas formas de información al interesado, mediante un sistema de iconos armonizado para todos los países de la UE.

.- se establecen determinadas obligaciones en aras de defender los derechos de los titulares de estos datos en caso de nuevas categorías especiales de datos.

.- se aplica el concepto de “ventanilla única”, para que los ciudadanos interesados puedan efectuar trámites, aunque éstos afecten a autoridades en la materia de otros estados miembros.

 

2.-En cuanto a las obligaciones generales de los responsables que tratan con estos datos personales.

Podemos citar entre otras muchas:

.- obligación de facilitar al titular de estos derechos de una información transparente y fácil (reiteramos, como contrapunto al derecho de los titulares de tales datos).

.- aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen.

.- obligación en determinados casos de notificar las violaciones de datos personales.

.- las autoridades públicas y las empresas que proceden a determinadas operaciones arriesgadas de datos deberán también nombrar un delegado de protección de datos.

.- los Estados miembros deberán crear una autoridad de control independiente a nivel nacional.

 

3- Se encuentra prevista la creación de un Consejo Europeo de Protección de Datos. 

Este Consejo estará formado por los representantes de cada una de las autoridades de control independiente y será el encargado  de velar por los derechos de los usuarios en esta materia y de preservar la debida protección de sus datos personales.

 

4.- En los casos de infracción de estos derechos, los interesados gozan de diversas acciones a fin de que puedan ser restaurados estos derechos.

– Los interesados podrán presentar una reclamación a la autoridad de control.

– Igualmente el interesado  tendrá derecho al recurso judicial, la compensación y la responsabilidad.

– El Reglamento también dispone de sanciones muy severas en caso de infracción de estas normas de protección de datos, contra los responsables o encargados del tratamiento de estos datos. Especial mención merece la elevación de la cuantía de las sanciones en caso de vulneración de estos derechos.

– Los ciudadanos además, podrán acudir al llamado sistema de ventanilla única al que nos hemos referido anteriormente.

 

5.- En cuanto a la transferencia de datos personales a terceros países.

En caso de transferencia de datos personales a terceros países u organizaciones internacionales. Se encomendará a la Comisión la evaluación del nivel de protección que ofrece un territorio o un sector de tratamiento en un tercer país. Cuando la Comisión no haya adoptado una decisión de adecuación sobre un territorio o sector, la transferencia de datos personales se puede seguir realizando en casos especiales o cuando existan garantías apropiadas.

Una de las cuestiones más preocupantes para los expertos es el traspaso o transferencia de información tan delicada y sensible desde países cuya protección es más fuerte (Europa) a países donde el acceso a estos datos goza de una mayor impunidad cuando no desprotección ( EEUU). Europa es mucho menos permisiva que EEUU en cuanto a protección de datos y tratamiento de datos personales se refiere.

El Tribunal de Justicia de la Unión Europea, publicó el pasado 6 de Octubre una sentencia en la que se determina que las transferencias de datos de las empresas europeas que vayan desde la Unión Europea a EEUU no pueden seguir realizándose bajo la base legal de la Decisión de Puerto Seguro (Safe Harbour) declarando inválida la Decisión de la Comisión 2000/ 520 que establecía el nivel adecuado de protección de las garantías para las transferencias internacionales de datos a EEUU ofrecidas por el acuerdo de Puerto Seguro.

 

6.- Será preceptivo contar con una Data Protección Officer para los responsables y encargados del tratamiento de datos en los siguientes casos:

Crea pues el Reglamento la figura del Delegado de Protección de Datos o Data Protection Officer.

.- Cuando se trate de Administraciones Públicas. Quedan excluidas de esta obligación , los juzgados y tribunales en el ejercicio de su actividad

.- Cuando el objeto de negocio del controlador o procesador de datos se basen en actividades de tratamiento que en virtud de su naturaleza ámbito y finalidad requieren operaciones regulares y sistemáticas de monitorización a gran escala de los titulares de los datos. 

.- Cuando las actividades principales del controlador o procesador consistan en el tratamiento a gran escala de datos de sanciones penales  o de las categorías consideradas como especiales en el artículo 9 ( salud, genéticos origen racial o étnico, opinión política, religión o creencias filosóficas, pertenencias a sindicatos , vida y orientación sexual…).

Así configurado el horizonte legislativo y ante la inminente aprobación del texto referenciado, se abre un nuevo horizonte jurídico laboral para los profesionales del derecho entendidos en la materia en sede de orientación, consultoría y asesoramiento de empresas y autónomos.

 

7.- En cuanto a su ámbito de aplicación , se amplía el carácter de lo que son datos personales, para incluir los denominados “identificadores online” de los usuarios, como son las cookies.

 

8.- Se establece la obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para determinar el cumplimiento de la normativa.

 

9.- Deberá registrarse documentalmente las operaciones de tratamiento , tanto por parte de los Responsables de los Ficheros como por los Encargados de Tratamiento.

 

10- Se establecen nuevas notificaciones a la Autoridad de Control, para la autorización previa para determinados tipos de tratamiento.

Antes de terminar, nos gustaría abordar dos cuestiones estrechamente relacionadas con la materia:

1.-¿Es posible investigar la identidad de un usuario de Internet en caso de comisión de delitos? En el caso de que fuera posible, ¿vulnera este supuesto la normativa relativa a la protección de datos?

Puesto que la revelación de la identidad de un usuario que navega pro Internet supone la vulneración de un derecho fundamental cual es el secreto de comunicaciones, la jurisprudencia ha venido a valorar la procedencia de estas medidas restrictivas para el caso de la investigación de la identidad de los mismos en caso de comisión de delitos, siguiendo la pauta de la proporcionalidad, y a atendiendo a diversos criterios tales como: la importancia y relevancia social del bien jurídico protegido, la transcendencia social de los efectos que el delito era, el hecho de que el delito a investigar sea cometido por organizaciones criminales, la dificultad o imposibilidad de su persecución a través de otras medidas menos gravosas para los derechos fundamentales en litigio, el beneficio obtenido mediante la medida, que ha de ser mayor que el coste que el sacrificio.

2.-Cuál será el protocolo de actuación en caso de transferencia de datos personales a un país tercero que no respete o garantice el nivel de protección adecuado previsto en la legislación europea?

La Directiva Europea sobre tratamiento de los datos personales dispone que sólo se pueden transferir dichos datos a un país tercero si éste garantiza un nivel de protección adecuado de dichos datos. También conforme a la Directiva , la Comisión puede declarar que un país tercero garantiza un nivel de protección adecuado en razón de su legislación interna o de sus compromisos internacionales.

Para concluir, destacar que los cambios sociales, los rápidos avances tecnológicos, la cada vez más omnipresencia de las TIC y la cultura inherente a la misma que nos lleva a coexistir con ella, ha hecho necesario la toma de conciencia de esta realidad a fin de adaptar la legislación europea en esta materia a fin de evitar un desfase legislativo, anacrónico y desprovisto de ajuste a la realidad social imperante, cuando no a un preocupante vacío legislativo en la materia.

Como han señalado muchos expertos, dos son los temas más preocupantes relacionados con la protección de datos:

.- los nuevos delitos auspiciados por las nuevas tecnologías ( pensemos por ejemplo en el grooming, sexting…) o la agravación de delitos ya existentes valiéndose para ello de las TIC como nuevos medios de comisión del delito.

.- la pérdida de control sobre la identidad individual y de los datos. 

Sin duda, el futuro Reglamento ayudará a garantizar y preservar la privacidad y protección de dichos datos, adecuándose a la nueva realidad imperante.

Firmado: Miriam Guardiola Salmerón.
Colaboradora en Derecho & Perspectiva.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada.

* Copy This Password *

* Type Or Paste Password Here *