Después de varios años de debates, y de trabajos y consultas con los diferentes agentes implicados, en enero del 2.012 el Parlamento Europeo junto con el Consejo y la Comisión Europea, avanzaron en la configuración de la Propuesta del Reglamento General de Protección de Datos y la Propuesta de Directiva Europea relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las autoridades competentes a efectos de la prevención, investigación, detección y enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y a la libre circulación de estos datos. La fecha límite prevista para la aprobación de ambas propuestas legislativas es el mes de enero de 2.014.
Las nuevas propuestas de la Comisión tienen como finalidad el reemplazamiento de sendos instrumentos legislativos en materia de protección de datos actualmente vigentes:
- La Directiva 95/46/CE sobre Reglamento General de Protección de Datos; y
- La Decisión Marco 2008/977/JAI, que complementa el Reglamento, en su calidad de instrumento general a escala de la Unión para la protección de datos personales tratados en el marco de la cooperación policial y judicial en materia penal, para garantizar un nivel coherente de protección de las personas en toda la Unión Europea y evitar divergencias que dificulten la libre circulación de datos dentro del mercado interior.
Dicha reforma viene motivada por la rápida evolución tecnológica a gran escala que ha supuesto retos para la protección de datos personales. Se ha incrementado enormemente la magnitud del intercambio y la recogida de datos. Este impacto tecnológico afecta en gran volumen tanto a empresas públicas como privadas y particulares, por lo que generar confianza en el entorno en línea es una de las prioridades de la actividad legislativa europea para fomentar el desarrollo económico.
En primer lugar, con relación a la Propuesta del Reglamento General de Protección de Datos, los aspectos más importantes que destacan de la misma, con respecto a la legislación vigente, son los siguientes:
1. La aplicación de nuevos principios en materia de protección de datos, además de los ya existentes en la legislación española, tales como: i) el principio de transparencia en el tratamiento de datos, puesto que se insiste en la obligación de que se informe a los interesados de una forma sencilla y clara, de fácil acceso. En ese sentido, el artículo 12 obliga al responsable del tratamiento a arbitrar procedimientos y mecanismos para que puedan ejercerse los derechos de los interesados, incluidos los medios para presentar solicitudes electrónicas, con la obligación de responder a la solicitud del interesado en un plazo determinado, y de motivar las denegaciones; ii) la aclaración del principio de minimización de datos; y iii) el establecimiento de una responsabilidad general del responsable del tratamiento de datos.
2. Por primera vez se dedica un articulado al tratamiento de datos de los menores: Se establecen nuevas condiciones para la licitud del tratamiento de los datos de los menores; en particular, destaca el requerimiento del consentimiento del padre o del tutor legal para los menores de trece años, mientras que actualmente en la legislación española se exige el consentimiento del padre o del tutor legal para los menores de catorce años.
3. Se incrementa la protección sobre los datos personales de los interesados. Se habla del concepto del derecho de supresión de aquellos datos que ya no sean necesarios conforme a la finalidad para la que fueron recabados. Obliga a los responsables del tratamiento de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos, lo que supone una novedad en la materia, ya que el derecho al olvido en absoluto no aparece contemplado en la legislación vigente.[i]
4. Se otorga más seguridad de los datos, que obliga al responsable del tratamiento a notificar las violencias de datos personales a la autoridad de control en un tiempo no superior a veinticuatro horas y notificarlo al interesado cuando éste se haya visto afectado, por la vulneración de las medidas de seguridad. Asimismo se aclara la posición y la obligación de los encargados del tratamiento, y añade nuevos elementos, incluido que todo encargado que trate datos más allá de las instrucciones del responsable del tratamiento ha de ser considerado corresponsable.
5. El artículo 35 del Reglamento introduce la figura del Delegado de Protección de Datos que será obligatoria tanto en el sector público como en el sector privado, cuando se trate de grandes empresas.
6. El Reglamento dedica un capítulo V a regular el régimen de transferencia de datos personales a terceros países u organizaciones internacionales, para lo que se requiere que se adopten las garantías adecuadas de transferencia de datos, como cláusulas tipo de protección de datos, normas corporativas vinculantes y cláusulas contractuales.
7. Asimismo, en las operaciones que afecten a interesados de varios Estados miembros se establecen obligaciones de asistencia recíproca obligatoria y normas de cooperación en operaciones conjuntas, instituyéndose el Consejo Europeo de protección de Datos, que sin perjuicio de su carácter de órgano independiente, estará compuesto por los directores de las autoridades de control de cada Estado miembro y el Supervisor Europeo de Protección de Datos.
8. Sin perjuicio de los recursos administrativos y judiciales, todo interesado tendrá derecho a presentar una reclamación ante la autoridad de control de cualquier Estado miembro en caso de incumplimiento de las previsiones del presente Reglamento Europeo.
9. Y para finalizar el nuevo reglamento europeo plantea posibles nuevas sanciones para todos aquellos que incumplan las obligaciones, que oscilan: (i) las más graves, hasta 1.000.000 € o, si se trata de una empresa, de hasta el 2% de su volumen de negocios anual a nivel mundial; (ii) hasta 500.000 € o, si se trata de una empresa, de hasta el 1% de su volumen de negocio anual a nivel mundial; y (iii) las menos graves, hasta 250.000 € o, si se trata de una empresa, de hasta el 0,5 % de su volumen de negocios anual a nivel mundial, en este momento en España, la LOPD impone multas de entre 900 y 600.000 €.
En segundo lugar, con respecto a la propuesta de la Directiva Europea relativa al uso de datos personales en el marco de cooperación policial y judicial en materia criminal lo más destacable es que el nuevo marco europeo de protección de datos propuesto cubra el tratamiento de los datos personales tanto en el ámbito nacional como en el ámbito europeo y facilitará el intercambio de información entre las autoridades policiales y judiciales nacionales, lo que reducirá las diferencias legislativas en los distintos Estados miembros.
El nuevo marco regulatorio europeo propuesto pretende asegurar una protección de datos consistente y de alto nivel para mejorar la confianza mutua entre las autoridades policiales y judiciales de los diferentes Estados miembros, contribuyendo así a una mayor libertad de flujo de datos y una efectiva colaboración entre las autoridades policiales y judiciales.
Laia Bilbao Caus Natalia Palit
Abogada Abogada
Colegiada nº 2.941 ICAG y 28.659 ICAB Colegiada nº 39.217 ICAB
[i] La cuestión prejudicial planteada por la Audiencia Nacional en el asunto (Asunto C-131/12) Google Spain, S.L. – Google Inc. contra la Agencia Española de Protección de Datos sobre la publicación de dos anuncios relativos a subastas de inmuebles relacionada con un embargo derivado de deudas a la Seguridad Social, aborda, entre otras cuestiones, el problema de cómo debe interpretarse el papel de los proveedores de servicios de motores de búsqueda en Internet a la luz de la normativa de la Unión Europea sobre protección de datos. Las conclusiones en esta materia del dictamen emitido en fecha 25 de junio de 2.013 por el abogado general del TJCE determinan que:
(i) los derechos de cancelación y bloqueo de datos y el derecho de oposición, no confieren al interesado el derecho a dirigirse a un proveedor de servicios de motor de búsqueda para impedir que se indexe información que le afecta personalmente, publicada legalmente en páginas web de terceros, invocando su deseo de que los usuarios de Internet no conozcan tal información si considera que le es perjudicial o desea que se condene al olvido;
(ii) todas las empresas que operan en la UE deben cumplir con la legislación de protección de datos de cada país pero no se puede obligar a eliminar contenidos producidos por otros;
(iii) los proveedores de servicios de motores de búsqueda no son responsables, sobre la base de la Directiva de Protección de Datos vigente, de los datos que aparecen en las páginas web del proceso.
Sin embargo, este dictamen no tiene carácter vinculante y la decisión final sobre el caso la tomará el TSJCE en una resolución que se espera llegue en los próximos meses presumiblemente en octubre, y por consiguiente, antes de la entrada en vigor de la nueva Directiva.
No hay comentarios:
Publicar un comentario