El 12 de marzo de 2014, el Parlamento Europeo dio luz verde al proyecto de reforma del esperado (y controvertido) Reglamento Europeo de Protección de Datos, por lo que para su definitiva aprobación solo falta el visto bueno del Consejo. Dado que las autoridades comunitarias han manifestado la urgencia de aprobar este Reglamento, es posible que próximamente dispongamos de nueva regulación armonizada de protección de datos.

El Reglamento tiene por objeto:

– adaptar la protección de datos a las nuevas demandas del mundo digital, sabiendo que las disposiciones actuales se adoptaron cuando menos del 1 % de los europeos utilizaba Internet;

– evitar las actuales divergencias en la aplicación de las normas de 1995 por parte de los diferentes Estados miembros y velar por que los derechos fundamentales a la protección de datos personales se apliquen de manera uniforme en todos los ámbitos de las actividades de la Unión;

– aumentar la confianza del consumidor en los servicios en línea facilitando una mejor información con respecto a los derechos y a la protección de datos mediante la introducción del derecho a la rectificación, al olvido y a la supresión, derecho a la portabilidad de datos y de oposición;

– impulsar el mercado único digital reduciendo la fragmentación actual y las cargas administrativas

Dicho paquete está compuesto por:

–  El Reglamento propiamente dicho, que cubre la inmensa mayoría de los datos procesados en la UE, (abarcando, por ejemplo, redes sociales, páginas de compras por internet, servicios bancarios online, registros universitarios y hospitalarios, bases de datos de clientes de las empresas, etc.).

– Una directiva de mínimos que se aplicará a los datos personales procesados en el marco de la cooperación policial y judicial. Hasta ahora, la normativa europea en este campo se aplicaba a los datos intercambiados por las autoridades de distintos Estados Miembros. La nueva norma, de aprobarse, abarcará también los datos procesados por las autoridades en cada Estado Miembro.

¿Qué inconvenientes plantea el nuevo Reglamento?

A pesar de ser necesario para adaptar una normativa de protección de datos que en cierta medida estaba obsoleta, el Reglamento está siendo ampliamente criticado por asociaciones empresariales de diversa naturaleza que reprochan la excesiva regulación que conlleva la reforma.

Entre las organizaciones que defienden al colectivo empresarial, destaca BUSINESSEUROPE, que ha estado altamente involucrada en el proceso de aprobación del proyecto de reforma y que alerta de los peligros que el nuevo Reglamento puede suponer para la innovación y competitividad europeas.

Entre las propuestas más criticadas, destacan:

1. La excesiva carga administrativa que el Reglamento prevé imponer a aquellos negocios que manejen datos personales de más de 5000 usuarios (teniendo en cuenta que cualquier empresa con un negocio mínimamente desarrollado ya almacena datos de 5000 usuarios):

Deberán efectuarse evaluaciones de impacto sobre la privacidad con carácter obligatorio para cualquier operación de procesamiento de datos que entrañe riesgo, considerándose procesamiento arriesgado el efectuado con datos personales de 5000 o más individuos.

Se impone además la designación de un  Delegado de Protección de Datos cuando la empresa procese datos personales de 5000 o más individuos en un período consecutivo de 12 meses.

BUSINESSEUROPE, por ejemplo, exige que la designación de esta figura se flexibilice y se adapte a la estructura de cada tipo de organización, la naturaleza de la actividad empresarial o el tipo de procesamiento, y que no se base en el tamaño de la empresa o el volumen de usuarios cuyos datos han sido procesados.

2. Sanciones desproporcionadas.

La autoridad de control correspondiente impondrá al menos una de las siguientes sanciones: (i) un aviso por escrito en casos de primer incumplimiento no deliberado; (ii) auditorías regulares del sistema de protección de datos; (iii) Las sanciones administrativas oscilarán entre 1.000.000€ o el 2% del volumen de negocios total de la empresa, hasta 100.000.000 € o el 5% del volumen de negocios global, prevaleciendo la cantidad que resulte superior.

No obstante, si el responsable del tratamiento (data controller) o el encargado del tratamiento (data processor) han obtenido un Sello Europeo de Protección de Datos válido, las sanciones sólo serán impuestas en casos de incumplimiento intencionado o negligente.

3. No se aporta una definición de “datos” concreta

Esta aparece ampliamente definida (información relacionada con una persona natural identificada o identificable, describiendo a continuación qué se entiende por persona identificable), lo cual puede dar lugar a inseguridad jurídica.

¿Cuáles son las ventajas del Reglamento?

Puesto que el Reglamento tiene como objetivo primordial una elevada protección de los datos personales de los ciudadanos europeos, naturalmente existen novedades muy positivas que servirán para garantizar un nivel de protección de alta calidad en todos los Estados Miembros. Como mejoras más destacables encontramos las siguientes:

1. Se dificultan las transferencias de datos a terceros países, sobre todo en casos de transferencias requeridas por tribunales o autoridades administrativas de países terceros.

Si un país tercero solicita a una empresa (por ejemplo, una red social o un buscador) información personal procesada en la UE, dicha empresa deberá obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información.

Aunque se trata de una medida positiva para la privacidad de los usuarios, y en la que se ha hecho especial énfasis a raíz del espionaje de la NSA, los colectivos de empresas que basan gran parte de su actividad en transferencias internacionales han criticado que los nuevos requisitos son desproporcionados y que acabarán mermando la creación de nuevos negocios, sobre todo digitales.

2. Sigue adelante el derecho de supresión (que sustituye al derecho al olvido),  por el que cualquier persona podría solicitar que se borren sus datos si;

(i) no se cumplen las normas de la UE, (ii) los datos ya no son necesarios o (iii) la persona retira o no da su consentimiento al almacenamiento de esa información. La invocación de este derecho quedará limitada cuando los datos en cuestión hayan sido recabados con fines estadísticos, para la investigación histórica o científica, por motivos de salud pública o para ejercer la libertad de expresión.

3. Datos que revelen creencias filosóficas, orientación o identidad sexual, sanciones administrativas, fallos judiciales y presuntos delitos no serán susceptibles de ser tratados.

4. Consentimiento explícito y lenguaje claro

El consentimiento será entendido como una “manifestación libre, específica e informada de la voluntad del interesado, ya sea mediante una declaración o una clara acción afirmativa”. Esto impediría, por ejemplo, prácticas como la de mantener marcada la casilla de “aceptar” en las políticas de privacidad.

Además, el texto que llegará al pleno estipula que cualquier información sobre el tratamiento de datos personales deberá estar escrita en un lenguaje sencillo y claro.

Las nuevas normas también fijan límites a la práctica conocida como “profiling”, que consiste en la elaboración de perfiles mediante el procesado automático de los datos para analizar o prever el comportamiento de una persona, su situación económica, salud, preferencias, fiabilidad, trabajo, su situación por geolocalización, salud o preferencias. Este tipo de perfiles se utilizan, por ejemplo, para evaluar si una persona está en condiciones de devolver un crédito.

5. Se aprueba el mecanismo ‘’One-stop-shop’’,  por el cual cuando el procesamiento de datos se lleve a cabo en más de un Estado Miembro, las empresas sólo tendrán que responder frente a una única autoridad de control, en lugar de 28, la cual monitorizaría las actividades del responsable y el encargado del tratamiento, disminuyendo de esta manera la carga administrativa, aumentando la certeza legal y facilitando el desarrollo de negocios en la UE.

¿Qué va a suceder a continuación?

El Parlamento Europeo ha aprobado su posición en primera lectura, pero las negociaciones no podrán empezar hasta que los Estados miembros reunidos en el Consejo hayan llegado a una posición común. La Presidencia griega tiene por objetivo cerrar un acuerdo entre los países durante el primer semestre de 2014.

Puesto que el procedimiento a seguir es el legislativo ordinario (o “codecisión”), actualmente va a dar comienzo el tercer paso (primera lectura del Consejo) de un total de siete, antes de que el Reglamento sea aprobado definitivamente.

En caso de que el Consejo aprobase ahora el proyecto en primera lectura, quedaría pendiente la segunda lectura por ambas instituciones, una fase de conciliación y una tercera lectura por ambas partes, siendo la del Consejo la determinante.

Información de interés:

El texto adoptado se podrá consultar aquí (12.03.2014):

http://www.europarl.europa.eu/plenary/es/texts-adopted.html

Video del debate (11.03.2013):

http://www.europarl.europa.eu/ep-live/es/plenary/search-by-date

Video de la rueda de prensa (12.03.2014 a las 9.30):

http://www.europarl.europa.eu/ep-live/es/other-events/schedule

Ficha legislativa – Reglamento:

http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0011%28COD%29&l=en

Ficha legislativa – Directiva:

http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2012/0010%28COD%29&l=en

Nota explicativa sobre el paquete de protección de datos (en inglés):

http://www.europarl.europa.eu/news/es/news-room/content/20130502BKG07917/html/QA-on-EU-data-protection-reform

Protección de datos: respetar la vida privada de los europeos

http://www.europarl.europa.eu/news/es/top-stories/content/20130901TST18405/html/Protección-de-datos

Web sobre protección de datos de la comisión de Libertades Civiles

http://www.europarl.europa.eu/committees/en/libe/subject-files.html?id=20120514CDT45071#menuzone

En definitiva, se trata de un complejo procedimiento legislativo para engendrar un cuerpo legal igualmente complejo.

Letslaw es un despacho de abogados especializado en comercio electrónico, propiedad intelectual y derecho de los negocios.

Madrid, 13 de marzo de 2014

 

Letslaw

@letslawfirm

www.letslaw.es