Facebook Twitter LinkedIn Google Plus

LA PROPUESTA DE REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS...

Autor: Beatriz Puerta, socia de LawForCo.

Según la Comisión Europea, a lo largo de 2.015 está previsto avanzar en la reforma de la normativa de protección de datos de carácter personal a nivel comunitario, lo que constituye un asunto prioritario para lograr el mercado único digital, esto es, la eliminación de las barreras nacionales a las transacciones efectuadas en línea.(1)

La reforma iniciada por la Comisión Europea en 2.012 consta, de un lado, de la “Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)” (COM (2012 11) final) – en adelante, “la Propuesta de Reglamento”-; y, de otro, de la “Propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales y la libre circulación de dichos datos” (COM (2012) 10 final).

Actualmente, siguiendo el proceso legislativo ordinario (antigua co-decisión), ambas normas están siendo objeto de debate entre el Consejo y el Parlamento Europeo, habiendo presentado éste último, en primera lectura, un texto con enmiendas en marzo de 2.014. Durante este año se pretende aprobar el Reglamento y continuar avanzando con la Directiva.

En este contexto y, en lo que a la Propuesta de Reglamento se refiere, cabe recordar las principales novedades contenidas en la misma:

La eliminación de la obligación de notificar e inscribir el tratamiento de datos personales a las autoridades de control. En España, la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, “LOPD”), establece en su artículo 26 la obligación de toda persona o entidad de notificar la creación de ficheros de datos de carácter personal y, en la práctica, ello se efectúa en la Agencia Española de Protección de Datos (en adelante, “AEPD”) mediante la presentación de los formularios “NOTA”.

La Comisión, sin embargo, considera que esta obligación supone una carga administrativa y financiera que no contribuye a mejorar la protección de datos personales. 

La regulación de nuevos derechos de los interesados como: el derecho al olvido (artículo 17); el derecho a la portabilidad de los datos (artículo 18), en los casos en que se traten datos vía electrónica en un “formato estructurado y comúnmente utilizado”, el interesado tendrá derecho a obtener copia de los datos objeto de tratamiento; o el derecho de oposición ante medidas de elaboración de perfiles (artículo 20), esto es, se trata de una medida de protección de los interesados frente al “Big Data” consistiendo en el derecho de toda persona física a no ser objeto de tratamientos automatizados destinados únicamente a evaluar determinados aspectos personales propios o analizar o predecir su rendimiento profesional, situación económica, localización, estado de salud, preferencias personales, fiabilidad o su comportamiento.

La creación de la obligación del responsable del tratamiento de notificar una violación de datos personales a la autoridad de control (artículo 31) en el plazo máximo de veinticuatro horas después de que haya tenido constancia de ella y posterior notificación de la violación al interesado (artículo 32).

La regulación de las evaluaciones de impacto “cuando las operaciones de tratamiento entrañen riesgos específicos para derechos y libertades de los interesados en razón de su naturaleza, alcance o fines” (artículo 33). Resulta aplicable a tratamientos especialmente arriesgados donde se evalúan, entre otros supuestos contenidos en el artículo 33.1, aspectos personales propios de una persona física destinados a predecir su situación económica, localización o estado de salud; tratamiento a gran escala de información sobre datos como la vida sexual, salud o raza origen étnico o destinada a prestación de servicios sanitarios e investigaciones epidemiológicas.

En 2.014, la AEPD publicó una Guía para elaborar estas evaluaciones de impacto con  un carácter orientativo, pues no están reguladas en la actualidad.

La creación de la nueva figura del delegado de protección de datos (artículo 35 y siguientes) que deberá ser nombrado por el responsable y el encargado del tratamiento cuando el tratamiento sea llevado a cabo:

Por una autoridad u organismos públicos; o

Por una empresa que emplee a doscientas cincuenta personas o más; o

Las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran un seguimiento periódico y sistemático de los interesados.

La creación de mecanismos de certificación y de sellos y marcados de protección de datos (artículo 39) “que permitan a los interesados evaluar rápidamente el nivel de protección de datos que ofrecen los responsables y los encargados del tratamiento”.

La introducción de un procedimiento denominado de “ventanilla única” (artículo 51.2) en los casos en que el tratamiento de datos tenga lugar en el marco de las actividades de un responsable o un encargado del tratamiento, establecidos en la Unión, y estén establecidos en varios Estados miembros, la autoridad de control del Estado miembro en que esté situado el establecimiento principal del responsable o del encargado será competente para controlar las actividades de tratamiento del responsable o del encargado en todos los Estados miembros.

El aumento de la cuantía máxima de las sanciones (artículo 79). En este sentido, se establecen diferentes sanciones dependiendo de la infracción, con un máximo de hasta 1.000.000 de Euros o si es empresa, hasta el 2% de su volumen de negocios anual a nivel mundial.

En la actualidad, en España la LOPD establece sanciones que oscilan de los 900 a 600.000 Euros.

En definitiva, la Propuesta de Reglamento trata de armonizar y actualizar las diferentes normativas de protección de datos existentes en los 28 Estados miembros a las nuevas necesidades de la tecnología digital incrementando la protección y garantías de los interesados y aumentando el control de las empresas que tratan con datos de carácter personal.

1. Vid nota de prensa de la Comisión Europea: http://europa.eu/rapid/press-release_MEMO-15-3802_en.htm?locale=FR