Publicaciones

Después de varios años de discusión, se ha publicado el Reglamento General de Protección de Datos (2016/279), que deroga la famosa Directiva 95/46 y que constituye uno de los mayores logros legislativos europeos de los últimos tiempos. La nueva normativa es de aplicación directa en todos los Estados miembros y será de obligatorio cumplimiento a partir del mes de mayo del 2018.

El reglamento representa el inicio de una nueva etapa en el derecho de privacidad y protección de datos con efectos a nivel global, que se caracteriza por un enfoque más garantista de los derechos y las libertades que, a su vez, ofrece mejores herramientas a las autoridades para obrar con severidad, coherencia y prontitud frente a los infractores.

Aparte de reiterar los principios esenciales de la protección de datos (consentimiento, necesidad, seguridad, confidencialidad, entre otros), la nueva normativa desarrolla institutos que ya habían sido planteados previamente, pero que con este mayor impulso pueden llegar a transformar el centro de gravedad de la relación entre el Estado y aquellos que efectúan cualquier forma de tratamiento de datos.

Para empezar, resalto los nuevos desarrollos del principio de responsabilidad proactiva, que obligan al responsable del tratamiento a tomar ciertas medidas técnicas y organizativas cuya profundidad se pondera en cada caso, según el nivel de riesgo y el pronóstico de impacto que las circunstancias específicas indiquen, y en función de la naturaleza de los datos, el nivel de automatización y la cobertura. Entre las medidas que se pueden adoptar, se encuentran la seudonimización, el cifrado o la minimización.

Surge como otra interesante novedad la figura de la Evaluación de Impacto, la cual debe realizarse a criterio del responsable cuando la naturaleza de los datos o el alcance del tratamiento entrañen un alto riesgo para los derechos y libertades del titular y, en todo caso, cuando se trate de tratamiento a gran escala de datos de categorías especiales o si el tratamiento involucra la creación de perfiles. Si la evaluación arroja un riesgo alto, el responsable deberá obtener autorización estatal antes del inicio de la recogida de información.

El reglamento es enfático en estimular la adopción de códigos de conducta por parte de las empresas que operan de bases de datos y abre la posibilidad de que los gremios y asociaciones sectoriales adopten códigos modelo, susceptibles de ser preaprobados por la autoridad.

En la misma línea del autocontrol, se incentiva el nacimiento de Organismos Privados de Certificación, que, previa acreditación estatal, certifican la adecuación de los responsables y encargados a la nueva normativa, lo que se suma a la posibilidad de usar sellos y marcas colectivas. Esto, sin la menor duda, constituye la piedra angular de un nuevo modelo de supervisión que, a pesar de basarse en una mayor carga de responsabilidad en el sector privado, puede resultar siendo más efectivo en el objetivo de lograr que los responsables y encargados cumplan cabalmente los principios y las normas del derecho de habeas data y en el desarrollo de mejores habilidades selectivas y estratégicas en cabeza de las autoridades supervisoras para el ejercicio de sus funciones.

En lo referente al derecho al olvido, se obliga al responsable a asegurar que, para una plena efectividad de las medidas respectivas, se eliminen todo tipo de enlaces, copias o réplicas, que puedan estar en manos de terceros. A su vez y en la misma idea de elevar las cargas y responsabilidades en cabeza de los responsables del tratamiento, se impone el deber de informar a la autoridad sin dilaciones, y en máximo 72 horas, cualquier incidente de vulneración de los sistemas de seguridad.

Para culminar el deseo de marcar un hito de elevamiento en la protección de derechos, la norma aumenta el tope de sanción hasta 20 millones de euros y establece amplios poderes para las autoridades internas de cada país, las cuales deberán ser independientes.