Publicaciones

El 28 de enero se celebra el Día Europeo de la Protección de Datos, fecha que coincide con el día en que, en el año 1981, se firmó el Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Este día está dedicado a concienciar y sensibilizar sobre la importancia que tiene el tratamiento de datos personales. Desde Garrigues queremos aportar nuestro granito de arena y, para ello, vamos a hacer un repaso a diversos proyectos normativos relacionadas con la privacidad que están en diversas fases de tramitación. El gran número de normas y novedades en esta materia ha hecho que al año 2022 se le empiece a llamar ya “el año del dato”.

• Reglamento relativo a la Gobernanza Europea de Datos (‘Data Governance Act’ o DGA)

  La DGA tiene su germen en la Directiva 2019/1024 relativa a los datos abiertos y la reutilización de la información del sector público, si bien, con este nuevo Reglamento, se espera impulsar la reutilización de datos del sector público por el sector privado.
            
  Asimismo, se regulan dos importantísimas actividades: por una parte, la prestación de servicios de intercambio de datos, que permitirá desarrollar negocios relacionados con la intermediación con datos a petición de los interesados; y, por último, se establece un registro para la inscripción de entidades que recojan y traten datos facilitados con fines altruistas.
                       
  Como podemos ver, se pretende ordenar, supervisar y potenciar el desarrollo de negocios basados en datos, manteniendo la protección de los derechos de los interesados, que siguen estando en el centro de todo el esquema regulatorio.
                 

• Reglamento para una Identidad Europea (‘E-idas 2’)
                
  Esta propuesta de reglamento vendría a reformar el actual Reglamento de identidad que regula la firma electrónica y los servicios de confianza. Como una de las principales novedades de esta propuesta de modificación cabría destacar la creación del European Digital Identity Wallet o Monedero Europeo de Identidad Digital, que permitiría a las personas identificarse electrónicamente en cualquier parte del territorio de la Unión Europea ante instituciones públicas y entidades privadas.
                  
• Reglamento de Datos (‘Data Act’ o DA)
                
  En una fase aún incipiente en el proceso de creación legislativa, el futuro Reglamento de Datos complementaría al Reglamento de Gobernanza de Datos, y tendría por finalidad clarificar, para consumidores y negocios, quién puede usar y acceder a datos y para qué fines. Entre otros aspectos, este reglamento pretende regular el uso de datos privados por el sector público, el acceso y uso de datos en las relaciones entre profesionales, así como revisar la protección jurídica de las bases de datos.
                      
• Reglamento de inteligencia artificial (‘Artificial Intelligence Act’ o AIA)
                 
  Sin duda, la inteligencia artificial y su uso aplicado a datos personales es una de las materias que está presentando un mayor grado de controversia actualmente.
                   
  Esta propuesta de reglamento pretende definir los diferentes tipos de inteligencia artificial en función de su uso y del riesgo que puedan plantear estos sistemas para la privacidad y los derechos de los individuos, llegando incluso a plantearse la prohibición de algunos usos de esta tecnología. La propuesta de reglamento se encuentra en una fase inicial de desarrollo, y ha sido objeto de importantes objeciones por parte del Comité Europeo y del Supervisor Europeo de Protección de Datos.
              
• Reglamento ‘E-privacy’
                 
  Qué decir de este viejo conocido que llevamos más de 6 años esperando… y del que todavía no podemos concretar nada con respecto a su fecha de publicación, salvo que está en su fase final de desarrollo. Esta norma regulará cuestiones tan importantes como el funcionamiento de las cookies y otras tecnologías de seguimiento habitualmente utilizadas por páginas web y plataformas.
              
  Será necesario, en las próximas semanas y meses, seguir de cerca los posibles cambios que se puedan producir en la regulación con respecto a las cookies de terceros, así como los nuevos criterios sobre cookies analíticas que se están adoptando por diferentes entidades supervisoras europeas.
          
• Transferencias internacionales a Estados Unidos
                
  Como consecuencia de la anulación del Privacy Shield en virtud de la sentencia Schrems 2 del Tribunal de Justica de la Unión Europea (TJUE), actualmente se está negociando un nuevo acuerdo sobre el flujo de datos personales entre Estados Unidos y la UE. Existen muchas incógnitas sobre la forma en que se podría acordar un nuevo esquema de transferencia de datos que no vuelva a incurrir en los mismos problemas puestos de manifiesto por el TJUE, relativos a la falta de seguridad y garantías para la protección de los datos de europeos cuando son transferidos a Estados Unidos.

Y, además de todas estas nuevas normas, no debemos perder de vista los trabajos de revisión del Reglamento General de Protección de Datos (RGPD), que podrían derivar en una actualización de ciertas disposiciones del texto.

Como podemos apreciar, estamos en un año importantísimo en lo que se refiere a la regulación de los datos y de los negocios basados en datos, lo cual supone, en definitiva, un refuerzo de la estructura normativa de la economía digital. Todo ello se complementa con otras normas que, si bien no tienen su foco central en el tratamiento de datos, sin duda están destinadas a proteger los datos personales y los derechos fundamentales de los ciudadanos en la UE, entre las que podemos citar las siguientes:

• En materia de ciberseguridad
          
  Se está desarrollando la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad (NIS 2). Como consecuencia de un desarrollo desarmonizado de la Directiva NIS del año 2016, que establecía determinadas obligaciones de ciberseguridad en redes y sistemas en determinados sectores y empresas, las instituciones europeas están trabajando en la NIS 2, la cual, entre otros aspectos, obligará a un mayor número de entidades y sectores de actividad.
             
  En lo que respecta al sector financiero (especialmente banca y seguros), está en fase muy avanzada la propuesta de Reglamento de Resiliencia Operativa Digital (Digital Operational Resilience Act o DORA). Esta propuesta de reglamento establece obligaciones que afectarán a entidades que presten servicios financieros en la Unión Europea y a sus proveedores de servicios, centrándose su contenido en regular la gestión de riesgos asociados al uso de tecnologías de información y externalización de servicios.
                
• En relación con las plataformas digitales y los criptoactivos
                 
  La propuesta de Reglamento de Mercados Digitales (Digital Markets Act o DMA) está muy próxima a su aprobación definitiva. Esta norma establece obligaciones en relación con los operadores de grandes plataformas digitales, con el fin de proteger al mercado y a los consumidores.
             
  La propuesta de Reglamento de Servicios Digitales (Digital Services Act o DSA) está destinada a impulsar la innovación, el crecimiento y la competencia en el ámbito de las plataformas digitales, y a facilitar el crecimiento de las más pequeñas. Se reajustan las responsabilidades de los usuarios, las plataformas y las autoridades de acuerdo con los valores europeos, ubicando al ciudadano en el centro. Hay numerosas intersecciones entre el RGPD y el alcance de la DSA. Muchas de las actividades que se regulan en esta propuesta, tales como la publicidad personalizada, tienen que contemplar las obligaciones y principios del RGPD.
             
  Por último, la propuesta de reglamento relativo a los mercados de criptoactivos (Markets in Crypto-assets Regulation o MICA) persigue regular la intermediación en criptoactivos, la definición de los distintos tipos de tokens y otros aspectos relacionados con estos nuevos activos que han surgido a partir del desarrollo de la tecnología blockchain.

En las próximas semanas iremos profundizando de forma separada en cada uno de estos textos legislativos y sus implicaciones en materia de privacidad, tecnología y ciberseguridad.