Reglamento Europeo de Protección de Datos

Reglamento Europeo de Protección de Datos

«SE ACERCA EL FINAL DEL VÍA CRUCIS»

Estos días se han publicado varias noticias en los medios de comunicación que informan de que el día 15 de diciembre se produjo la aprobación de la nueva ley europea de protección de datos.

Sin embargo, en una nota de prensa de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (LIBE), podemos comprobar que no se ha aprobado el Reglamento de Protección de Datos por el Parlamento Europeo, sino que se ha llegado a un acuerdo entre el Parlamento y el Consejo para que el texto final que debe votarse en el Parlamento.

De hecho, el 17 de diciembre, será votado por LIBE y, a partir de entonces, podrá ser votado y aprobado por el Parlamento Europeo (lo cual se espera ya para 2016).

Una vez aprobado por el Parlamento Europeo será publicado con un plazo de adaptación de 2 años.

Entre las principales novedades que se esperan del texto definitivo podrían estar las siguientes:

  • Aplicación de la normativa Europea a operadores de otros países que traten datos de ciudadanos europeos en determinadas condiciones.
  • Actualización de los procesos de información y obtención del consentimiento (es posible que se pida siempre un consentimiento expreso o que se cambie la edad a la que los menores pueden consentir).
  • Obligación de realizar una Evaluación de Impacto en el caso de tratamientos de datos que puedan ser relativamente sensibles (p.e. proyectos de Big Data).
  • Desaparición de la obligación de declarar ficheros en las autoridades de protección de datos (aunque determinados ficheros tendrán que ser inventariados de forma más profunda que antes).
  • Endurecimiento de las sanciones.
  • Obligación de comunicar las brechas o incidentes de seguridad tanto a los afectados como a la AEPD (actualmente es obligatorio, pero sólo para los operadores de telecomunicaciones).
  • Mayor profundidad en los derechos ARCO, pudiendo llegar a ejercer el derecho de Portabilidad (llevarse los datos en un formato estándar de un servicio a otro).
  • Para determinadas empresas y organismos públicos, la designación de un Data Protection Officer (figura cuya obligatoriedad había desaparecido hasta que ha vuelto a ser incluida en los últimos borradores que se han publicado).
  • Aplicación de la privacidad por defecto (por ejemplo, evitar tratar datos personales directamente identificativos cuando sea suficiente con un código).
  • Mayor promoción de la adopción de estándares, códigos tipos y certificaciones de privacidad (pudiendo resultar de ayuda para rebajar el importe de las sanciones).

Tras los análisis que hemos efectuado a los sucesivos borradores, nuestras conclusiones son que, a pesar de los 20 años que nos separan de la Directiva 95/46, los cambios son más bien estéticos, y de mayor carga de trabajo, compromiso y recursos por parte de la empresa, pero los Principios básicos son los mismos.

Sin embargo, sí echamos en falta una mayor concreción a la hora de definir algunas obligaciones.

Los borradores publicados hasta la fecha abusan de fórmulas vagas y difusas impropias del derecho administrativo sancionador.

Esperamos y deseamos que el año nuevo traiga algo de cordura en este sentido y que el texto final corrija este grave defecto.

Mientras, os deseamos unas felices fiestas.

Áudea Seguridad de la Información