Pendientes de tener el texto definitivo, que parece que será aprobado a principios de 2016, sí podemos adelantar los aspectos principales de la nueva legislación cuya propuesta ha sido acordada recientemente por el Parlamento y Consejo Europeos.
La Unión Europea lleva años debatiendo la posibilidad de implantar una única legislación en todo el territorio Europeo, significando que todos los países puedan aplicar reglas análogas en todos los países en los que traten información, evitando así diferencias de criterio, regímenes sancionadores dispares y distintos modelos de implantación en función del país o países en los que operen.
Jurisprudencia reciente del Tribunal de Justicia de la UE también ha ido estableciendo principios que necesariamente condicionan la nueva legislación: derecho al olvido, la aplicación territorial a quienes realicen tratamiento de datos de ciudadanos comunitarios, el equilibrio con otros derechos como el de libertad de expresión, o la reciente Sentencia que anula el acuerdo de Puerto Seguro.
La tendencia general es mantener las líneas trazadas hasta la fecha, en cuanto a conceptos, agentes implicados, medidas de seguridad básicas, etc. Sin embargo, se establecen medidas destinadas a mejorar la protección de los afectados por el tratamiento de la información y sus derechos, en especial en relación a los datos tratados en la red.
Se pretende ir más allá de que las empresas que tratan datos implanten y formalicen documentos que luego tengan poca trascendencia práctica, aumentando considerablemente las medidas destinadas a implantar entre los empleados y/o usuarios una auténtica cultura de confidencialidad y privacidad de los datos. Esto afectará a todas las empresas, y con mucho énfasis a empresas que trabajan con datos a través de sistemas remotos o vía Web.
Algunos de los puntos que tratará el nuevo reglamento son los siguientes:
A) Análisis de Riesgos y Evaluación de Impacto: Por primera vez se establecerán obligaciones tangibles y previas a la obtención y tratamiento de los datos, requiriendo al Responsable del Fichero tomar medidas concretas destinadas a evaluar los riesgos que conlleve el tratamiento para la privacidad de los afectados. Cada país deberá concretar en qué se traducen estas medidas.
B) El nuevo “Responsable de Seguridad” o Data Protection Officer: Muchas empresas y organizaciones tendrán la obligación de designar un experto que controle, audite y certifique que se cumple la normativa en el tratamiento de datos que se realiza en el seno de la empresa.
C) Regulación de la ventanilla única para las multinacionales. Aunque cada estado miembro tendrá su propia autoridad de control, en el caso de entidades con establecimientos y/o actividades en varios países se podrá elegir la autoridad de control de cualquiera de los países en los que opere dentro del territorio europeo. Dicha autoridad de control tendrá, como en la actualidad las estatales, facultades de asesoramiento, control y supervisión.
D) Regulación y imposición de velar por el “derecho al olvido”: Lo que ya adelantó el TJUE, será obligatorio, especialmente en el entorno online, velar por la actualización de los datos y los derechos de los usuarios a solicitar el borrado de información antigua.
E) Concreción y contextualización de los deberes de información: Se concretarán los contenidos mínimos a incluir en las cláusulas destinadas a informar a los afectados, eliminando obligaciones presentes hasta la fecha e incluyendo otras.
F) Control de empresas Extracomunitarias cuando traten datos de personas europeas: Se pretende que las empresas que operan parcialmente en Europa, especialmente las que ofrecen servicios cloud, no se escuden en las aplicabilidades de las normas de sus países para ser menos garantistas.
G) Se dará más juego a la personalización de la privacidad: En función del tamaño, datos que trata, cesiones, afectados, contexto de la organización que trate los datos.
H) Régimen sancionador: Se establecerá una norma que dote de proporcionalidad a las sanciones impuestas en cada país, atendiendo a las circunstancias de cada caso, como ya hace hoy en día la AEPD. El límite de las multas todavía no se ha fijado, pero parece que podrá consistir también en un porcentaje de la facturación global de la compañía en casos graves.
I) “European Data Protection Board”: Se crea un órgano consultivo que velará por el cumplimiento de la legislación e interpretará, dictará recomendaciones y se pronunciará sobre la aplicación práctica.
La publicación del texto definitivo está prevista, tal como se ha anunciado, para los próximos meses, pero los expertos y entidades más relevantes relacionadas con su elaboración y aprobación ya adelantan que no se aplicará hasta el primer trimestre de 2018.
Por ello, es importante seguir cumpliendo con lo que dice la normativa vigente a día de hoy, atendiendo, eso sí, a las distintas resoluciones que se van publicando y que son vinculantes en la medida en que establecen cómo debe interpretarse la normativa vigente (olvido, safe harbour, datos de empleados, etc.), además de marcar la línea que nos llevará a la aplicación del nuevo reglamento.
Os seguiremos informando.
Equipo de PymeLegal.