LA PROTECCIÓN DE DATOS PERSONALES: LA U.E. SE PONE AL DÍA
20 diciembre, 2011 por sfranco
{lang: 'es'}La Protección de Datos Personales, actualmente regulada según la Directiva 95/46/CE, y en España por la Ley Orgánica 15/1999 (LOPD) de 13 de Diciembre, y su Reglamento de Desarrollo el R.D. 1720/2007 de 21 de Diciembre, ya es una normativa conocida ampliamente aunque no suficientemente respetada en un porcentaje todavía bastante significativo.
Las nuevas tecnologías, la globalización, Internet, la irrupción de las Redes Sociales: Facebook, Tuenti, Twitter, Linkedin, las tecnologías Cloud, los Smartphones, y otros, han creado un nuevo contexto operativo y de relaciones, que la normativa actual no contempla adecuadamente a estos nuevos escenarios, por lo que se introducen elementos de incertidumbre e inseguridad jurídica en el correcto cumplimiento por parte de las empresas, de las AAPP´s, y del resto de entidades con o sin ánimo de lucro a las que aplica.
Por otro lado, las diferentes leyes nacionales que trasponen la Directiva han sido muy distintas en su contenido y alcance creando un contexto de dispersión que dificulta la protección de los derechos de los ciudadanos de una manera uniforme en la UE.
La UE es consciente de este problema y desde hace un par de años viene desarrollando una serie de acciones para la revisión de la normativa, habiéndose decantado por un REGLAMENTO en lugar de una puesta al día de la Directiva 95/46/CE. Esta decisión es muy importante ya que el Reglamento es de aplicación directa en todo el territorio de la UE, por lo que los plazos de entrada en vigor se reducen considerablemente.
El último Borrador de Reglamento es del mes de Nov-11, denominado“Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Protection Regulation)”. Está previsto su aprobación en los primeros meses de 2012 y su puesta en vigor antes de final de 2012. Son plazos estimativos que pueden variar.
Esta nueva normativa de la U.E. contiene interesantes novedades que vamos a resumir brevemente:
- Las Fuerzas y Cuerpos de Seguridad y los Jueces y Tribunales quedan fuera de este Reglamento. Para ellos se redacta una Directiva específica.
- Es bastante probable que se elimine la obligación de notificar ficheros a un Registro Administrativo tal como existe hoy en España. Aunque, en conversaciones mantenidas con alguna persona con criterio en la Administración no queda claro si finalmente en España se aplicará por la aplicación del principio de transparencia, de acceso, y de facilitar el ejercicio de derechos por los ciudadanos.
- Se aclaran y definen las formas de otorgar consentimiento. No se autorizan el tácito ni el presunto.
- Se definen y amplían las categorías de datos. Se amplía la información necesaria a incluir en las cláusulas de información en la recogida de datos.
- Se incluye un nuevo derecho: “Derecho al Olvido”.
- Se regula la confección de perfiles-segmentación en base a comportamientos. Se prohíbe hacer perfiles a menores. Menor se define según la “UN Convention on the Rights of the Child”
- Se introduce claramente el concepto de “responsabilidad ”, “debida diligencia” y la obligación de mantener carga de prueba de la correcta aplicación de la normativa.
- Muy Importante: en caso de pérdida, robo, hacking, o cualquier otra circunstancia que permita que los datos sean accedidos o comunicados a personal no autorizado, se introduce la obligación de notificar el hecho a la Autoridad de cada país (es España a la Agencia Española de Protección de Datos) y a las personas afectadas en un plazo de 24 horas desde que se conoce.
- Se regula el marketing directo y publicidad, y como se podrá realizar: consentimiento expreso.
- Para determinados tratamientos (entre otros, para videovigilancia, menores, biométricos, genéticos,…) será necesario un Informe de Impacto sobre la protección de datos personales. Los informes de Impacto deberán ser públicos.
- Se introduce y se regula la figura del D.P.O.-Data PrivacyOfficer para empresas de 250 empleados o más. La figura del D.P.O. será obligatorio para TODAS las Administraciones Públicas. La figura del DPO deberá tener los conocimientos y experiencia suficientes en Protección de Datos.
- Se regulan las relaciones entre Titular de Ficheros/Encargado(s) de Tratamiento, definiendo las responsabilidades. Se regula la responsabilidad por la elección del encargado de tratamiento, así como la diligencia en asegurarse del cumplimiento del Reglamento por parte del Encargado.
- Se introducen ya directamente en el texto legal los conceptos de “PrivacyByDesign” y de “Privacyby Default”. En estos conceptos se insta a introducir la atención a la protección de datos personales desde el diseño inicial de las operaciones y tratamientos, y que se activarán por defectos todos los mecanismos de protección de la privacidad.
- Los informes que por ley deban presentar las entidades, i.e.: Informe Anual de Auditoría de Cuentas u otros exigibles, deberán incluir un apartado específico sobre el cumplimiento de la normativa y los riesgos incurridos.
- Se autoriza a Organizaciones, Asociaciones u otros tipos de entidades efectuar denuncias en nombre de los afectados.
- SANCIONES: Se establecen tres niveles de sanciones, atendiendo a su efectividad, proporcionalidad y capacidad de disuasión:
1. 100,00€ a 300,00€, o hasta 1% de su facturación total mundial
2. 500,00€ a 600.000,00€ , o hasta 3% de su facturación total mundial
3.100.000,00€ a 1.000.000,00€, o hasta 5% de su facturación total mundial
El REGLAMENTO es bastante más denso, pero en términos generales estas son las novedades más relevantes. De estos cambios se deducen que serán necesarias muchas acciones de adaptación en las entidades, por ejemplo:
1.Será necesario cambiar TODAS las cláusulas de información, en papel y on-line
2.Se deberán revisar y actualizar los consentimientos recibidos
3.Será necesario revisar y adaptar TODOS los contratos de tratamiento por terceros
4.Será necesario mantener con extrema diligencia toda la documentación exigible
5.Se deberá nombrar un D.P.O. interno o externo, en los casos requeridos, no obstante para menos de 250 empleados será una buena práctica para mostrar diligencia.
6.Se deberán notificar en 24 hrs a la AEPD y a los afectados los robos, pérdidas o hackeos de datos personales.
7.Se deberán establecer políticas, procedimientos y procesos específicos para el cumplimiento de esta normativa, y para evidenciar la diligencia en el cumplimiento.
Y otros más que no caben en la dimensión de este artículo. La conclusión es que la UE se toma en serio la protección del derecho a la protección de datos personales y está decidida a que se cumpla de manera uniforme en toda la UE, por lo que todas las entidades afectadas harían bien en prepararse anticipadamente en el cumplimiento.
La Consultoría externa deberá ser efectuada por empresas de reconocida solvencia, preparación y experiencia en protección de datos, para evitar los riesgos de una incompleta o incorrecta aplicación de la normativa.
Vicente Moncholí Cebrian
Director – Legitec Sevilla
http://www.legitec.com/blog/la-proteccion-de-datos-personales-la-u-e-se-pone-al-dia/