Aitziber Emaldi Cirión

Algunas pinceladas sobre el nuevo Reglamento de Protección de Datos

 Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE)

La Directiva 95/46/CE ha sido hasta este Reglamento el texto de referencia, a escala europea, en materia de protección de datos personales. En sus inicios esta directiva creó el marco normativo destinado a establecer un equilibrio entre la protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión Europea fijando los límites estrictos para la recogida y utilización de dichos datos personales.

 

Esta normativa con más de 20 años necesitaba una actualización, para reforzar la protección de los datos personales y responder a los retos que suponen las nuevas tecnologías de la información y el internet, la globalización y la tendencia cada vez más extendida de utilizar datos personales en investigaciones criminales.
La Comisión Europea propuso una nueva legislación en Enero de 2012, recogiendo la iniciativa de la Comisaria Europea de Justicia y Derechos Fundamentales, Viviane Reding, iniciativa que por fin llegó a un acuerdo político entre los ministros europeos de Justicia, cerrándose así tres años de negociaciones sobre el reglamento de protección de datos personales que aunque tendría que pactarse aún con el Parlamento, Austria y Eslovenia mantienen reservas sobre el acuerdo, pero lejos de una minoría de bloqueo, permitirá que los 28 países del bloque se regulen por una misma normativa, hasta ahora muy diferentes entre sí.

Esta iniciativa adaptará la Directiva 95/46/CE al mundo de internet y a las nuevas tecnologías, y reforzará el control de las personas sobre sus datos y facilitará a las empresas el salto a la economía digital, armonizando el nivel de protección en toda la UE.

 

La nueva normativa endurecerá las normas sobre transferencias de datos a países terceros e incrementará las multas contra empresas que incumplan la ley, pudiendo llegar hasta un millón de euros o el 2 por ciento del volumen anual de negocios.

 

El paquete legislativo está formado por dos bloques normativos:

  1. a) una directiva de mínimos, que reemplaza una decisión marco del Consejo de 2008 que se aplica a los datos personales procesados en el marco de la cooperación policial y judicial, dado que hasta ahora, las reglas europeas en este ámbito se aplicaban a los datos intercambiados por las autoridades de distintos Estados miembros y,
  2. b) el reglamento general que se ha aprobado, que cubrirá la práctica totalidad de los datos procesados en la UE, desde las redes sociales, las páginas de compras por internet o los servicios bancarios en línea hasta los registros universitarios y de hospitales, pasando por las bases de datos de clientes de las empresas.

 

De esta forma si un país tercero pide a una empresa (por ejemplo, una red social, un motor de búsqueda o un proveedor de servicios en la nube) que le proporcione información personal procesada en la UE, la compañía tendría que obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información.

El nuevo reglamento recoge por primera vez de forma expresa el derecho al olvido, que aunque ya reconocido por el Tribunal de Justicia de la UE, resolviendo la cuestión prejudicial planteada en marzo de 2012 por la Audiencia Nacional Española estableciendo el importante precedente de clarificar las responsabilidades de los motores de búsqueda frente al contenido de terceros, poniendo las bases para poner fin a la desprotección de los usuarios.

Y este criterio es el que ha seguido el Reglamento, al establecer que se aplicará a las empresas europeas pero también a las compañías extracomunitarias, como Facebook o Google, cuando ofrezcan sus servicios a consumidores europeos, no olvidemos que en todo el proceso vinieron defendiendo que se debían regir por las normas de la legislación estadounidense -país donde se encuentra sus sedes- y no por las leyes de la Unión Europea o el país donde prestase sus servicios en cuestión.

 

Derecho que cualquier usuario podrá ejercitar en el sentido de solicitar del motor de búsqueda, la eliminación de referencias que pudiera afectarle, aunque esta información no haya sido eliminada por el editor, ni dicho editor haya solicitado su desindexación.

 

El derecho a la protección de datos de las personas prevalece así, con carácter general, sobre el “mero interés económico del gestor del motor de búsqueda” salvo que el interesado tenga relevancia pública y el acceso a la información esté justificado por el interés público. Su aplicación en caso de oposición no obstante seguirá estando en manos de las autoridades de protección de datos o de los tribunales.

 

Otra de las posibilidades que ofrece la nueva normativa tiene que ver con la llamada “portabilidad de datos”, que permitirá a los usuarios solicitar a cualquier empresa de Internet tipo red social, extraer todos los datos que ha volcado y trasladarlos a otra compañía en la que considere, por ejemplo, que gozan de mayor protección.

Otras novedades del Reglamento son

– La creación de la figura del Delegado de Protección de Datos (Data Protection Officer).

– La obligación de realizar Análisis de Riesgos y Evaluaciones de Impacto para deteterminar el cumplimiento normativo.

-La obligación de registrar documentalmente las operaciones de tratamiento, tanto por parte de los Responsables de Fichero como por los Encargados de Tratamiento.

– Nuevas notificaciones a la Autoridad de Control: Seguridad  y autorización previa para determinados tipos de tratamiento.

– Nuevas obligaciones de información al interesado, mediante un sistema de iconos para todos los países de la UE.

– Incremento de la cuantía de las sanciones.

– Aplicación del concepto “Ventanilla Única” para que los ciudadanos interesados puedan efectuar trámites

– Establecimiento de obligaciones para nuevas categorías especiales de datos.

– Nuevos principios en relación a las obligaciones de información: transparencia y minimización.
En definitiva, el Reglamento es una pieza central de la reforma de la protección de datos en la UE y tendrá un impacto significativo y de gran alcance en general para las empresas y especialmente para las sanitarias en el contexto de una economía cada vez más basada en los datos. Así se actualizarán principios jurídicos existentes y otros que se aplicaran para afrontar los retos derivados de la globalización y los avances tecnológicos a fin de garantizar una protección efectiva del derecho fundamental a la protección de datos.