Año nuevo, Reglamento de Protección de Datos nuevo

Cumplidos ya cuatro años desde que la Comisión Europea presentase la propuesta de nuevo Reglamento, el Parlamento y el Consejo de la Unión Europea llegaron por fin a un acuerdo sobre el texto antes de Navidades y todo parece indicar que la aprobación definitiva del Reglamento verá la luz antes de la primavera del 2016.

Entre los aspectos más novedosos del Reglamento destacan los conceptos de “privacy by design” (privacidad en el diseño) y “privacy by default” (privacidad por defecto), ambos configurados como principios de naturaleza preventiva. La privacidad en el diseño conlleva la necesidad de prevenir y de anticipar cualquier invasión de la privacidad en el momento de la concepción de un producto o servicio. En efecto, cuando se diseñe, por ejemplo, una aplicación informática, se deberán tener en cuenta ab initio cuestiones tales como el deber de información / consentimiento al tratamiento de datos de carácter personal o las preceptivas medidas de seguridad. De hecho, siendo prácticos, resultaría más complicado y costoso adecuar la aplicación a posteriori por lo que el cumplimiento de este nuevo principio va en beneficio de aquellos que traten datos de carácter personal. Por otra parte, la privacidad por defecto obliga a proteger de manera predeterminada los datos de carácter personal de los interesados sin que estos tengan que realizar ninguna acción para que su privacidad se vea protegida. Así por ejemplo, cuando un usuario cree un perfil en una red social, la configuración de privacidad de dicho perfil será, por defecto, la máxima.

Las evaluaciones de impacto en materia de protección de datos o “PIAs” (“privacy impact assessment”), muy ligadas a la privacidad en el diseño, son otras de las figuras estrella del Reglamento. Se traducen en la implantación de procedimientos y mecanismos que, con carácter previo al inicio de un tratamiento de datos, impongan analizar sus riesgos, prever medidas correctoras, e implantar soluciones que eviten ulteriores impactos negativos en la privacidad de las personas. La Agencia Española de Protección de Datos ya publicó en 2014 una “Guía para una Evaluación de Impacto en la Protección de Datos Personales” con recomendaciones para llevar a cabo este tipo de análisis, anticipando así en España las bases de esta figura que ahora con el Reglamento será de obligado cumplimiento.

También se prevé la creación de un sistema de ventanilla única. Por una parte, ello permitirá a una empresa con filiales en varios Estados miembros tratar únicamente con la autoridad del Estado de su establecimiento principal, con independencia del país donde hubiera tenido origen la reclamación. Por otra parte, los interesados podrán plantear sus denuncias ante la autoridad de protección de datos del Estado donde tengan su residencia habitual, de su lugar de trabajo o del lugar en que se hubiera cometido la presunta infracción.

Otra de las cuestiones destacables de la propuesta de Reglamento es el tratamiento concreto de la figura del “consentimiento”. Dicho consentimiento viene definido como toda manifestación de voluntad, libre, específica, informada que conlleve una inequívoca aceptación del deseo del usuario, ya sea mediante una declaración o bien a través de una clara acción afirmativa, del tratamiento concreto que se lleve a cabo con sus datos. Dentro de los supuestos de clara acción afirmativa, se prevé la posibilidad de marcar casillas o bien la de libremente elegir ciertas configuraciones técnicas, ahora bien, los silencios e inactividad como base de obtención del consentimiento, así como las casillas pre marcadas, no serán considerados vías de obtención del consentimiento válidas en derecho.

Es necesario también hacer mención a la famosa figura del “DPO” (“data protection officer”) o delegado de protección de datos que ha sido altamente debatida en todo el proceso regulatorio. En determinados países de la Unión Europea, como Alemania o Hungría dicha figura es a día de hoy obligatoria, en otros, países como Holanda o Austria, su nombramiento es opcional y en otros, como en España no existe tal obligación. Al final, el Reglamento General de Protección de Datos ha optado por una solución intermedia, que es la obligatoriedad en la designación de dicha figura pero sólo para determinados casos concretos, como: (i) Administraciones Públicas, (ii) entidades cuya principal actividad lleve aparejada la monitorización de datos personales o el tratamiento de datos personales a gran escala, y (iii) entidades cuya principal actividad lleve aparejado el tratamiento de datos especialmente protegidos a gran escala, así como de antecedentes penales.  En cualquier caso, el propio Reglamento aboga por esta figura al asignarle funciones y mencionar sus atribuciones en muchos de sus artículos. Asimismo, la Agencia Española de Protección de Datos también promueve la implantación de estos perfiles en las compañías, como se desprende de las funciones y canales de comunicación ya asignados en su Plan Estratégico para los años 2015-2019.

Por último, y no menos importante por su cuantía, mencionaremos, el régimen concreto de sanciones que dispone el Reglamento, que impone multas que pueden llegar hasta los 20.000.000 euros, o en caso de una empresa, de hasta el 4% del total de su volumen de negocios mundial anual del ejercicio económico anterior.

Ya se va viendo la luz al final del túnel, queda poco para su aprobación definitiva, por lo que es más que recomendable que todas las compañías empiecen a conocer las nuevas obligaciones que vienen en la materia.