En la reunión extraordinaria del 17 de diciembre de la Comisión del Parlamento Europeo sobre Libertades Civiles, Justicia y Asuntos de Interior (LIBE), se dio un firme respaldo a la reforma de protección de datos, cuyos textos son fruto del acuerdo político a tres bandas alcanzado el pasado 15 de diciembre entre la Comisión, el Parlamento y el Consejo para llevar a cabo dicha reforma legislativa.
La nota de prensa emitida por LIBE, contiene un práctico resumen [I].
Ello constituye el paso previo a la adopción formal, por parte del Parlamento y el Consejo, del texto final de la reforma a principios del próximo 2016 que acabará con la antigua Directiva de 1995.
La reforma, impulsada por la Comisión desde el año 2012, ha sufrido muy diversas vicisitudes hasta alcanzar el consenso político en las instituciones europeas, pues, no en vano, se trata de una cuestión que afecta a derechos fundamentales de los ciudadanos europeos, a la competitividad de la UE y al llamado mercado único digital.
De acuerdo con las cifras que maneja la Comisión, al menos el 74% de los ciudadanos consideran que revelar datos personales forma parte de su vida diaria en el contexto digital en el que vivimos. Sin embargo, solo un 26% considera que tiene control sobre qué se hace con sus datos personales. Por otro lado hasta un 43% considera que en alguna ocasión ha tenido que revelar más datos personales de los que consideraba necesarios para el fin que se perseguía.
Protección de datos y Safe Harbour
Los recientes pronunciamientos del Tribunal de Justicia de la Unión Europa en el asunto Schrems v. Data Protection Authority en Irlanda, sobre los principios que sustentan el reconocimiento por parte de la Comisión de acuerdo Safe Harbour entre US y la UE, habrán contribuido sin duda a incrementar el número de ciudadanos europeos (y empresas) preocupados por la seguridad jurídica de cesiones y transferencias internacionales de datos.
Por otro lado, los recientes atentados terroristas en Europa y la necesidad de dotar a las instituciones de mejores mecanismos de control que refuercen la seguridad internacional, suponen un importante contrapunto en materia de respeto y protección de la privacidad.
Desde esa perspectiva de protección e igualdad de derechos en la UE, poniendo fin a la proliferación de normas nacionales y disparidad de criterios de las autoridades y reguladores nacionales, pero también con el ánimo de facilitar trámites y dar seguridad jurídica a las empresas y multinacionales que operan los estados miembro, la nueva regulación constituye un paquete único basado en dos instrumentos: (i) el nuevo Reglamento sobre protección de datos, y (ii) la nueva Directiva sobre protección de datos a efectos judiciales y policiales.
La reforma de la protección de datos refuerza los derechos individuales
Sería prolijo detallar todos los cambios que entraña esta reforma -que finalmente se pondrá en marcha en enero de 2016 y que será aplicable a partir de enero de 2018-, pero en términos generales puede decirse que las nuevas normas refuerzan los derechos existentes de los individuos confiriendo un mayor control sobre nuestros datos personales, a la par que permitirá una más eficaz colaboración judicial y policial –respetando los derechos individuales- entre autoridades de los estados miembro.
Tal y como recoge la nota de prensa de la Comisión del pasado día 15 de diciembre [II], las principales consecuencias de las nuevas normas serían:
1.- El refuerzo de los derechos individuales:
- Permitiendo a los ciudadanos derecho a la portabilidad de los datos (transferir sus propios datos de un sistema de proceso a otro sin que quien controla los datos pueda impedirlo), un más fácil acceso a los datos propios sometidos al control de terceros y la eliminación de vínculos y datos efectivas (“derecho al olvido”).
- Obligando a las empresas a notificar violaciones de la seguridad sobre datos personales.
- Forzandoa las empresas a realizar estudios previos de impacto en la privacidad cuando se trate implantar nuevas actividades que constituyan riesgo para la protección de datos.
- Obligando a las empresas, bajo el principio de accountability a demostrar el “cumplimiento”, incluyendo en su caso la adopción de políticas internas sobre tratamiento de datos y privacidad y concretos mecanismos de control que aseguren dicho compliance.
- Imponiendo la obligación de contar con un Oficial de Protección de Datos en grandes empresas o en aquellas que por su contexto y actividad lo requieran en virtud del principio de “enfoque en el riesgo”.
- Obligando a las empresas no europeas que ofrezcan servicios a regirse por las normas europeas y en ciertos casos a designar representantes en la UE
Oficial de Protección de Datos
2.- La simplificación de trámites y la seguridad jurídica para las empresas y tratadores de datos basada en:
- La unificación de las normas europeas, mediante el propio Reglamento, que acabará con la pluralidad de normas y de criterios nacionales procedentes de la transposición de la Directiva de 1995.
- La existencia de una única autoridad supervisora (one stop-shop o ventanilla única) residenciada en el regulador del estado miembro donde la empresa tenga su principal sede en los casos de compañías establecidas en diferentes estados miembro.
- La eliminación del sistema de notificaciones a las autoridades, rebajando el coste de las formalidades.
- Facilitar las transferencias internacionales, potenciando los llamados Binding Corporate Rules.
- Permitiendo que las pequeñas y medianas empresas no necesiten realizar evaluaciones de impacto o mantener un Oficial de Protección de Datos si su riesgo sobre privacidad no lo requiere.
- En suma, nuevos tiempos de cambio se avecinan que, sin lugar a dudas, nos obligarán a todos a revisar nuestra actitud frente a cuestiones relacionadas con la privacidad y el control sobre nuestros datos e información privada.