La protección de la vida privada en un mundo conectado: un marco europeo para la protección de datos
Crónica de Carme Sánchez Ors.
El pasado 9 de febrero en el marco de la Jornada sobre el marco europeo de la protección de datos personales organizadas por la APDCAT tuvimos la oportunidad de tener una primera aproximación a la propuesta de Reglamento Comunitario.
En primer lugar, Manel Camós, Director de la Representación de la Comisión Europea en Barcelona, subrayó la necesidad de actualización de la normas a las TIC y a las necesidades de las empresas en el mercado único pero, obviamente, garantizando el derecho a la privacidad.
Por su parte, Ester Mitjans, Directora de la APDCAT, subrayó lo dilatado del proceso de revisión, dos años, y el hecho de tener que recurrir a una directiva para el ámbito policial al tratarse de una competencia en gran medida reservada a los Estados justificaría esta elección.
En cualquier caso, señaló la necesidad de hacer frente a nuevos riesgos derivados de los tratamientos en el marco de las tecnologías de la información y de las telecomunicaciones. En su opinión, la propuesta posee ciertas notas distintivas:
? La aplicación directa a todos los Estados miembros era cuestión sencilla y se ha optado por un Reglamento, que dota de uniformidad, pero resta competencia a las autoridades nacionales.
? La propuesta cambia distintos aspectos eliminando aquellos que se han demostrado ineficaces e incluyendo mejoras.
? El consentimiento continúa siendo la clave de bóveda de la regulación, incluyendo el de los menores a los 13 años, -en la línea de la ley norteamericana COPPA-, y se excluye cuando existen relaciones de desequilibrio (ej. laborales). Desde APEP queremos recordar que ha sido una preocupación constante en los dictámenes del Grupo del artículo 29 el que los tratamientos en el entorno laboral no se legitimaran únicamente ni de forma primigenia en el consentimiento precisamente por la falta de capacidad, en muchas ocasiones, de los trabajadores de otorgar un consentimiento “libre”.
? Se mantiene la conocida cláusula de interés legítimo y el balance de intereses consiguiente.
? Se refuerzan los derechos ARCO y se suman nuevos conceptos vinculados a nuevas realidades derivadas del uso de Internet la portabilidad y el derecho al olvido.
? Como ya venía ocurriendo, la regulación europea no se centra en ficheros sino en tratamientos. No se prevé ni el registro de ficheros ni creación de los mismos. Desde APEP debemos señalar que como contrapartida se establecen obligaciones de documentación que constituyen funciones-obligaciones del oficial de protección de datos (DPO).
? Se potencian mecanismos prevención. En este campo, el papel del DPO será fundamental en las evaluaciones de impacto de riesgo de privacidad y en la incorporación en los procesos de los principios de “privacy by design” y “privacy by default”. Asimismo, existen referencias a certificados y sellos de calidad, códigos de conducta, etc. En este sentido, desde APEP pensamos que en el contexto del futuro Reglamento la certificación de conocimientos profesionales, como la que proporciona el Certificado ACP de APEP, será un elemento estratégico para la acreditación de competencias y capacidades y para la promoción profesional.
? Se refuerza el valor seguridad, pero trasladando su centro de gravedad del tipo de datos a la naturaleza de los riesgos detectados y se fija la obligación de notificar quiebras de seguridad.
? Se refuerza la figura de las autoridades de control, su independencia, y los mecanismos de cooperación y asistencia mutua.
? El nuevo régimen sancionador europeo comporta un aumento de los importes fijando mecanismos de modulación propios de las sanciones de las normas anti-trust como el volumen facturación.
Y, en ese contexto, ¿cuál será el papel de la legislación española? Resolver supuestos de conflicto cuando afecten a supuestos específicos regidos por normas nacionales como la libertad de expresión.
En tercer lugar, José Manuel de Frutos (Dirección general de Justicia de la Comisión Europea), tras un breve repaso al proceso de consultas y a la situación actual, destacó que la transposición de la Directiva obligó a tener 27 leyes nacionales. Estas presentan asimetrías y para los operadores sujetos a más de una legislación nacional comportan inseguridad jurídica, unos costes de 2.300 millones de euros anuales para las empresas -derivados de trámites adicionales- y serios problemas de competitividad.
Por ello, garantizando el derecho fundamental a la protección de datos era necesario garantizar reglas uniformes frente al mercado exterior de la protección de datos reduciendo la fractura entre estados miembros y simplificando el marco normativo. Ello debería facilitar los flujos internacionales de datos y garantizar una protección adecuada.
Por ello, el objetivo primordial del nuevo reglamento es garantizar una regulación uniforme y, al igual que la Directiva, proteger los derechos fundamentales y garantizar la libre circulación de datos en la UE. De ahí que el ponente justificase el acudir a este tipo de norma por cuanto unifica, reduce la fragmentación normativa, incrementa la certeza jurídica y mejora el funcionamiento del mercado interior.
Entre los principales cambios se señalaron los siguientes:
? Asegurar a los ciudadanos el control de sus datos.
? Mejorar la información, más y más clara a los ciudadanos sobre el tratamiento de sus datos.
? Garantizar un consentimiento libre, informado y explicito (cuando sea la base del tratamiento.
? Facilitar el ejercicio de derechos (ARCO).
? Regular el derecho al olvido y a la portabilidad.
? Generalizar la notificación de fallos de seguridad.
? Definir reglas para el mercado interno digital.
? Asegurar la reducción de la fragmentación normativa y simplificar formalidades, con un ahorro estimado en 2.300 millones de € anuales en cargas administrativas y costos innecesarios. Sólo la supresión de la notificación de ficheros supondría un ahorro de 130 millones de € al año.
? Establecer el sometimiento a una autoridad de control única de referencia para el responsable o el encargado (“ONE-STOP-SHOP ”).
Desde APEP hacemos ahora notar que tanto la CNIL como el Parlamento francés se han opuesto de manera contundente a esta cuestión por favorecer el “forum shopping” a las autoridades de control más permisivas. Es llamativo que la AEPD o demás autoridades de control autonómicas no se hayan pronunciado sobre esta cuestión aún (http://www.cnil.fr/la-cnil/actualite/article/article/projet-de-reglement-europeen-la-cnil-salue-lengagement-du-parlement-francais/)
? Mejorar el sistema de supervisión y coordinación de las instituciones.
? Mantener las autoridades de control como entidades totalmente independientes, con recursos suficientes, y con poderes de intervención y sanción efectivas (enforcement).
? Garantizar una cooperación más eficaz y rápida de las autoridades, fijar reglas de reconocimiento mutuo de las decisiones, y mecanismos de cooperación en investigaciones e inspecciones.
? Fijar un mecanismo de coherencia a nivel UE, que garantice que las decisiones de una autoridad que puedan afectar a varios Estados miembros (o ciudadanos de varios Estados) sean discutidos a nivel UE para que tomen en cuenta las opiniones de las demás autoridades y sean compatibles con el Derecho de la UE.
? Se propone al conversión del Grupo de trabajo del art.29 en un Comité Europeo de Protección de datos independiente, sin participación de la Comisión que podrá solicitar dictámenes.
? Se pretende mejorar la regulación de las Transferencias Internacionales de Datos (TID) para hacer frente a los retos de la globalización (incluyendo las inherentes a la prestación de servicios de cloud computing), facilitándolas pero asegurando la protección de los derechos de los cuidadnos (continuidad de la protección). Para ello se requeriría: 1) simplificar las decisiones de adecuación no sólo de países y territorios terceros sino también de sectores de tratamiento; 2) criterios más precisos para la “auto-evaluación” de adecuación que ahora se permite en ciertos supuestos de transferencias puntuales; 3) facilitar/simplificar los instrumentos utilizados para transferencias cuando el país tercero no ofrece un nivel adecuado de protección, siendo positivo comprobar que en España ya no será necesaria la autorización de la AEPD cuando se utilicen cláusulas contractuales tipo; 4) facilitar la adopción de normas corporativas vinculantes (BCR) para cesiones en el seno de un grupo y su autorización; y 5) establecer los cauces para desarrollar negociaciones con países terceros y organismos internacionales para promover estándares de protección interoperables y con un alto nivel de protección.
En el turno de intervenciones los asistentes plantearon sus dudas respecto de la regulación, suscitándose un amplio debate al respecto.