El Comité Económico y Social Europeo reivindica la figura del profesional de la privacidad.
La Asociación Profesional Española de Privacidad destaca la importancia fundamental de estos profesionales para un cumplimiento adecuado de la legislación.
Dentro de los procedimientos de consulta regulados por los Tratados la Comisión se dirigió al Comité Económico y Social Europeo (CESE) que se ha pronunciado mediante Dictamen publicado hoy en el DOCE Serie C núm. 248/123 en relación con la «Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones — Un enfoque global de la protección de los datos personales en la Unión Europea»
Debe destacarse que el CES, cuyo enfoque se centra en aspectos sociales, y por tanto incide en el ámbito de las relaciones laborales, considera fundamental la figura del responsable de protección de datos:
«1.4 La Comunicación reconoce que una de las preocupaciones recurrentes de las partes interesadas, y en particular de las empresas multinacionales, es la insuficiente armonización de las legislaciones de los Estados miembros en materia de protección de datos, a pesar de la existencia de un marco jurídico común de la UE. El CESE propone que la nueva legislación ofrezca una protección más coherente de los datos personales de los trabajadores en toda la UE, con un marco europeo que aumente la claridad y la seguridad jurídica. En este sentido el CESE acoge con particular satisfacción la idea de hacer obligatoria la designación de un responsable de la protección de datos independiente y de armonizar las normas relativas a sus tareas y competencias».
Con posterioridad se señala que:
«El CESE cree que cada Estado miembro debería establecer un organismo profesional responsable de las cualificaciones y la certificación de los responsables de la protección de datos».
Desde APEP se acoge muy favorablemente esta posición que no hace sino confirmar nuestra línea de actuación. El papel de los profesionales de la privacidad resulta esencial para garantizar un cumplimiento adecuado de las normas sobre protección de datos. Pero su tarea resulta estratégica no sólo porque exista una legislación que cumplir. Como destaca el CESE cada día crecen los procesos de gestión empresarial y administrativa para los cuales un tratamiento adecuado de la información personal es esencial. Por ello, deben encontrarse fórmulas que garanticen un asesoramiento a empresas y administraciones desde la calidad y la certificación. APEP ha apostado por ambas vías expresando su opinión a nivel europeo mediante el documento New EU Law must strengthen Data Protection Officers y promoviendo la Certification on Privacy. Por ello desde APEP expresamos nuestra satisfacción respecto de la postura manifestada por el CESE en las dos materias.
Por otra parte el CESE recuerda que la Directiva debe buscar una solución de equilibrio entre el respeto a los derechos fundamentales, y en particular el derecho a la intimidad y el derecho a la protección de datos, y la libre circulación de datos personales en territorio de la UE. En este sentido, destaca la doble preocupación del CESE por las capacidades de las tecnologías de la información para almacenar información personal y en particular aquellas en manos de la administración señalando que «es preciso prohibir que esos datos estén recogidos en una base de datos que actúe como un «gran hermano»». Al mismo tiempo se requiere prudencia al legislador que debe garantizar «la legislación que regula la actividad empresarial debe seguir siendo estable y predecible».
Además de estas cuestiones de principio deben destacarse algunas afirmaciones contenidas en el documento:
• Por lo que respecta a las personas que requieren protección, en particular los trabajadores y los consumidores, debe aplicarse la legislación sobre protección de datos de su lugar de residencia habitual.
• La referencia a los niños es demasiado superficial: es precisa una atención particular a las cuestiones de privacidad cuando afectan a los niños. El derecho al olvido podría evitar que se conserven las insensateces infantiles y las faltas adolescentes, pero es posible que este derecho no pueda ejercerse realmente. Aunque el derecho al olvido es un concepto atractivo, será difícil aplicarlo, dada la naturaleza viral de los datos que contiene Internet y de unas tecnologías que borran pero no olvidan.
• Es preciso aclarar la definición actual de datos sensibles, puesto que continúan aumentando las categorías de datos electrónicos sobre las personas. A juicio del CESE entre estos datos debe considerarse la biometría y la geolocalización. También debe ofrecerse una protección mejorada para los datos sensibles. La encriptación debería ser obligatoria para determinados datos sensibles y los responsables deberían responder de los fallos de seguridad.
• En opinión del CESE, las autoridades nacionales para la protección de datos están en general indefensas y sobrecargadas de trabajo, y es preciso reforzar su independencia. La nueva Directiva debería exigir para las autoridades nacionales el estatuto, la autoridad y los recursos precisos para llevar a cabo su tarea.
• La transparencia no resuelve necesariamente el problema de las cláusulas de contratos aplicadas unilateralmente. Es importante desarrollar normas más estrictas que protejan mejor de las condiciones abusivas.
• En general, el CESE está de acuerdo con toda medida destinada a mejorar la confidencialidad de los datos personales. La confidencialidad estaría más protegida si desde un primer momento no se recabaran tantos datos. Por tanto, el CESE insta a la Comisión a dar efectividad a la propuesta de reforzar el principio de minimización de los datos.
• El CESE acoge positivamente la intención de la Comisión de ofrecer fondos de la UE para apoyar las actividades de sensibilización y desearía que se ampliara a la cofinanciación de actividades de sensibilización llevadas a cabo por los interlocutores sociales y las organizaciones de la sociedad civil a escala europea y nacional
• Al CESE le inquieta que, en la mayoría de los casos, cuando se otorga el consentimiento en Internet no se facilita ninguna confirmación ni existen mecanismos efectivos para registrar la retirada del consentimiento. Por otra parte, la aceptación puede consistir en pinchar en un botón para aceptar páginas y páginas de condiciones, entre las que el consentimiento puede ser un elemento secundario. Lo lógico sería que el consentimiento para el control de los datos fuese un documento aparte y sencillo, para que resulte lógico, informado y específico.
• Debería estudiarse el recurso colectivo como solución en casos de fallos extremos de la protección, Debería estudiarse la posibilidad de que las organizaciones empresariales y profesionales y los sindicatos representen a particulares e interpongan recurso ante los tribunales.
• El CESE daría su apoyo decidido a iniciativas dirigidas a reducir la carga administrativa de los responsables del tratamiento
• Las PET (Privacy Enhancing Technologies) y el concepto de privacidad desde el diseño ofrecen la capacidad de eliminar la actuación discrecional de los responsables del tratamiento, que puede entrar en conflicto con las prioridades comerciales de sus respectivas organizaciones. El CESE insta a la Comisión a estudiar más a fondo y desarrollar estos instrumentos, puesto que poseen el potencial para mejorar la protección de los datos y, al mismo tiempo, acabar con los conflictos de intereses. Lo ideal sería que estos instrumentos fuesen obligatorios.
• Para evitar posibles dudas, los responsables del tratamiento deberían responder de todos los aspectos del tratamiento de los datos de que son garantes. Del mismo modo, cuando haya subcontrataciones u operaciones en otros países, en el contrato deberán especificarse claramente todas las obligaciones de confidencialidad.
• Dada la naturaleza global de Internet, es esencial que las normas y directrices sean compatibles entre continentes. Los datos personales deben tener estar protegidos más allá de las fronteras. El Comité señala que ya existen unas directrices de la OCDE, además del Convenio 108 del Consejo de Europa. Este Convenio está siendo objeto de una revisión: la Comisión debe asegurarse de que la nueva Directiva sea compatible con él.