Jornada sobre la propuesta de Reglamento General de Protección de datos personales, en ICAS 2013-10-24
Jornada sobre “La propuesta de Reglamento General de Protección de datos personales: una respuesta a los nuevos fenómenos en la sociedad de la información” en el Colegio de Abogados de Sevilla.
El pasado 24 de Octubre, la Asociación Profesional de Privacidad (APEP) en colaboración con la Comisión TIC del Ilustre Colegio de Abogados de Sevilla se celebró una Jornada de “La propuesta de Reglamento General de Protección de datos personales: una respuesta a los nuevos fenómenos en la sociedad de la información”, de la mano del Presidente de APEP, D. Ricard Martínez Martínez.
Tras una reflexión a modo de presentación acerca del largo camino evolutivo que ha experimentado la privacidad a través de las distintas normas que han ido enmarcando el contenido de la misma (desde ley de protección de datos Land de Hesse de 1970, la datalag de Suecia en el 74, pasando por la Privacy Act americana –aunque pudiera parecer increíble tras las últimas noticias relativas a la NSA- hasta llegar a la Constitución Española del 78), en donde se armonizaba el valor privacidad frente al uso que podrían hacer los distintos Estados en relación a la intimidad de sus ciudadanos. Todo ello hasta el momento en que las empresas tuvieron acceso igualmente a la informática y con dicho acceso la posibilidad de vulnerar la intimidad de los ciudadanos igualmente.
Por todo ello, surge a día de hoy la cuestión de si estamos suficientemente preparados para enfrentarnos a todos los retos que estamos viviendo en el día a día gracias a la informática, especialmente los relacionados con el análisis comportamental que permiten los diferentes fenómenos como las Redes Sociales, el Big Data, la geolocalización, el RFID o el uso de la domótica.
Es por ello que todo esta evolución nos sirve para darnos cuenta de dónde venimos en el aspecto regulatorio de la privacidad, para focalizarnos en el hecho de que en España queda bastante camino por recorrer más allá de la visibilidad que puede proporcionar el disponer de varios ficheros registrados, lo cual supone un planteamiento reactivo que queda a disposición de una visibilidad pretendida a expensas de posibles sanciones como amenaza en caso de no haber procedido al registro de tales ficheros.
Una vez consolidadas las bases del origen, el ponente expuso las bases tangenciales de la Propuesta de Reglamento de Protección de Datos, es decir, el “a dónde vamos” de la privacidad.
En primer lugar, respecto del ámbito de aplicación recogido en la futura regulación, señaló que la nueva realidad de internet obligaba a definir nuevos criterios de conexión. Tradicionalmente se acudía al principio de aplicación de las reglas del lugar del establecimiento “principal” del responsable del Fichero, ya bien, porque en ese lugar el responsable adopte las decisiones principales en cuanto a los fines, medios y condiciones del tratamiento, o bien por el empleo de medios en territorio europeo. Hoy, es necesario atender, como ya ocurre en el ámbito del comercio electrónico, a determinar si los tratamientos tienen por objeto captar datos de ciudadanos de la UE, aunque el responsable no se halle en su territorio.
En materia de consentimiento, el ponente señaló que se van a consolidar a nivel europeo los principios que ya rigen en la normativa española, por lo que para los españoles no va a suponer un esfuerzo demasiado considerable, enfatizando que se va a consolidar el opt-in, no habría cabida para el consentimiento tácito y la declaración del consentimiento dependería de obtener por parte del responsable del fichero una clara acción afirmativa, acción que tal responsable tiene que demostrar en caso de duda. Respecto a los menores, la edad para prestar el consentimiento se consolidaría en los 13 años en vez de en los 14 actuales de la norma española.
El ponente aclaró la posición con respecto al controvertido “derecho al olvido”, dejando de configurar un derecho autónomo y consolidándose como lo que siempre ha sido: una manifestación del derecho de cancelación en determinados supuestos: el responsable deberá de garantizar tal derecho de cancelación al titular de los datos cuando sea procedente, así como garantizar su no diseminación y el borrado de los datos pertinentes, o si procede bloquear la información en los supuestos en que se cuestione el principio de calidad o sea necesario proteger intereses equivalentes. La denegación por parte del responsable del fichero de ejercer tal derecho indicará la posibilidad de acudir a una autoridad que aporte una solución al supuesto conflicto. Igualmente el responsable ha de comunicar tal cancelación a los cesionarios de forma obligatoria.
Entre las nuevas obligaciones que recoge la propuesta de Reglamento se encuentran:
– Accountability: Para cada operación de tratamiento, el responsable (y el encargado en caso de que exista).garantizará y demostrará el cumplimiento de las disposiciones del Reglamento de Protección de datos en todo momento.
– Protección de Datos por diseño y por defecto: Implementar medidas y procedimientos técnicos y organizativos apropiados para garantizar por defecto que se solicitan los datos mínimamente necesarios para el tratamiento correspondiente y por el tiempo estrictamente necesario y no más, que se implantan medidas frente a la diseminación de los datos y que por defecto se garantiza que los datos no son accesibles a un número indeterminado de personas.
– Respecto a la documentación necesaria: desparece la obligación de inscribir los ficheros, se hacen necesarios no sólo los datos de contacto de los responsables del fichero y/o tratamiento sino también de los datos de contacto del Delegado de Protección de Datos si lo hubiera, finalidades del tratamiento, categorías de interesados, destinatarios de los datos, transferencias internacionales y garantías en las mismas, plazos para la supresión en las diferentes categorías de datos y deber de cooperación con la Agencia de Protección de datos (poniendo a disposición de la misma las medidas de seguridad o las evaluaciones de impacto). Todo ello con las excepciones de personas físicas que traten los datos sin interés comercial o entidades con menos de 250 trabajadores y que traten datos como actividad accesoria a su actividad principal.
– Evaluaciones de impacto: Cuando las operaciones de tratamiento entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines (perfiles, datos especialmente protegidos, menores, videovigilancia o aquellos tratamientos que necesiten la consulta correspondiente a la autoridad de control). Se recogerán las medidas necesarias para hacer frente a los posibles riesgos así como una evaluación de los derechos de los interesados, medidas de seguridad, garantías y mecanismos para hacer frente a tales riesgos.
– Delegado de Protección de Datos: será necesario nombrar a un DPO cuando el tratamiento sea llevado a cabo por una autoridad u organismo públicos; en caso de empresas de más de 250 trabajadores o las actividades de tratamiento requieran de una revisión periódica. La figura del DPO responderá a un perfil especializado en protección de datos, tanto en la legislación como en prácticas referidas a la misma, gozando de independencia y de un mandato mínimo de dos años, evitando el tratamiento que genere conflicto de intereses. El nombramiento de un DPO por parte de la empresa no será un mero nombramiento formal, sino que consistirá en un compromiso de la dirección para implantar la cultura de la protección de datos en la empresa y el valor privacidad en la cultura de la organización. No debe de ser un simple asesor jurídico o un informático, sino un perfil específico que aporte ese valor específico en el tratamiento de los datos por parte de la entidad, tanto en el diseño de dicho tratamiento como en su finalización.
– Régimen sancionador: aparte de contemplar la figura del apercibimiento, la principal novedad radica en la posibilidad de sancionar a las entidades públicas, así como el incremento de las sanciones a tramos de hasta 250.000 euros – 0,5% del volumen de negocio, 500.000 euros – 1% del volumen de negocio, 1.000.000 de euros o 2% del volumen de negocio.
Tras mencionar las exigencias expuestas, el ponente planteó una reflexión acerca de si realmente estábamos mejorando la implantación de la cultura de la protección de datos con supuestos tan significativos como la desaparición del deber de inscripción de los ficheros o la exigencia de un DPO únicamente para entidades con un número elevado de trabajadores.
Como Conclusión, el ponente señaló la necesidad de implantar en España metodologías relativas a la LOPD (como auditorías o evaluaciones de impacto) y la necesidad de incentivar la existencia de un DPO de calidad, mediante certificaciones y formación cualitativa, mediante la existencia de incentivos para la utilización del mismo por parte de las entidades que traten datos personales y siempre de forma flexible.
El acto finalizó con un interesante debate en el que el público asistente manifestó sus cuestiones respecto de la futura regulación. Asimismo, pudimos celebrar una reunión informal posterior en el que los asociados y asociadas de APEP asistentes al acto intercambiamos impresiones y compartimos inquietudes sobre el momento actual de la protección de datos.
Jesús Fernández Acevedo