Pintos & Salgado

Artículo escrito por Víctor Salgado (@abonauta)
Abogado-Socio del bufete Pintos & Salgado
www.pintos-salgado.com

En febrero publicamos la primera parte del artículo, donde se comentó el nuevo Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. En esta primera publicación nos centramos en:

  • La Responsabilidad proactiva o “accountability”
  • El Consentimiento e información reforzados
  • Los Nuevos derechos del interesado
  • Los Nuevos principios de la protección de datos y obligación de notificación del “data breach”

En esta segunda parte nos centraremos en los siguientes puntos:

Herramientas de control interno reforzadas: Evaluación de impacto, DPO y “privacy by design”

Como comentábamos anteriormente, el nuevo Reglamento supone un cambio de paradigma en lo que suponen las obligaciones y el control de la protección de datos personales.

Así, se establece la obligación general de adoptar una política de “privacy by design” y de “privacy by default” en nuestra organización, de tal modo que, cada vez que vayamos a diseñar un nuevo producto, servicio o acción, debemos pensar en la privacidad de los usuarios desde el mismo principio, facilitando que, por defecto, sus datos estén debidamente protegidos sin que el interesado deba de hacer nada especial para ello.

Asimismo, cuando dichos nuevos proyectos vayan a implicar un riesgo especial para los derechos de los interesados, en supuestos específicos, el Reglamento obligará a realizar una Evaluación de impacto previa, en línea a lo exigido en otras normativas como la medioambiental o la de prevención de riesgos laborales, debiendo, en casos extremos, solicitar la autorización previa a la Autoridad de Control si el riesgo se concluye importante.

Paralelamente, surge la nueva figura del Delegado de Protección de Datos (conocido como “DPO” a nivel internacional), el cual deberá existir siempre en las AAPP, además de muchos otros ámbitos, y que funcionará como una suerte de asesor-controlador interno sobre el cumplimiento de la normativa de protección de datos, a la par que punto de contacto y garante para el interesado e intermediador con la Autoridad de Control. Dicho DPO podrá ser interno, integrado en la plantilla, o externo, como profesional freelance o asesor contratado.

Control externo y mecanismos de verificación de cumplimiento

Por su parte, el Reglamento mantiene las llamadas Autoridades de Control nacionales, como la Agencia Española de Protección de Datos en nuestro país, como garantes independientes del cumplimiento de esta normativa y coordinadas ahora bajo el paraguas del llamado “Comité” europeo que facilita su coordinación y coherencia a nivel internacional.

Dichas Autoridades conservan importantes competencias como las de inspección (actual auditoría) y, como no, las de sanción a presuntos infractores. Con relación a este último punto, el nuevo Reglamento sobresale por su potencial dureza en las multas administrativas las cuales, además de deber ser “efectivas, proporcionadas y disuasorias”, podrán alcanzar los 10 millones de euros o el 2% del volumen de facturación o, en un nivel superior, hasta los 20 millones de euros o el 4% del volumen total de negocio (la cantidad que resulte mayor), poniendo en el ojo del huracán a las grandes compañías de telecomunicaciones y/o de Internet que no se veían muy afectadas potencialmente por el cuadro de sanciones anterior, aunque en el caso de España llegaran hasta los 600.000 euros potenciales.

Como mecanismos de verificación del cumplimiento, el nuevo Reglamento nos da la opción de confeccionar o adherirnos a códigos tipo específicos y/o sectoriales, así como de acudir a procesos de certificación “ad hoc” para demostrar tanto nuestra buena fe como nuestro grado de cumplimiento de la normativa en materia de protección de datos, sin necesidad de elaboradas justificaciones y complicadas pruebas internas de verificación.

Transferencias internacionales de datos

Mención aparte merece la prolija regulación de las transferencias internacionales de datos que, como en la normativa anterior, sólo se permiten en casos contados cuando se garantice un nivel de protección de datos equivalente en el país de destino que el exigido en el territorio de la UE, admitiéndose contadas excepciones como las autorizaciones especiales, la adopción de normas corporativas vinculantes o el consentimiento explícito y consciente del interesado.

Sin duda, esta normativa está de máxima actualidad después de haberse anulado por Sentencia del Tribunal de Justicia de la Unión Europea (TJUE) en octubre de 2015 el llamado “Safe Harbour” o “Puerto Seguro” acordado entre la Comisión Europea y los EEUU y que permitían la transferencia de innumerables datos de europeos a las grandes compañías americanas con la mera formalización de su adhesión al mismo. Actualmente, el reciente “Privacy Shield” o “Escudo de Privacidad” que lo sustituye y que entró en vigor en agosto pasado, va a ser mirado con lupa tanto por las Autoridades de Control como por el propio TJUE a la luz del nuevo Reglamente en los próximos años.

Regulación nacional y sectorial

Aunque, como comentamos anteriormente, no sea necesario adoptar legislación interna para que el Reglamento sea directamente aplicable a partir del próximo 25 de mayo de 2018, otra cuestión es que no sea muy recomendable hacerlo, para garantizar una mayor coherencia y claridad de cumplimiento, así como, por otro lado, regular ámbitos sectoriales específicos que el propio Reglamento deja en manos de los Estados para regular “ad hoc” y fijar excepciones adicionales. Dichos ámbitos son los siguientes: Libertad de Expresión y de información, acceso a documentos oficiales, Número nacional de identificación, ámbito laboral, archivo en interés público, investigación científica o histórica y fines estadísticos, obligaciones de secreto y regulación de iglesias y asociaciones religiosas. Todos estos ámbitos se podrán desarrollar normativamente por los Estados Miembros, con obligación de notificarlo a la Comisión Europea, antes del 25 de mayo de 2018.

Todo un reto por delante

Como hemos visto, tenemos un gran desafío por delante tanto para conocer como para desarrollar e integrar esta nueva normativa en nuestras organizaciones de cara a la entrada en aplicación del Reglamento el 25 de mayo de 2018.

La buena noticia es que aún tenemos tiempo, pero no debemos dormirnos en los laureles pues hay un enorme trabajo por delante que hacer para adaptarnos a este auténtico cambio de paradigma en la protección de este derecho fundamental que hemos venido en llamar privacidad.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *