Luz verde del Parlamento Europeo a una normativa de protección de datos única para los Estados miembros 

Tras cuatro años de trabajo el Parlamento Europeo ha dado su visto bueno el 14 de abril al Reglamento general de protección de datos ("Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos”).  

De forma coetánea y a la luz de los recientes atentados terroristas, el pleno del Parlamento también ha dado luz verde a la Directiva sobre protección de datos personales tratados con fines judiciales y policiales ("Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y la libre circulación de dichos datos”), y a la creación de un registro europeo de datos personales de pasajeros de transporte aéreo (Passenger Number RegistryPNR), que habilitará a las autoridades nacionales para obtener información acerca de las rutas de pasajeros a países terceros con llegada o salida desde un Estado miembro.  

El Reglamento entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea y será directamente aplicable en todos los Estados Miembros dos años después. La principal consecuencia será la derogación de la Directiva 95/46/CE, un instrumento jurídico que, si bien supuso un hito en la historia de la protección de datos hace más de veinte años, ha devenido insuficiente tras la titánica transformación de la era digital y la consiguiente utilización masiva de datos personales.  

No obstante, parece que no habrá un desplazamiento integral de la normativa nacional, puesto que el Reglamento reconoce cierto margen de maniobra a los Estados miembros.  

El Reglamento aportará un mayor control de los datos personales, entre cuyas novedades cabe destacar las siguientes:  

  • Efectos extraterritoriales: Su ámbito de aplicación se extiende a los responsables establecidos fuera de la Unión en aquellos supuestos en los que ofrezcan bienes o servicios a interesados sitos en el territorio de la Unión Europea, o cuando sus actividades de tratamiento estén relacionadas con el control de sus comportamientos en territorio de la Unión Europea. 
  • Nuevos derechos de los interesados: Se prevé una protección reforzada del derecho a la supresión de los datos personales del interesado (el ahora denominado derecho al olvido, que ya había sido reconocido por la jurisprudencia europea), que permitirá que, salvo que existan motivos legítimos, tales datos sean suprimidos. No obstante, la aplicación del derecho al olvido deberá ponderarse teniendo en cuenta el derecho a la libertad de expresión e información. Adicionalmente, se recoge expresamente el derecho a la portabilidad de los datos, en virtud del cual todo interesado tendrá derecho a solicitar sus datos personales al responsable del tratamiento y éste estará obligado a facilitárselos en un formato estructurado, de uso habitual y de lectura mecánica, de modo que permita al interesado disponer de ellos y, en su caso, transmitirlos a otro responsable del tratamiento.
  • Responsables del tratamiento: Se introducen como gran novedad las obligaciones de responsabilidad proactiva (accountability) en virtud de las cuales los responsables deberán demostrar que cumplen con el Reglamento. Dichas obligaciones incluyen, entre otras medidas, la adopción y aplicación de políticas de protección de datos teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como la probabilidad y la gravedad del riesgo para los derechos y libertades de las personas físicas; la adhesión a códigos de conducta o mecanismos de certificación, como medio para acreditar el cumplimiento de las obligaciones que establece el Reglamento. En fin, se exige que la protección de datos se tenga en cuenta desde el diseño del producto o servicio en cualquier proceso de negocio que conlleve el tratamiento de datos personales (privacy by desing), y se establezcan por defecto medidas técnicas y organizativas adecuadas para la actividad de tratamiento que vayan a desarrollar, encaminadas a minimizar los datos que necesariamente se deben recopilar y el periodo de su conservación (privacy by default).  
  • Supresión de registros: Se procede a la supresión de los registros de ficheros. Así, ese trámite administrativo se sustituirá por un registro propio de las actividades del tratamiento, similar al actual documento de seguridad, que deberá mantenerse actualizado, conforme a lo establecido en la norma, por las empresas responsables y encargadas del tratamiento que cuenten con, al menos, 250 empleados.  
  • Encargado del tratamiento: Se añaden obligaciones de responsabilidad proactiva a los encargados del tratamiento, junto con otras exigibles a los responsables. Asimismo, el contrato de acceso a datos por cuenta de terceros, que venía suscribiéndose entre encargados y responsables, de acuerdo con el artículo 12 de nuestra actual Ley Orgánica de Protección de Datos, se convierte en un contrato más detallado, incluyendo, entre otras, la obligación de poner a disposición del responsable información que acredite el cumplimiento de sus obligaciones como encargado. 
  • Evaluación de impacto (privacy impact assesment) y obligación de consulta previa: El Reglamento obligará a los responsables a hacer esta evaluación en aquellos tratamientos donde pueda existir un alto grado de riesgo para los derechos y libertades de las personas físicas como, por ejemplo, en tratamientos de datos a gran escala (big data). Si dicha evaluación arroja un resultado de alto riesgo, será preceptiva una consulta previa a la autoridad de control competente que deberá manifestar si el tratamiento infringe el Reglamento. 
  • Delegado de protección de datos, DPD (data protection officer): Se introduce una nueva figura, el DPD, quien debe velar por la observancia del Reglamento y asesorar en todas las cuestiones relativas a la protección de datos personales, lo que incluirá el asesoramiento al responsable o al encargado del tratamiento y también la cooperación con la autoridad de control.  Su nombramiento será obligatorio, tanto para responsables como para encargados del tratamiento, en aquellos supuestos en los que el tratamiento se realice por un ente público, las actividades principales consistan en tratamientos de datos conocidos como big data, relativos a la observación habitual y sistémica de interesados a gran escala, así como en los supuestos en los que tales tratamientos masivos se refieran a categorías especiales de datos, o datos sobre infracciones penales. El papel del DPD, que también podrá ser adoptado voluntariamente en los casos en que legalmente no exista la obligación, podrá ser desempeñado por personal in-house de la organización o por un tercero, siempre que cuenten con las aptitudes exigidas por el Reglamento.
  • Certificaciones: Se prevé la creación de mecanismos de certificación, sellos y marcas en materia de protección de datos (el Sello europeo de protección de datos) a efectos de probar el cumplimiento de las obligaciones establecidas en el Reglamento en las operaciones de tratamiento que lleven a cabo responsables y encargados.
  • Autoridades de control: Se establece la obligación de los Estados miembros de nombrar una autoridad de control independiente en cada Estado. Asimismo, se establece una serie de mecanismos de cooperación entre las autoridades de control de los distintos Estados miembros, de manera que la legislación de protección de datos se aplique de manera coherente en toda la Unión Europea. Concretamente, en virtud del mecanismo de ventanilla única -one-stop-shop-, también conocido como el principio de autoridad más idónea para tomar una decisión, la autoridad de control del establecimiento principal -o del único establecimiento del responsable del tratamiento (o del encargado)- será competente para actuar como autoridad de control principal para tomar la decisión. Este mecanismo se utilizará únicamente en aquellos supuestos que gocen de una considerable dimensión transfronteriza. Asimismo, el Reglamento contempla la creación de un Comité Europeo de Protección de Datos que estará integrado por los representantes de cada una de las 28 autoridades de control y sustituirá al actual Grupo de Trabajo del Artículo 29. 
  • La obligación de notificar las quiebras de seguridad (data breachse introduce en determinados supuestos; concretamente cuando se produzca una violación de datos personales que atente contra los derechos y libertades de los interesados (por ejemplo, la pérdida de información o acceso indebido por un hacker). El responsable del tratamiento estará obligado a notificar dicha violación a la autoridad de control competente dentro de las 72 horas siguientes al momento en el que se tuvo conocimiento de la incidencia. Asimismo, deberá también notificarse la violación de datos a los interesados cuando ésta conlleve un alto grado de riesgo para los derechos y libertades de las personas. 
  • Régimen sancionador: Se produce un fuerte endurecimiento de las sanciones administrativas aplicables tanto a responsables como a encargados del tratamiento por la vulneración de las disposiciones del Reglamento. En función de la gravedad del incumplimiento, tales sanciones podrán consistir en multas de hasta 20 millones de euros o, en el caso de empresas, hasta el 4% de su volumen anual de negocios a nivel mundial.

Lejos de ser una amenaza, este nuevo marco legislativo debe percibirse como una gran oportunidad que permitirá a las empresas identificar debilidades internas a la luz de las nuevas obligaciones, así como diseñar un plan a medida para fortalecer sus políticas y procedimientos en materia de protección de datos.