Por fin un reglamento general de Protección de Datos

En la sesión plenaria de abril, que finalizó el pasado jueves 14, el Parlamento Europeo aprobó el nuevo paquete de reformas del actual sistema de protección de datos a nivel de la Unión (que ya contaba con la aprobación del Consejo), compuesto por los siguientes textos:

• Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
• Directiva del Parlamento Europeo y del Consejo relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos; y
• Directiva del Parlamento Europeo y del Consejo relativa a la utilización de datos del registro de nombres de los pasajeros para la prevención, detección, investigación y enjuiciamiento de delitos terroristas y delitos graves.

Nos referiremos en este artículo al reglamento, del cual el Parlamento aprobó en segunda lectura el texto aprobado por el Consejo en primera lectura, sin enmiendas¹. Puesto que nos referiremos a las diferencias en comparación con la vigente Directiva 95/46, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, algunas de las novedades no implican cambios en el derecho de los Estados miembros, donde han sido introducidos por las normas internas. En estos casos, la novedad vendrá dada por el nivel europeo de la regulación.

El reglamento introducirá, como novedades, la redefinición de los derechos de los interesados (entre los que se encuentra el derecho al olvido digital), la ampliación de los requisitos para la validez del consentimiento y la garantía de la existencia de recursos administrativos y judiciales (incluso contra la autoridad nacional de protección de datos) a disposición de los interesados.

Otra innovación, que vale la pena mencionar aparte es la introducción de los principios de protección de datos desde el diseño y por defecto, que básicamente se refieren al momento de la determinación, tanto de los medios con que se realizará el tratamiento como del diseño del tratamiento propiamente dicho, momento desde el cual se deberán respetar los demás principios a los que están sometidos los tratamientos de datos personales.

Las condiciones por defecto deberán garantizar la recogida, tratamiento y conservación del mínimo posible de datos según la finalidad del tratamiento, así como la limitación del número de personas con acceso a los datos.

El reglamento establece nuevos deberes para las empresas, entre los que podemos mencionar la designación (en casos determinados), de un Delegado de Protección de Datos, ciertas medidas relativas a la seguridad de los datos, la realización (en casos determinados) de una evaluación del impacto de los tratamientos, el registro o documentación de todos los tratamientos que se realicen, la conservación de dichos registros y la ampliación de la información a proporcionar, tanto al público como a la autoridad nacional de protección de datos.

Me detendré a continuación sobre la figura del delegado de protección de datos, que se establece sólo para casos determinados y que tendrá, entre otras, las funciones de supervisión y asesoramiento del responsable y del encargado de protección de datos y, en general, de las políticas y actividades de la empresa relacionadas con la protección de datos. Actuará asimismo como intermediario o persona de contacto, tanto de los interesados en relación con el ejercicio de sus derechos como de la autoridad nacional de protección de datos. Por ello, su identidad y datos de contacto deben figurar entre la información que se proporcione al público y a la autoridad nacional de protección de datos.

El Delegado deberá desempeñar sus funciones de manera independiente con respecto al responsable y al encargado, debiendo recibir todo el apoyo, la colaboración, los medios y los recursos que considere necesarios para el desempeño de sus funciones.

En otro orden de ideas, el Reglamento creará un nuevo órgano de la Unión, el Comité Europeo de Protección de Datos (que reemplazará al Grupo de Trabajo del Artículo 29), a la vez que determina las funciones de las autoridades nacionales de protección de datos, incluyendo entre muchas otras, a nivel interno, la comprobación de violaciones de las disposiciones del Reglamento e imposición de sanciones, que podrán ser de un importe determinado en euros o de un porcentaje sobre el volumen de negocios a nivel mundial de la empresa en el ejercicio anterior; y a nivel europeo, la cooperación y coordinación para velar por la coherencia en la aplicación del Reglamento.

Previsiblemente, esta norma entrará en vigor a los veinte días de su publicación y su plazo de aplicación será de dos años; es decir, desde su entrada en vigor, las empresas que efectúen tratamientos de datos tendrán un plazo de dos años para verificar si sus políticas y mecanismos de protección de datos respetan las nuevas disposiciones y, en caso contrario, realizar las adaptaciones necesarias.

Escrito por Carolina Reyes, Abogada.

¹Nota informativa del Consejo de la Unión Europea 7986/16 de 15 de abril, en el Expte. Interinstitucional 2012/0011 (COD). No obstante, si bien el texto que se publique puede tener algunas diferencias con el aprobado, estimamos que tales diferencias no serán esenciales.