PROTECCIÓN DE DATOS
El Reglamento de Protección de Datos aprobado por el Parlamento Europeo impulsa la cultura de privacidad
Da más control a los ciudadanos sobre sus datos privados y exige mayor profesionalidad y responsabilidad a las organizaciones.
Con aprobación en el Parlamento Europeo del nuevo paquete jurídico de Protección de Datos, tras cuatro años de negociaciones, se inicia un cambio drástico en el panorama de la privacidad y la protección de datos en el ámbito comunitario en el cual los profesionales jugarán un papel clave. Por primera vez en la historia, todos los países de la UE tendrán un único marco normativo, que además estará adaptado al nuevo entorno de internet. De este modo, se favorecerá el crecimiento de la economía digital y una adecuada tutela de este derecho fundamental de los ciudadanos, incluyendo la consolidación de nuevos derechos como el denominado derecho al olvido.
Desde la Asociación Profesional Española de Privacidad (APEP) se quiere destacar como principal virtud de la iniciativa que el Reglamento va a garantizar la circulación de datos en el mercado interior y va a resolver los problemas de incompatibilidades normativas existentes actualmente entre los diferentes países. Pero, además, es pertinente resaltar que este Reglamento también se aplica en el caso de responsables no establecidos en la UE, cuando las actividades de tratamiento de datos personales estén relacionadas con la oferta de bienes o servicios a interesados que residan en la UE o el control de su comportamiento (en la medida en que este tenga lugar en la UE).
El Reglamento será publicado próximamente en el Diario oficial de la UE y entrará en vigor 20 días después. Sus disposiciones serán de aplicación directa en todos los Estados miembros dos años después.
Nuevas responsabilidades para un nuevo escenario
Para APEP el Reglamento supone un desarrollo destacado de la cultura de la privacidad en el ámbito económico y social, exigiendo nuevas obligaciones y responsabilidades a Administración y empresas. Los preceptos de protección de datos deberán integrarse desde el principio en cualquier proyecto, producto o servicio que requiera gestión de datos personales (privacidad por diseño), con la obligación añadida de que en su configuración automática por defecto solo recopile y gestione aquellos datos que sean estrictamente necesarios (privacidad por defecto). Además, en determinados casos, los responsables deberán evaluar con carácter previo los procedimientos de tratamiento de datos personales para evitar posibles riesgos (Data Protection Impact Assessment, DPIA).
Un elemento muy destacable de la reforma es que introduce el concepto de accountability, que implica que no solo existe responsabilidad por una infracción, sino que la no adopción de todas las medidas requeridas para el perfecto cumplimiento normativo, o falta de diligencia, supone también una responsabilidad punible para la empresa y/o profesional.
El creciente protagonismo de los profesionales en privacidad
De todo lo comentado anteriormente se deriva que el nuevo Reglamento de Protección de Datos de la UE obliga a los profesionales de la privacidad a asumir nuevas responsabilidades y un mayor rigor en el desarrollo de metodologías de cumplimiento normativo, por lo que se les requerirán nuevas competencias, mayor formación y certificaciones confiables. En este sentido, la norma introduce la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés), que será obligatorio para la Administración y para empresas que cumplan una serie de requisitos, fundamentalmente, que realicen una monitorización periódica y sistemática de datos a gran escala (estudios de solvencia, mercados, riesgos…) o gestionen datos de categorías especiales (datos considerados sensibles).
El texto del Reglamento exige explícitamente profesionalidad a los profesionales y en concreto a los DPO, en contraposición con el ejercicio poco diligente o prácticas directamente fraudulentas que algunas empresas y “consultores LOPD” han desarrollado en los últimos años en España y han sido denunciados por APEP por producir perjuicios a la Seguridad Social, la Agencia Tributaria y poner en riesgo a empresas contratantes por incumplimiento de la Ley Orgánica de Protección de Datos española. Es conveniente mencionar que el nuevo Reglamento, además, aumenta las sanciones de forma muy notable, llegando a multas de hasta el 4% de la facturación global de las empresas.
Más poder a los ciudadanos sobre sus datos