Reglamento Europeo en materia de protección de datos: una nueva norma para una nueva realidad.

UELa Unión Europea está elaborando una nueva normativa en materia de protección de datos más severa, con la finalidad de proteger y preservar los derechos de los ciudadanos europeos en este ámbito, que deberá ser cumplida por operadores económicos e institucionales, sin olvidar a las redes sociales, que operan en el amplio universo de internet y la web 3.0, a pesar de las reticencias de éstos últimos.

Parece que esta premura en disponer de una legislación comunitaria más reforzada en materia de protección de datos, paradójicamente se produce en el reciente contexto del escándalo del espionaje de la administración de EE.UU. a ciudadanos e instituciones europeas.

Después del espionaje masivo practicado por la Agencia de Seguridad Nacional de Estados Unidos (NSA) a objetivos europeos, alemanes, españoles, franceses, etc. hay muchos mandatarios europeos interesados en que la Unión Europea se implique en el asunto en defensa de sus Estados miembros, en este sentido el Presidente Galo, François Hollande ha manifestado que esta problemática «Es a la vez una cuestión nacional y europea».

Se debe recordar que la normativa vigente en el ámbito comunitario de la protección de datos, fue aprobada en el año 1995, cuando todavía no se había producido la revolución de Internet, ni el fenómeno de las redes sociales, ni las compras “on line”.

De este modo, las nuevas medidas en fase de elaboración, según lo expresado por su impulsora, la comisaria europea de Justicia, Viviane Reding,  pretenden “no solo proteger más a los ciudadanos, sino también recortar costes a las empresas”.

Así, uno de los puntos más controvertidos en esta nueva legislación comunitaria, es el denominado Derecho al olvido. Ciertamente, en estos últimos años, principalmente debido al vertiginoso incremento del desarrollo tecnológico se ha producido una innegable realidad, que a pesar de producirse en el mundo virtual, ha tenido su fiel reflejo en la vida real. Los datos, en sentido amplio de muchos ciudadanos, han aparecido en la red de redes, bien voluntariamente, bien por publicaciones oficiales, u otras causas, lo que ha originado la invocación de tutela ante el Organismo supervisor en esta materia, con la finalidad de salvaguardar sus derechos especialmente en materia de protección de datos de carácter personal.

Destacar, que la invocación de tutela de los ciudadanos en estos supuestos, se produce con posterioridad a que hayan instado a los webmasters de sitios web y/o redes sociales, utilizando los cauces establecidos, y con base en unos argumentos legítimos, en la mayoría de los supuestos, siendo rechazadas sus pretensiones, y por tanto sus imágenes, vídeos, comentarios en foros o redes sociales, permanecen en la red de forma indefinida sin que se proceda, – en esencia- a la cancelación de sus datos personales. Este fenómeno referido ha crecido en los últimos años de manera exponencial, como muestra la memoria del año 2012 de la Agencia Española de Protección de Datos (en adelante, AEPD), que apunta un aumento de más del 13 % sobre el año anterior de las reclamaciones encaminadas a la eliminación de los datos que Internet conserva.

Pero el que es verdaderamente el denominado derecho al olvido, según Simón Castellano, es la capacidad de exigir el borrado de los datos personales que contiene Internet e incluso, oponerse al tratamiento que hacen los motores de búsqueda de los datos personales incluidos en fuentes accesibles al público.

El derecho al olvido, no busca presentar una historia personal o colectiva ajena a la realidad (Comisión Europea, 2012). Esto pareciera constituir un primer punto que debe ser aclarado, tal como lo hace la propia Comisión Europea al defender la reforma del sistema de protección de datos personales.

En suma, se pretende que cualquier usuario tenga derecho a que se borren sus datos, si resulta legítimo, cuando lo solicite. Para reforzar este derecho «on line», si una persona insta a una empresa como por ejemplo Facebook a que borre sus datos, la empresa se verá obligada a comunicar tal petición a otros sitios web donde esta información se haya replicado. Asimismo, los ciudadanos tendrán la posibilidad de defenderse de forma eficaz contra el “abuso” de las denominadas cookies, de modo que sus búsquedas no sean utilizadas para establecer un perfil de usuario. Por ello, se estudia permitir el uso de Internet de manera más anónima, o incluso bajo pseudónimo.

Una novedad importante de esta futura normativa es la fijación de la edad de los menores en menos de 13 años a efectos LOPD (frente a la actual regulación española que la fija en menos de 14), en relación a la oferta directa de servicios de la sociedad de la información. Permitiéndose el tratamiento de los datos de estos menores únicamente, si el padre o representante legal del menor ha prestado su consentimiento previo.

Otra importante novedad que parece contemplar la nueva normativa europea en materia de protección de datos establece que las grandes empresas tengan una nueva figura de supervisión de datos. El Data Protection Officer (DPO), tanto en organismos públicos, como en empresas con al menos 250 empleados, aunque se permite contar con un solo DPO en los casos de grupos empresariales. Este nuevo delegado deberá velar por el cumplimiento de la seguridad de la información en la empresa en todas las fases de su ciclo. En definitiva, se trata de un responsable altamente cualificado, no solo en materia de protección de datos, sino también en cuestiones relacionadas como la seguridad informática, convirtiéndose en verdaderos garantes de la seguridad de la información a nivel organizativo, técnico y legal.

En este marco de la seguridad organizativa, técnica y legal se incluyen aspectos como el análisis y diagnostico de entornos específicos desde el punto de vista de cumplimiento o de riesgos; la elaboración de planes que permitan la aplicación de normas de referencia como los Esquemas Nacionales de Seguridad o la Protección de Infraestructuras Críticas, en su caso; Así mismo, deberán encargarse de incorporar soluciones tecnológicas específicas; así como de gestionar la operativa de las infraestructuras tecnológicas de seguridad.

Otro importante logro que pretende la normativa comunitaria versa es que los ciudadanos europeos que emprendan acciones contra una empresa, en defensa de sus datos puedan hacerlo ante sus propias instancias nacionales, aunque la empresa en cuestión tenga su sede social en otro país de la UE, o fuera del contexto europeo.

Un aspecto destacado que recoge la futura normativa viene referido a la obligación de comunicar las brechas de seguridad, tanto a la autoridad de control como al interesado cuando éste se haya visto afectado, por fallos en las medidas de seguridad relativas a los sistemas de tratamiento de la información.

Otras de las novedades importantes es la elevación de las sanciones hasta un 5% del total de los ingresos de las compañías cuando éstas no cumplan lo establecido en la normativa de protección de datos.

El Parlamento también quiere imponer unas normas más estrictas sobre cómo se comparten los datos o cómo se transfieren a otros países fuera de la UE (transferencias internacionales de datos). Por ejemplo, si Estados Unidos quiere acceder a información de Google o Yahoo! sobre un ciudadano europeo, la firma tendría que pedir autorización previamente a la autoridad de control competente.

Tras el visto bueno de la comisión parlamentaria, será necesario para su aprobación formal la luz verde del pleno de la Eurocámara, así como de los gobiernos de los veintiocho estados miembros.

En resumen, la aprobación de esta nueva normativa no está exenta de polémica, pero la realidad está demandando una respuesta efectiva y contundente a situaciones y problemas, que con el vertiginoso desarrollo tecnológico existente en la actualidad, cada vez son más frecuentes, y que aunque, muchos de ellos se producen en el entorno virtual, sus consecuencias se proyectan en el mundo real.

Sobre Valentín Justel

Abogado Experto en Protección de Datos, Nuevas Tecnologías y Seguridad de la Información

Valentín Justel en Google+

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>