El pleno del Parlamento Europeo aprobó, después de cuatro años, el nuevo Reglamento (UE) 2016/679 de Protección de Datos, que reemplazará a la Directiva del año 1995, aunque su aplicación no será hasta dentro de dos años, el 25 de mayo 2018.
La intención es garantizar en la Unión Europea que la aplicación de las normas de protección de los derechos y libertades de las personas, en relación con el tratamiento de los datos de carácter personal, sea coherente y homogénea respecto de las normativas vigentes en los países de la Unión Europea, y facilite más control a los ciudadanos ´interesados¨ sobre su información privada.
Se trata de un Reglamento extenso, cuyo período de aplicación de dos años nos ofrece una idea de su dificultad como consecuencia, de las nuevas obligaciones para las empresas y la Administración, de la existencia de conceptos jurídicos indeterminados, de la remisión en algunos casos a la legislación de los Estados miembros y de la posibilidad que se otorga a éstos, de poder seguir regulando normas más específicas para garantizar la protección del tratamiento de datos, como por ejemplo, en el ámbito laboral. Todo ello hace pensar que aún estamos a la espera de más cambios normativos, dificultando así su aplicación.
La dificultad se refleja también en el cambio de ¨mentalidad¨ o metodología respecto a las medidas de seguridad que las empresas deben de aplicar puesto que éstas se basarán en función del riesgo derivado de las operaciones de tratamiento de datos que realicen. Una vez más, las multinacionales no tendrán tanto problema como consecuencia de los recursos que puedan tener para su identificación y evaluación, pero no así la pequeña y mediana empresa. Y aunque la voluntad del legislador al respecto, es fomentar los códigos de conducta y las certificaciones en materia de Protección de Datos, hasta que se pongan en práctica y se consolide será fundamental el asesoramiento externo.
En cualquier caso, se trata de un Reglamento muy necesario y que, ante actuaciones empresariales y/o comerciales, ahora se estará en igualdad de condiciones, ya no sólo en la homogeneidad y criterios sino también, en cuestiones no menos relevantes como es el régimen sancionador. Éste era muy desigual entre los Estados miembros, siendo España el país con el sistema más duro de Europa, pudiendo generar desigualdades competitivas entre empresas. Con el presente Reglamento, con independencia de lo discutible que podría ser el sistema sancionador aprobado, se ha dado un paso muy importante en la armonización de este aspecto.
Respecto del ámbito y alcance de actuación, el mismo se extiende no sólo a la protección de los datos personales sino a la circulación de los mismos, siendo de obligada aplicación con independencia de que el tratamiento tenga lugar por una empresa establecida o no en la Unión Europea. Esto permitirá a los ciudadanos de la Unión Europea, tener una seguridad jurídica y tranquilidad respecto del tratamiento que empresas de fuera de la Unión Europea hacen de sus datos, pues éstas estarán sometidas al presente Reglamento cuando ofrezcan servicios dentro de los 27 estados miembros. No obstante, no hay que olvidar la seguridad jurídica de protección al mercado y competencia de las empresas europeas frente a terceros.
Siguiendo la línea de garantizar la protección de los interesados, se refuerza el consentimiento expreso e informado, ampliándose las obligaciones que deberán contener las cláusulas informativas a la hora de recabar datos personales, en la que los derechos hasta ahora conocidos como ARCO, compartirán ¨lugar¨ con otros como el del Olvido, Limitación, Portabilidad (o el derecho a trasladar los datos a otro proveedor de servicios), e información del derecho que se tiene de poder reclamar ante la autoridad y el plazo de conservación, entre otros.
Se crea la figura del Delegado de Protección de Datos, que deberá nombrarse en los casos que las actividades del responsable y encargado del tratamiento consistan en operaciones de tratamiento que requiera una observancia habitual y sistemática de interesados a gran escala o se traten datos de categoría especial, también a gran escala.
Con acierto, se permite que pueda nombrarse a una persona para un grupo empresarial, y que incluso pueda ser un tercero bajo el marco de un contrato de servicios.
En definitiva, se trata de un Reglamento cuya valoración es positiva al ir encaminada a unificar y armonizar criterios en la materia, eliminando la situación de heterogeneidad legislativa que existía en la Unión Europea, pero en el que harán falta más esfuerzos para concretar ciertos conceptos jurídicos así como esperar los cambios normativos que se produzcan en los Estados miembros.
Autor: Juan Luis Contreras
Juan Luis Contreras es licenciado en Derecho por la Universidad de Valladolid, con un Máster en Compliance por la Universidad Pompeu Fabra de Barcelona. Tiene más de 15 años de experiencia en el ámbito Penal y Laboral así como en materia de Prevención de Blanqueo de Capitales y Derecho de Nuevas Tecnologías. Desde 2008 forma parte del área jurídica de Gros Monserrat.