El Debate de hoy

Síguenos ahora en El Debate

El nuevo reglamento europeo puede modificar el actual paradigma sobre protección de datos. Incide en la consideración de la privacidad como derecho fundamental, opta por una estrategia de carácter preventivo e impone cuantiosas multas.

El nuevo Reglamento General de Protección de Datos europeo, publicado el 26 de abril de 2016 y que entrará en vigor el 25 de mayo del presente año, implica un cambio sustancial en la forma de entender la protección de la privacidad de los ciudadanos europeos. Este nuevo reglamento introduce una serie de nuevos elementos que merecen destacarse y que pueden modificar de forma significativa el actual paradigma sobre la protección de datos en Europa.

Uno de los aspectos más destacados en los medios de comunicación de esta nueva normativa comunitaria ha sido la creación de la figura del Delegado de Protección de Datos, conocida popularmente como DPO (en inglés, Data Protection Officer), que es el encargado de garantizar el cumplimiento de la normativa de la protección de datos en las organizaciones. Deberá contar con conocimientos especializados de derecho y, como es lógico, en protección de datos, actuará de forma independiente y entre sus funciones destacan informar y asesorar, así como supervisar el cumplimiento del citado Reglamento General de Protección de Datos. Este defensor, no obstante, podrá ser interno o externo, persona física o persona jurídica especializada en esta materia. Encontramos, así, una nueva figura profesional en el cambiante mundo de la economía digital.

El «derecho al olvido»

Otro de los aspectos destacables del nuevo Reglamento de Protección de Datos es que recoge en su articulado el polémico “derecho al olvido”. Este derecho surge a raíz de la reclamación que interpuso Mario Costeja contra Google, ya que, cada vez que se realizaba una consulta con su nombre en dicho buscador, los resultados remitían a una deuda administrativa ya cancelada. La reclamación de Mario Costeja, apoyada por la Agencia Española de Protección de Datos, dio lugar a la sentencia del Tribunal de Justicia de la Unión Europea (Gran Sala) de 13 de mayo de 2014. En virtud de esta sentencia, el reglamento europeo permite que un interesado pueda solicitar que se bloqueen entre los resultados de los buscadores aquellos vínculos que contengan informaciones que le afecten y que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos. Uno de los aspectos más discutibles de este precepto es que la valoración de dichos motivos queda al arbitrio del buscador.

Si te haces un selfie, no muestres tus dedos . Podrían suplantar tu identidad

Debe destacarse en este reglamento la voluntad de evitar los daños posiblemente irreversibles que podrían producirse en los supuestos de revelaciones de datos personales, por lo que se ha optado por una estrategia preventiva que evite estas posibles filtraciones ante la práctica habitual, hasta ahora, de sancionar las infracciones ya producidas. En este sentido, se ha establecido una serie de medidas en esta dirección, tales como la protección de datos desde el diseño y la protección de datos por defecto, que implica que, previo a cualquier tratamiento que suponga un alto riesgo para los derechos y libertades de los interesados, debe evaluarse el impacto de las operaciones de tratamiento; o la implantación de medidas de seguridad que han de ser adecuadas al riesgo, en atención a factores como el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento. También en esa línea se introduce la necesidad de notificación de “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” a las autoridades de control (las Agencias de Protección de Datos y organismos asimilados), pero también a los particulares cuyos datos vayan a ser hechos públicos.

Evaluación de impacto de protección de datos

Otro de los ámbitos donde el reglamento ha incidido para asegurar la protección de los datos de las personas desde una perspectiva preventiva ha sido la denominada “Evaluación de impacto de protección de datos” (recogida en el artículo 35), que se exigirá siempre que un tratamiento concreto pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas”, como, por ejemplo, cuando los tratamientos impliquen una “evaluación sistemática y exhaustiva de aspectos personales”, tratamientos a gran escala de datos sensibles (aquellos relativos a la raza, la ideología o creencias, los datos genéticos, datos biométricos identificativos, datos de salud, vida u orientación sexual y condenas e infracciones penales) o la observación sistemática a gran escala de una zona de acceso público (las cámaras de seguridad instaladas en múltiples lugares públicos).

El Big Data y el poder de los datos . Un futuro con más oportunidades que amenazas

Pero, sin duda, uno de los aspectos con mayor repercusión en la opinión pública ha sido la cuantía de las multas, que pueden llegar a ser de 20 millones de euros o, si se trata de una empresa, por una “cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior”. ¿Suficientes para que las empresas actúen con el máximo rigor en la protección de datos o simplemente excesivas en atención al daño producido?

Este nuevo reglamento europeo incide en la consideración de la privacidad, y de la protección de los datos como manifestación de aquella, como un derecho fundamental que pretende proteger el espacio que cada persona quiere mantener al amparo del conocimiento de los demás. El avance tecnológico ha supuesto una grave amenaza para esta privacidad y especialmente el tratamiento de datos, que permite mediante el empleo de diversas tecnologías conocer datos e incluso circunstancias personales de los individuos que ellos desean mantener en dicho ámbito reservado.