La Comisión de Libertades Civiles del Parlamento Europeo ha respaldado el acuerdo sobre protección de datos, alcanzado en la Unión Europea, que establece una normativa para regular la privacidad en la era digital, modernizando así un marco legal que se remonta a la década de los años noventa. De esta forma, tras un complejo proceso de negociación entre la Eurocámara, la Comisión Europea y el Consejo Europeo, se ha dado luz verde al nuevo Reglamento General de Protección de Datos comunitario, cuya versión definitiva se publicará en la primavera de 2016.

Según Udo Helmbrecht, director ejecutivo de la Agencia de Seguridad de las Redes y de la Información de la UE (ENISA), “el nuevo reglamento concede una mayor participación y poderes de ejecución a las autoridades nacionales competentes. Un elemento importante de este acuerdo, a menudo subestimado, es su potencial para proporcionar una ventaja competitiva a la industria europea mediante la adopción de la privacidad y la protección de datos como valor central”.

Mejoras significativas

En el caso de nuestro país, la Agencia Española de Protección de Datos (AEPD) destaca las “mejoras significativas” que supone el reglamento europeo. “Por ejemplo”, señala, “produce un máximo efecto armonizador que permitirá reducir las divergencias actuales en nivel y mecanismos de protección. Y también es importante mencionar que será de aplicación a toda empresa que trate de forma sistemática datos de ciudadanos europeos, esté o no establecida en la UE”.

Además, añade, “el reglamento mejora los instrumentos de control por parte del ciudadano de sus datos personales, fundamentalmente con una mejor definición del consentimiento. Pero también con la introducción de nuevos derechos como el de la portabilidad, específicamente vinculado al entorno digital y con el que las personas ven mejorada su capacidad de decisión”.

Finalmente, la agencia valora que el nuevo texto defina “un modelo de responsabilidad proactiva por parte de quienes tratan los datos de los europeos y, al mismo tiempo, amplíe y flexibilice los mecanismos que regulan sus transferencias internacionales con el objetivo de que en todo momento reciban un nivel de protección equiparable al que se les otorga en la UE”.

Ámbito empresarial

Por su parte, Carlos Alberto Saiz, director del Data Privacy Institute de ISMS Forum, ha declarado a Red Seguridad que “el reglamento va a ser bienvenido, especialmente, por los grandes grupos de empresas, que tendrán más claras unas reglas del juego sobre tratamiento de datos únicas en el entorno europeo, y también por los proveedores tecnológicos y de soluciones de cloud computing. Es fundamental que las organizaciones, públicas y privadas, hagan un buen trabajo de adecuación a estos nuevos requisitos normativos en los próximos dos años para instaurar un sistema completo de gestión de los aspectos de la privacidad, que ganan relevancia en la operativa empresarial y donde primarán conceptos como privacy impact assesment, privacy by design, accountability y data protection officer”.

Entre las novedades del reglamento se encuentra la obligatoriedad de contratar un Delegado de Protección de Datos (DPO, por sus siglas en inglés) en todas las organizaciones públicas (a excepción de los tribunales en ejercicio de la potestad jurisdiccional) y en determinadas organizaciones privadas, en general en aquellas que desarrollen profiling o traten datos de categorías especiales.

Al respecto, Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP), comenta que “el DPO deberá posibilitar que el funcionamiento de la organización y la consecución de los objetivos lícitos y legítimos del negocio sean compatibles con la garantía del derecho fundamental a la protección de datos y la seguridad de la información. Igualmente, será el interlocutor con el regulador y la AEPD, así como el colaborador que, sin duda, necesitará cualquier institución”.

Publicado por Bernardo Valadés en Red Seguridad el 23/12/2015.