Futuras modificaciones europeas en la normativa de protección de datos de carácter personal
Categorías: Derechos Fundamentales / Normativa / Privacidad / Protección de Datos / Unión Europea
La semana pasada se filtró la nueva regulación en forma de Reglamento con la que está trabajando la Unión Europea a fin de modificar, de una vez por todas, la Directiva 95/46 de Protección de Datos de Carácter Personal. Los aspectos que considero más importantes de este borrador son:
- Introducción de la definción de cierto tipo de datos, como son los datos genéticos, los datos biométricos o los que hacen referencia a la salud. Como ya hemos comentado anteriormente, cada vez estamos descendiendo un peldaño más a la hora de determinar que datos son de carácter personal y cuáles no, que añadido a la tecnología y a los avances en las diferentes áreas de la ciencia, pueden determinar que ciertos tipos de datos sean tan susceptibles de protección como nuestros nombres, apellidos o email.
- Junto al derecho a la cancelación de los datos se incluye el «Right to be forgotten» o lo que es lo mismo, el derecho al olvido. Esta expresión que ha calado profundamente (si se me permite la opinión, desafortunadamente, puesto que no creo en el derecho al olvido, sino en la posible cancelación de los datos, o en las reglas que juegan para reponer el derecho al honor, intimidad familiar o personal o a la propia imágen) se incluye directamente en esta nueva regulación estableciendo la obligación al responsable (como suele ser el caso de los webmaster) que haya hecho público esos datos a que los elimine y no permita que se enlacen por los motores de búsqueda. Asimismo se establecen ciertas limitaciones a la cancelación de los datos, resultando interesante aquella que hace referencia al ejercicio del derecho a la libertad de expresión como excepción a la cancelación de los datos.
- Derecho a la portabilidad de los datos. Ahora que estamos hablando tanto de la nube, de nuestra información en internet, la nueva regulación establece el derecho que tendremos las personas para solicitar a las empresas nuestros datos en formato electrónico estandar de forma que se puedan transferir a otros sistemas de una forma fácil, sencilla y automatizada y sin que el responsable del fichero se pueda negar a ello. Esto va a suponer, a mi juicio, un cambio puesto que los responsables de los ficheros no siempre permiten que el usuario pueda llevarse su información, mas bien tienden a «borrar» la información y suelen ser muy celosos de ésta que consideran un «activo» de la empresa. Veremos como actúan en este caso las redes sociales, que son las que más información están tratando y almacenando.
- Data protection by design and by default, la privacidad debe estar presente desde el principio en cualquier desarrollo tendente a almacenar datos de carácter personal y las configuraciones por defecto no deben permitir el acceso a la información a terceras personas. Otro punto que claramente va dirigido a las redes sociales.
- Si una de las mayores críticas a la Directiva, o la forma de escaparse de las empresas era que el ámbito de aplicación de la normativa no les afectaba por estar asentadas en EEUU principalmente; ahora se intenta corregir esta laguna estableciendo la obligación a los responsables de tratamiento para que establezcan un representante en la Unión Europea, si es que no están establecidos en la misma.
- Obligación de notificar en un plazo máximo de 24 horas tanto a los afectados como a las agencias de protección de datos los agujeros de seguridad que hayan podido tener o las vulnerabilidades sufridas por el responsable en el tratamiento de datos de carácter personal. En nuestro caso, estas modificaciones ya se introdujeron en nuestra normativa con la Ley General de Telecomunicaciones.
- Se establece la obligación de que las empresas con más de 250 trabajadores cuenten con un DPO o data protection officer, esto es un responsable con amplios conocimentos en la normativa de protección de datos de carácter personal. Una buena noticia, quizá, para los profesionales de la privacidad.
- El reglamento permite a los Estados miembros adoptar medidas específicas para proteger en materia de protección de datos de carácter personal de los trabajadores, sobre todo en lo que respecta a la contratación; gestión, planificación y organización del trabajo o a la ejecución del contrato de trabajo.
Esperemos que el Reglamento no llegue demasiado tarde y realmente sea eficaz en los planteamientos establecidos en la época actual que nos encontramos: big data, la privacidad como un lujo en manos de unos pocos, etc.