Agencia Española de Protección de Datos: El futuro de la protección de datos


 

APEP - Logo

Día Europeo de Protección de Datos 2016

Monográfico de la Asociación Profesional Española de Privacidad

+

+

agpd-logo

Artículo elaborado por la Agencia Española de Protección de Datos para el monográfico de APEP del Día Europeo de Protección de Datos

+

La protección de datos en Europa estará definida en los próximos años por el nuevo Reglamento General, cuya aprobación definitiva es ya inminente.

La revisión del marco legal europeo de protección de datos era una necesidad impuesta por los avances tecnológicos experimentados en los últimos años, el fenómeno de la globalización y los cambios jurídicos e institucionales operados en la Unión Europea.

Esa necesidad de renovación no parte de una renuncia al modelo establecido por la todavía vigente Directiva de 1995. Sin perjuicio de que algunas disposiciones de la Directiva sean mejorables y de que fuera también necesario profundizar en la armonización de las legislaciones nacionales, el proceso de reforma ha estado presidido por un consenso general en torno a la idea de que los valores y principios contenidos en la Directiva siguen siendo plenamente válidos. Una vigencia que consagró la inclusión de la protección de datos dentro de la Carta Europea de Derechos Fundamentales y que han avalado algunas recientes decisiones clave del Tribunal de Justicia de la Unión.

El nuevo Reglamento nace, por tanto, bajo la premisa de asegurar la continuidad en los principios informadores del modelo europeo de protección de datos, al tiempo que se actualizan los procedimientos y garantías mediante los que se pretenden implantar.

El Reglamento contiene novedades importantes. Uno de los temas más polémicos ha sido la adjetivación del consentimiento como “explícito” que se contenía en la propuesta de la Comisión Europea. La redacción final ha vuelto a la calificación de “inequívoco” ya presente en la Directiva, aunque al mismo tiempo se exige que la expresión del consentimiento se realice mediante una manifestación o una clara acción afirmativa.

Se ha subrayado, también, la ampliación del elenco de derechos de los interesados con dos nuevos elementos, el derecho al olvido y el derecho a la portabilidad. No obstante, la Sentencia del Tribunal de Justicia en el caso Google Spain zanjó la discusión sobre la necesidad de un derecho al olvido como institución independiente, al establecer que lo que se etiquetaba como tal no sería sino la aplicación a la actividad de los motores de búsqueda de los clásicos derechos de cancelación y oposición. Es por ello que el contenido final en el Reglamento de ese llamado derecho al olvido es más bien una regulación pormenorizada del derecho al borrado. El nuevo derecho a la portabilidad, por su parte, constituye un avance en el control de los ciudadanos sobre sus datos, pero ha quedado ligeramente mermado en la redacción final, dado que se limita la auténtica portabilidad, es decir, el que los datos puedan ser transferidos desde un responsable a otro a petición del interesado y sin necesidad de la intervención de este, a los casos en que sea “técnicamente viable”.

El Reglamento refuerza la posición de las Autoridades como instancias independientes y especializadas de tutela del derecho a la protección de datos, cumpliendo así otro de los objetivos de la revisión. Se amplían y armonizan sus poderes, sobre todo con la inclusión de una potestad sancionadora generalizada. Al mismo tiempo, se establecen mecanismos de cooperación y coordinación entre ellas, cuyo máximo exponente se sitúa en la figura del nuevo Consejo Europeo de Protección de Datos, heredero, con nuevas funciones y capacidades, del actual Grupo de Trabajo del artículo 29.

Pese a estos significativos avances, la actividad de las Autoridades dependerá en gran medida de cómo se articule el funcionamiento del llamado mecanismo de ventanilla única. En su formulación original, el mecanismo suponía que una sola autoridad sería responsable de la supervisión de la actividad de responsables y encargados con varios establecimientos en la Unión. Esta opción, aplaudida por algunos y criticada por muchos, presentaba graves problemas en términos de protección eficaz de los derechos de los ciudadanos. El resultado final, después de complejas e intensas negociaciones, es positivo en la medida en que recoge soluciones que permitirán una participación directa y efectiva de las autoridades de protección de datos en la defensa de los interesados de su estado miembro. Pero puede resultar excesivamente complejo y contiene algunos elementos de difícil aplicación práctica, en especial por la carga de trabajo adicional que puede suponer para las autoridades.

Con todo, posiblemente la parte que contiene una más amplia actualización es la que regula la posición de responsables y, en menor medida, encargados. El Reglamento optó desde un principio por aplicar criterios de responsabilidad activa, de “accountability”, de forma que las obligaciones de los responsables se orientan principalmente a la adopción de medidas preventivas que les sitúen en posición de cumplir con el Reglamento. Al mismo tiempo, han de estar en condiciones de acreditar la existencia de tales medidas y su eficacia.

Dentro del catálogo de medidas de “accountability” se incluyen algunas hasta ahora inéditas en la normativa general de protección de datos en Europa: criterios de privacidad desde el diseño y por defecto, evaluaciones de impacto sobre la protección de datos, notificación de quiebras de seguridad o, de forma destacada, la figura del delegado de protección de datos. Otras, ya presentes en la Directiva, cobran mayor protagonismo, como sucede con los códigos de conducta o los esquemas de certificación.

Hay que tener en cuenta, además, que el Reglamento extiende su ámbito de aplicación más allá de responsables o encargados establecidos en la Unión, pasando a incluir a aquellos que, aunque no lo estén, tratan datos de interesados en Europa en el marco de ofertas de bienes o servicios específicamente dirigidos a ellos o de actividades de seguimiento de su conducta.

Se abre, por tanto, una nueva etapa en la protección de datos europea. El reto, para todos los actores implicados, comenzando por las autoridades de supervisión, pero alcanzando también a gobiernos y administraciones públicas y a los profesionales de la privacidad, es lograr aprovechar al máximo las nuevas posibilidades que el Reglamento ofrece para conseguir no sólo mantener sino reforzar el ya elevado nivel de protección del derecho a la protección de datos en Europa.

+

Agencia Española de Protección de Datos

28 de enero de 2016

 

+

+

Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.