Jordi Saldaña: Reglamento europeo: novedades y reflexiones


 

APEP - Logo

Día Europeo de Protección de Datos 2016

Monográfico de la Asociación Profesional Española de Privacidad

+

+

 Jordi Saldaña

Abogado. Roca Junyent. Miembro de la Junta Directiva de APEP.

 

Después de varios años de desarrollo, parece ser que durante el 2016 se aprobará, por fin, el Reglamento de protección de datos.

Tiempo habrá de entrar en el análisis en profundidad del texto definitivo una vez se apruebe. Por el momento, destacaremos algunos aspectos novedosos y realizaremos alguna reflexión.

Sobre las novedades citaremos lo relativo al delegado de protección de datos, la eliminación de la declaración de ficheros, y la obligación de notificación de las brechas de seguridad.

En relación con el delegado de protección de datos (Data Protection Officer) se requerirá para el sector público, para las empresas cuyo objeto de negocio sea el procesamiento a gran escala de datos personales sobre el comportamiento de individuos y para los que su objeto de negocio sean datos especialmente protegidos como los de salud.

Otra de las novedades es la eliminación de la declaración de ficheros a la autoridad competente. La notificación de ficheros se pretendía que ayudara a los afectados a controlar su poder de disposición sobre sus datos personales.

La eliminación de la declaración de ficheros es especialmente relevante en los ficheros públicos, en los cuales se debe, en resumen, realizar una disposición de carácter general que debe ser publicada en el boletín oficial correspondiente, y, una vez publicada, notificarla a la autoridad competente.

El procedimiento es altamente burocrático, es muy factible que se dilate en el tiempo y entendemos que no mejora la privacidad del afectado, ya que pocos son los que buscan en los boletines oficiales qué ficheros tiene el responsable que corresponda.

El tercer punto que queremos destacar es el relativo a la obligación de notificación de las brechas de seguridad. Entendemos que será, sin duda, uno de los más delicados. No obstante, hasta el momento ha tenido muy poca repercusión.

Consistirá que, en caso que suceda una brecha de seguridad en relación a datos personales, por ejemplo, una fuga de datos, el responsable del tratamiento está obligado a notificar la brecha de seguridad a la autoridad de control competente, en todo caso no más tarde de 72 horas después de haber tenido conocimiento del incumplimiento, así como notificar la brecha a los afectados.

La pregunta principal a responder será: ¿quién y cómo apretará el botón que hará la notificación a la autoridad competente y a los afectados?

La coordinación entre el cliente y sus asesores será fundamental para poder cumplir correctamente con lo que estipula el Reglamento y no sería descartable que, aunque no sea legalmente obligatorio, deban intervenir otros profesionales como especialistas en medios de comunicación, para ver la mejor manera de hacer público lo sucedido.

Hasta aquí las principales novedades, en cuanto a las reflexiones sólo dos.

Uno de los argumentos para la aparición del nuevo Reglamento es que se debe coordinar mejor la aplicación normativa en todos los países, pero al mismo tiempo se admitirá que los Estados miembros puedan introducir disposiciones nacionales para especificar aún más la aplicación de las normas del Reglamento en algunos casos.

Si el objetivo es armonizar, con el hecho que pueda ser complementado por los estados habrá que ver si no se causa el efecto contrario y se vuelve a la  dispersión en la aplicación normativa, por lo que en ese caso se podría haber hecho otra Directiva y no habría sido necesario un Reglamento.

La segunda es que en el Reglamento se habla de aplicación extraterritorial del mismo, el delegado de protección de datos es obligatorio para el procesamiento a gran escala de datos personales sobre el comportamiento de individuos, hay una sanción que puede llegar al 4% del volumen de negocios anual mundial, en definitiva, que parece que el Reglamento va enfocado a una tipología de empresa muy concreta y, por cierto, muy minoritaria numéricamente hablando.

Si el objetivo del legislador es regular a las empresas con esas características tan concretas, tal vez lo mejor habría sido hacer otra normativa específica para esta tipología de compañías, sin necesidad de mezclarla con el resto de la actualización normativa, lo cual estamos seguros que habría hecho que la regulación principal pudiera haber salido a la luz mucho antes de lo que en teoría lo hará el Reglamento.

En conclusión, existen aspectos positivos en la normativa a tener en cuenta como el delegado de protección de datos y la eliminación de la declaración de ficheros. Existe también algún aspecto novedoso que habrá que tener en consideración como la notificación de las brechas de seguridad y habrá que ver si la coordinación en la aplicación de la normativa a nivel europeo surge realmente efecto.

Por último, si el objetivo del Reglamento, además de actualizar, era regular la empresa o empresas que realizan procesamiento a gran escala de datos personales sobre el comportamiento de individuos, tal vez se habría podido hacer una regulación específica, lo cual habría sin duda acortado los tiempos de desarrollo, ya que un desarrollo de cuatro años no sabemos si es la mejor manera de actualizar o de crear incertidumbre, la cual siempre penaliza.

+

 Jordi Saldaña

Abogado. Roca Junyent. Miembro de la Junta Directiva de APEP.

+

Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.