La Comisión LIBE de la UE aprueba el Reglamento de Protección de Datos


 

La Comisión LIBE de la UE aprueba el Reglamento de Protección de Datos. Se prevé que el texto reformado se vote en el Parlamento en marzo de 2014

Tras votar el pasado Lunes, 21 de octubre de 2013, la Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo ("LIBE") ha emitido un informe definiendo su posición con respecto al borrador de Reglamento General de Protección de Datos. Esta votación posiciona al Parlamento de cara a las negociaciones con el Consejo y la Comisión Europea (fase conocida como "diálogo a tres bandas"). El objetivo de la Comisión LIBE es que su informe se vote de forma plenaria en el Parlamento Europeo en marzo, anticipándose a las elecciones al Parlamento.

El informe de la Comisión LIBE plantea modificaciones importantes con respecto al borrador original Reglamento presentado por la Comisión Europea en enero de 2012. Además se han eliminado o suavizado algunos de los requisitos más estrictos que se recogían en el primer borrador del informe elaborado por el ponente de la Comisión LIBE, Jan Philipp Albrecht, en diciembre de 2012.

Seguidamente, destacamos los elementos que consideramos particularmente novedosos con respecto a los borradores anteriores:

· Las sanciones podrán llegar a ser de hasta 100.000.000 de Euros o de hasta el 5% del volumen de negocios global (la superior de estas dos cantidades). Se intensifica la presión sancionadora con respecto a la propuesta de la Comisión, donde las multas podían alcanzar (solo) 1.000.000 de Euros ó el 2% del volumen de negocios global.

· Los planes de cumplimiento y rendición de cuentas (acountability) serán tenidos en cuenta a la hora de aplicar las sanciones.

· Las sanciones pueden incluir la obligación de llevar a cabo auditorías periódicas. Se trata de una previsión de clara inspiración norteamericana, donde es frecuente que las sanciones de la Federal Trade Comission (FTC) incluya obligaciones de auditoría.

· Las condiciones para obtener el consentimiento se han endurecido. En particular, el consentimiento no puede vincularse a un contrato.

· El "interés legítimo" continúa presente en el texto como un argumento válido para llevar a cabo la mayor parte de tratamientos, excepto los relativos a datos sensibles y a la elaboración de perfiles.

· La "portabilidad" de datos sigue regulándose en el texto, pero se ha fusionado con el artículo relativo al derecho de acceso.

· El "derecho al olvido" ha pasado a llamarse "derecho de supresión", pero, en líneas generales, la regulación no ha variado de forma excesiva.

· En esencia las reglas relativas a aplicación territorial no han sufrido cambios desde el borrador de la Comisión. Un responsable del tratamiento que se encuentre fuera de la Unión Europea se verá sometido al Reglamento si ofrece "bienes o servicios" a individuos localizados en la UE, o les "monitoriza".

· El principio de "autoridad única" se suaviza. Entre otras cuestiones, los interesados deben denunciar ante su autoridad local de protección de datos, en lugar de estar obligados a acudir a la "autoridad líder" aplicable al grupo empresarial/organización del responsable del tratamiento. Junto a ello se refuerzan los deberes de colaboración entre "autoridad líder" y autoridades locales.

· La figura del responsable (o delegado) de protección de datos (Data Protection Officer) deviene obligatoria para todas las compañías que procesen datos de carácter personal de 5.000 o más individuos durante cualquier periodo consecutivo de 12 meses. Se trata ciertamente de un dato relevante para el profesional de la protección de datos que ve incrementada su relevancia, hasta convertirse en algo imprescindible para multitud de organizaciones.

· Las brechas de seguridad que afecten a datos personales deben ser reportadas "sin demoras injustificadas", con la presunción de que 72 horas es lo que se entiende por "sin demoras injustificadas".

· Las evaluaciones de impacto sobre privacidad (Privacy Impact Assessment – PIA) pasan a ser obligatorios para cualquier tratamiento de datos de carácter personal de 5.000 o más individuos durante cualquier periodo consecutivo de 12 meses, o para cualquier tipo de tratamiento de datos que conlleve riesgo.

· Se han introducido disposiciones de amplio alcance relativas al tratamiento de datos personales en el ámbito laboral.

· Las transferencias de datos a países fuera del Espacio Económico Europeo se hacen más difíciles, especialmente en aquellos casos donde la transferencia se solicita como consecuencia de un requerimiento de remisión de datos por parte de un tribunal o autoridad administrativa de un país tercero. En estos casos, el responsable requerido tendrá que solicitar una autorización de la autoridad de protección de datos local antes de transmitir la información.

· Los responsables del tratamiento deben utilizar iconos estándar para comunicar a los interesados cómo se utilizan sus datos personales. Los iconos propuestos son los siguientes

clip_image001

 

Puede encontrarse el texto del informe de la Comisión LIBE (en inglés) en estas URL de Internet:

http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/comp_am_art_01-29/comp_am_art_01-29en.pdf

http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/comp_am_art_30-91/comp_am_art_30-91en.pdf