Últimas enmiendas al borrador de Reglamento europeo de protección de datos

Protección de datos
El pasado 21 de octubre, la Comisión de Libertades, Justicia e Interior del Parlamento Europeo aprobó por amplia mayoría la propuesta de Reglamento europeo de protección de datos.
Pasamos a detallar a continuación las principales novedades introducidas con respecto a los anteriores borradores:
La IP no se consideraría un dato de carácter personal, frente a la posición actualmente mantenida por la AEPD.
Se aclara expresamente que las casillas premarcadas no son válidas para obtener el consentimiento libre de los interesados.
(Continúa)
El consentimiento no es una opción de legitimación del tratamiento válida en el ámbito laboral y en los casos de prestadores de servicios con posición dominante, por existir un gran desequilibrio entre las partes.
Cuando existan varias finalidades para el tratamiento, el titular de los datos deberá poder oponerse al tratamiento de antemano, de forma fácil y efectiva. Además, la contratación no podrá estar supeditada a la autorización de un tratamiento de datos no necesario para su ejecución.
El principio de “Privacidad desde el diseño” debe incluir todo el ciclo de vida del dato, desde su recogida hasta su cancelación.
El principio “Privacidad por defecto” se refiere a la minimización de recogida de datos y limitación de los fines.
Se deberán documentar las operaciones con el fin de ser capaces de facilitar suficiente información al interesado y poner dicha información a disposición de la autoridad nacional.
El plazo de notificación de brechas de seguridad pasa de 24 horas a 72 horas. Asimismo, la autoridad nacional llevará un registro público con los tipos de violaciones notificadas.
Deberá designarse un Delegado de Protección de Datos, entre otros supuestos, cuando el tratamiento lo realice una persona jurídica y afecte a más de 500 interesado al año, frente al criterio de la redacción inicial del borrador que se refería a empresas con 250 empleados o más. Se trata éste de un criterio más acertado desde nuestro punto de vista, ya que en la era del Cloud Computing empresas muy pequeñas pueden manejar un volumen muy significativo de datos. Este mismo criterio se aplica para los responsables situados fuera de la UE a los que resulte de aplicación el Reglamento. Éstos están obligados a designar un representante salvo, entre otros supuestos, que se realicen tratamientos relativos a menos de 500 interesados al año, frente al criterio de tratarse de una empresa con menos de 250 empleados recogido en la redacción inicial.
El responsable que decida no designar un Delegado de Protección de Datos deberá comunicarlo a la autoridad de control exponiendo los motivos de su decisión.
El mandato del Delegado de Protección de Datos pasa de 2 años a 4 años, si bien en la actual redacción no se hace mención a la posibilidad de su nuevo nombramiento, como ocurría en la redacción inicial.
El Delegado de Protección de Datos podrá ser personal externo o interno, a tiempo completo o a tiempo parcial. Presumiblemente, serán las grandes compañías las que opten por un DPD interno, mientras que las PYMES normalmente optarán por un DPD externo a tiempo parcial.
Las asociaciones que actúen en interés público podrán presentar reclamaciones ante la autoridad nacional.
Se incluyen como datos especialmente protegidos las creencias filosóficas, la identidad de género y no sólo la afiliación sindical sino también las actividades sindicales.
La nueva redacción posibilita cumplir con el deber de información en dos fases: la primera, a través de iconos para los diferentes tipos de tratamiento, con sus condiciones y sus consecuencias. Posteriormente, si así lo solicita el titular de los datos, se facilitará la información completa.
Cuando el responsable rectifique o suprima datos y se lo comunique a los terceros a quienes transfirió dicho datos, deberá también informar al interesado sobre esos terceros.
El derecho de acceso deberá incluir las comunicaciones de datos realizadas a autoridades públicas y los datos que se comunicaron, así como la existencia de elaboración de perfiles e información inteligible sobre la lógica utilizada en los tratamientos automatizados.
Los corresponsables deberán firmar un acuerdo por escrito donde se establezcan las responsabilidades de cada uno en materia de protección de datos.
Los contratos celebrados para posibilitar una transferencia internacional de datos a un tercer país que no cuente con un nivel adecuado de protección deberán contener la obligación de informar de los accesos a los datos por parte de las autoridades públicas en el país exportador. Se trata ésta de una medida incluida a raíz de los escándalos de espionaje acontecidos en EEUU. Las autoridades norteamericanas, por motivos de seguridad nacional, exigen a compañías como Google y Facebook que les comuniquen datos de sus clientes, normalmente americanos pero posiblemente también europeos.
La nueva redacción restringe mucho más la transferencia internacional de datos cuando ésta es solicitada por una sentencia de un Tribunal o una disposición de una autoridad administrativa de un país tercero. En este sentido, el Reglamento establece que sólo se reconocerá la misma si existe un Tratado de asistencia mutua o un Acuerdo internacional entre el tercer país y la UE o el Estado miembro. En estos supuestos, el responsable del tratamiento deberá comunicarlo previamente a la autoridad de control, quien decidirá y se lo comunicará a la autoridad nacional competente. El responsable también deberá informar al interesado de la solicitud y de la autorización de la autoridad de control.
Tanto las autoridades de control como el Consejo Europeo de Protección de Datos deberán elaborar un informe al menos cada 2 años (en la anterior redacción, debían elaborar informes anuales).
En los casos en que el responsable del tratamiento se encuentre establecido en varios países de la UE, se suprime el anterior concepto de única autoridad de control responsable (la del país donde el responsable tuviese su sede principal en la UE). La nueva redacción establece que en estos casos existirá una autoridad principal que deberá consultar al resto de autoridades nacionales involucradas, actuando la primera como punto de contacto único.
En materia de sanciones, deberá respetarse plenamente el principio non bis in idem, por lo que no podrán imponerse sanciones dos veces por la misma infracción del Reglamento.
El consentimiento será necesario para utilizar datos de salud con fines de investigación histórica, estadística o científica. Sólo se exceptúan casos de interés público con anonimización o seudonimización de los datos, previa autorización de la autoridad de control.
Igualmente, el consentimiento será necesario para el tratamiento del resto de datos especialmente protegidos con finalidad de investigación histórica, estadística o científica, salvo determinadas excepciones incluidas en el Reglamento y aquellas otras que puedan establecer los Estados miembro.
La Vicepresidenta de la Comisión Europea, Viviane Reding, sigue haciendo esfuerzos para que el Reglamento sea aprobado antes de mayo de 2014, fecha en que se disolverá el Parlamento Europeo por elecciones.
Fuente: http://www.diariojuridico.com