VIII Foro de la Privacidad DPI
El 12 de febrero de 2016 tuvo lugar un interesante foro en el auditorio principal de CaixaForum, organizado por el Data Privacy Institute y con asistencia de Rojas Pozo Abogados, en torno a las diversas cuestiones jurídicas, técnicas y organizativas que va a suscitar la inminente aprobación del Reglamento de protección de datos europeo.
Por parte del representante de la Agencia Española de Protección de Datos (AEPD) se resaltaron los siguientes aspectos:
- El Reglamento supone una armonización de las legislaciones de los países miembros de la Unión Europea (UE), es decir, una unificación de la normativa a aplicar en la defensa del derecho fundamental a la protección de los datos de carácter personal.
- El ámbito de aplicación territorial del Reglamento se extenderá a los responsables del tratamiento no establecidos en la UE, cuando las actividades de tratamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados de la Unión; o el control de su conducta.
- El consentimiento del interesado seguirá teniendo el carácter de inequívoco, pero plasmado en declaraciones o acciones afirmativas. La inacción no podrá entenderse como consentimiento válidamente prestado.
- El responsable del tratamiento deberá adoptar políticas e implementará medidas apropiadas para asegurar y poder demostrar que el tratamiento de datos personales se lleva a cabo de conformidad con el Reglamento. Es decir, se exige por parte del responsable una actitud proactiva de cumplir eficazmente en garantía del derecho fundamental a partir de un análisis de riesgos, si bien no se define lo que es el riesgo.
- Respecto de las transferencias internacionales de datos, si bien se sigue el esquema clásico, si se produce una flexibilización en los medios jurídicos utilizados por los responsables y encargados del tratamiento para acreditar que se ofrecen las debidas garantías en la protección del derecho fundamental. Así, por ejemplo, mediante la adhesión a códigos de conducta, esquemas certificación, etc.
- Se refuerzan los poderes de las autoridades de control (AEPD), siendo la sanción administrativa máxima a imponer por vulneración del Reglamento la de multa de hasta 20 millones de euros o si se trata de una empresa el 4% de su volumen de negocios anual a nivel mundial.
En el Foro se puso de manifiesto el cambio de modelo en la seguridad de los datos personales que implica el artículo 30 del Reglamento. Ya no se trata de cumplir una serie de ítems y marcarlos en el checkbox, sino de realizar una evaluación de riesgos, de predecir en el futuro los riesgos para la seguridad, y definir e implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en relación con los riesgos que entrañe el tratamiento y la naturaleza de los datos personales que deban protegerse, habida cuenta de las técnicas existentes y de los costes asociados a su implementación.
Respecto del impacto que el Reglamento tendrá sobre la llamada Economía Digital, se llegó a la conclusión de que hay que buscar un equilibrio entre la Privacy y los intereses de las empresas que apuestan por la Economía Digital. Y ello porque nuestra identidad es digital, nuestras relaciones humanas son ya digitales, generando una información que es infinita y que viaja vertiginosa por las redes de comunicaciones electrónicas. No se puede limitar algo que es ilimitado y, por ello, el principio del consentimiento en el tratamiento de datos personales pasará a ser secundario. Lo positivo para el interesado es el derecho que va a tener a la portabilidad de los datos personales, teniendo un mayor control sobre su perfil.