Recientemente se celebró la undécima edición del Día Europeo de la Protección de Datos, fecha elegida en conmemoración del aniversario de la firma del Convenio nº 108 del Consejo de Europa, de 28 de enero de 1981, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, primer instrumento internacional jurídicamente vinculante adoptado en esta materia.
En este último año se han dado pasos muy relevantes desde la perspectiva regulatoria: en primer lugar destaca sin duda el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (REPD), piedra angular sobre la que ejercer este derecho fundamental y cuya aprobación viene precedida de años de negociación intensa. Asimismo, la Comisión aprobó un nuevo instrumento para la transferencia internacional de datos a EEUU mediante su Decisión de Ejecución (UE) 2016/1250, de 12 de julio de 2016, sobre la adecuación de la para sus datos, con instrumentos jurídicos protección conferida por el Escudo de la privacidad que impliquen UE-EEUU, que sustituye a la Decisión 2000/520/CE, anulada por el Tribunal de Justicia de la UE mediante sentencia de 6 de octubre de 2015. Y el pasado 10 de enero se presentó la propuesta de Reglamento del Parlamento Europeo y del Consejo en relación con el respeto a la vida privada y la protección de datos personales en las comunicaciones electrónicas y por el que se deroga la Directiva 2002/58/CE. Esta propuesta toma como referencia buena parte de los principios del REPD y, de hecho, pretende otorgar la competencia sobre el control del cumplimiento de esta norma a las autoridades competentes en materia de protección de datos.

 

Las empresas deben diagnosticar su situación de seguridad digital y actuar a tiempo. Ciertamente los datos constituyen una pieza clave de la economía y de la denominada cuarta revolución industrial. Aunque el grado de protección y sensibilidad de los individuos respecto de sus datos es muy dispar, el REPD nace con la vocación de que los ciudadanos de la Unión puedan afrontar los riesgos que las nuevas tecnologías relacionadas con la sociedad de la información suponen para sus datos, con instrumentos jurídicos que impliquen garantías reforzadas y equivalentes en todos los Estados miembros. Esta norma ha venido a reforzar derechos de los interesados y, por tanto, obligaciones para las organizaciones que traten datos personales. Cito algunos ejemplos: la propia figura del reglamente que resultará de aplicación directa en los Estados miembros a partir del 25 de mayo de 2018 sin necesidad de trasponerse, a diferencia de su predecesora; su extensión a responsables o encargados no establecidos en la UE pero que traten datos de personas que residan en ella para actividades relacionadas con ofertas de bienes o servicios a dichos interesados en la Unión o con el control de su comportamiento; el consentimiento como clara acción afirmativa, que pone fin al consentimiento tácito; la portabilidad de los datos, que permite su traslado de una organización a otra; el principio de “responsabilidad proactiva”, en virtud del cual es responsable del tratamiento deberá diseñar y aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con esta norma; ligado con este principio, se exige se exige la protección de datos desde el diseño mismo de los tratamientos que pretendan realizarse (no al final del proceso, cuando el proyecto está listo para su lanzamiento) y limitándose a lo imprescindible para los fines pretendidos; se prevén las evaluaciones de impacto previas a tratamientos que conlleven un alto riesgo para los derechos y libertades de las personas físicas, etc. A ello hay que añadir un nuevo régimen sancionador con multas que pueden alcanzar hasta 20 millones de euros o el 4 por ciento del volumen de negocio total anual global del ejercicio financiero anterior.

 

En definitiva, estamos ante una nueva cultura de compliance, a través de la cual se pretende que las organizaciones se responsabilicen de adoptar las medidas pertinentes que minimicen el posible impacto negativo de sus actuaciones y puedan demostrarlo. La Agencia Española de Protección de Datos lleva tiempo trabajando en la adaptación de la normativa española y otras medidas que faciliten el cambio. En cualquier caso, la propia Agencia ha recomendado a las organizaciones que traten datos personales, que comiencen ya a prepararse. Sin duda, este es el momento de que cada empresa y grupo empresarial haga un diagnóstico de su situación e identifique las necesidades de adaptación para poder transformarse a tiempo.

 

Autora: Ana López Carrascal es Directora en el área de regulatorio, administrativo y competencia de KPMG Abogados