El Reglamento Europeo de Protección de Datos es el mayor hito legislativo en materia de privacidad y protección de datos en Europa en los últimos 20 y su aplicación, que será de obligado cumplimiento desde el 25 de mayo de 2018, hace necesario que el legislador español y la Autoridad Nacional de Control actúen cuanto antes para ofrecer a las empresas un marco claro sobre cómo aplicar la nueva normativa comunitaria. Esta es una de las principales conclusiones del estudio “El Reglamento General de Protección de Datos de la UE: una perspectiva empresarial” elaborado por la Fundación Empresa, Seguridad y Sociedad (ESYS).
El estudio, presentado por el presidente de la Fundación ESYS, Javier Gómez-Navarro, en la sede de Endesa en Madrid, recuerda que, aunque el nuevo Reglamento entró en vigor el 25 de mayo de 2016, las autoridades comunitarias han concedido un periodo transitorio de dos años para que las empresas tengan tiempo de adaptarse a la nueva norma. El informe destaca que el Reglamento “no regula de manera completa y exhaustiva todas y cada una de las materias”, y plantea “dudas interpretativas” e “incertidumbre sobre la compatibilidad con la normativa actualmente vigente en España” (Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, que regula su desarrollo reglamentario).
Por este motivo, la Fundación ESYS considera que las autoridades españolas deberían despejar cualquier incertidumbre antes del 25 de mayo de 2018 y en todo caso “a la mayor brevedad para evitar la inseguridad jurídica” tras consultar a los distintos interesados, especialmente empresas y organizaciones de consumidores.
El Reglamento busca crear una verdadera cultura de la protección de datos a nivel europeo, eleva la responsabilidad de las empresas en su tratamiento y la capacidad de control de los ciudadanos sobre sus propios datos personales. Así, surgen nuevos derechos como el derecho al olvido o el derecho a la portabilidad de los datos, se añaden nuevas categorías especiales de datos personales (como los datos genéticos o biométricos) y se establece un régimen sancionador con multas que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de negocio anual de la empresa infractora.
Sin embargo, según el estudio, el Reglamento deja “muchas materias pendientes de desarrollo y concreción” y recurre a “abundantes conceptos jurídicos indeterminados”. Así, no regula de forma específica ficheros que no requieren el consentimiento de los interesados como los ficheros sobre solvencia patrimonial y crédito, los ficheros con fines de publicidad y prospección comercial y las denominadas “Listas Robinson”(listas de ciudadanos que han solicitado expresamente no recibir publicidad no deseada).
El estudio apunta también que se echa de menos “una regulación específica de fenómenos como el Big Data o el Internet de las Cosas” para dar una mayor seguridad jurídica a las empresas en el tratamiento de datos personales en esos entornos. Además, recomienda que la Agencia Española de Protección de datos (AEPD) publique una lista con los tratamientos de datos que requerirán de la nueva evaluación de impacto (PIA) y clarifique en qué casos se debe informar a los afectados cuando se haya producido una violación de seguridad de los datos personales que suponga un alto riesgo para sus derechos y libertades.
La Fundación ESYS considera que la aplicación de otros aspectos del Reglamento puede suponer un esfuerzo importante para las empresas. Es el caso de la autorización que deben dar los ciudadanos para el tratamiento de sus datos. Con la nueva normativa deja de ser válido el silencio o el consentimiento tácito. El consentimiento cualificado que exige el Reglamento europeo para tratar los datos de los ciudadanos cuando estos dieron ya su consentimiento tácito podría ir contra los principios de “no retroactividad y seguridad jurídica” y exigiría a las empresas “un esfuerzo desproporcionado en términos de tiempo y coste que puede impactar negativamente en su competitividad”, señala el informe.
La Fundación ESYS recuerda además que la nueva normativa comunitaria no exige comunicar previamente los ficheros de datos a las Autoridades Nacionales de Control, por lo que considera que se deberían derogar los artículos de la LOPD que sí exigen esta información previa y recomienda que se clarifique el estatuto jurídico y el perfil funcional de la nueva figura del Delegado de Protección de Datos (DPO).
El estudio, para el que se ha contado con la opinión de expertos en el Derecho de Protección de los Datos Personales y con las entrevistas y cuestionarios realizados a los responsables de Protección de Datos y de Seguridad de importantes empresas españolas, pretende presentar las principales novedades que ofrece el Reglamento europeo y exponer algunas propuestas de enfoque basadas en la experiencia de las empresas españolas en la aplicación de la legislación de protección de datos.
Sobre la Fundación Empresa, Seguridad y Sociedad. ESYS
La Fundación ESYS está constituida a finales de 2007 y tiene como objetivo el estudio, investigación, divulgación y formación en todo tipo de Seguridad, con “la mínima restricción a la libertad de las empresas y las personas”. Las empresas que forman el Patronato de la Fundación ESYS son ENDESA, GAS NATURAL FENOSA, PROSEGUR, SECURITAS y TELEFÓNICA. www.fundacionesys.com
Acceso al Estudio de la Fundación ESYS en soporte digital
-
- blog de Pedro De la Hoz Águeda
- Inicie sesión para comentar
