En enero del 2012 el Parlamento Europeo junto con el Consejo publicaron la propuesta de Reglamento Europeo de Protección de Datos, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Dicha propuesta se encuentra todavía en fase de tramitación, y ya se han recibido numerosas enmiendas que, sin duda, matizarán algunos de los puntos más conflictivos del texto normativo ya que afectan directamente a organizaciones con un peso específico dentro del espacio económico europeo.
A continuación se mencionan los principales cambios legislativos que, a la entrada en vigor del nuevo Reglamento a principios del próximo año (fecha límite para su aprobación mayo de 2014), serán de aplicación directa y prevalente sobre nuestro actual sistema de protección de datos personales, derogando así la Directiva 95/46/CE y por ende, la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la citada Ley.
- Aplicación de nuevos Principios, como el de rendición de cuentas o “Accountability”, aludiendo a la responsabilidad de las compañías en la implantación de mecanismos que garanticen el cumplimiento de los principios y obligaciones en materia de protección de datos, así como a los métodos de validación que garanticen su fiabilidad. Y por otro lado también aparece el Principio de Transparencia, centrado en facilitar las relaciones entre el responsable de los datos y el interesado, así como entre el responsable de los datos y las autoridades de control.
- Tratamiento de datos de menores, cuya edad se fija en menos de 13 años (frente a la actual regulación española que la fija en menos de 14, en relación a la oferta directa de servicios de la sociedad de la información.
- Nuevos derechos para los ciudadanos como el “Derecho al olvido”, que consiste en conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva. Otro derecho es el de oponerse a la “Creación de perfiles”, que consistan en evaluar, de manera automatizada, determinados aspectos personales propios de dicha persona física. Otro es el derecho a la “Portabilidad de los datos”, con el fin de obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.
- Notificación de Brechas de Seguridad estableciendo medidas de seguridad de carácter técnico y organizativo, teniendo en cuenta para ello, tanto el desarrollo de la tecnología, como las soluciones ofrecidas por la Privacy by Design y Privacy by Default.
- Nueva figura del Delegado de Protección de Datos que propone el nuevo Reglamento, destacando la obligatoriedad de contar con un Data Proteccion Officer (DPO), por un plazo mínimo de 2 años, tanto en autoridades y organismos públicos, como en empresas con al menos 250 empleados. En este aspecto aún queda mucho por detallar.
- Realizar una Evaluación de Impacto, que consiste en realizar una evaluación de riesgos por parte del responsable o el encargado del tratamiento, con carácter previo al tratamiento, permitiendo que las medidas que se adopten tengan como finalidad evitar la pérdida de datos, los accesos y cesiones no autorizados. Se deberá hacer cuando el tratamiento entrañe riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines, en cuyo caso será necesario realizar un “Informe de Impacto de Privacidad”.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF