Todo apunta a que, de aprobarse la última redacción del Reglamento Europeo en materia de Protección de Datos, las novedades en esta materia van a ser considerables.
El por ahora borrador del Reglamento Europeo, que será de aplicación directa para todos los estados miembros, pretende adaptar el derecho fundamental a la protección de datos de carácter personal a la sociedad de la información actual, recordemos que nuestra normativa estatal nace de la transposición de la Directiva 95/46/CE y, evidentemente, después de 18 años, se hace necesaria una reforma, aunque no contente a todos.
A modo de ejemplo, paso a exponer algunas de las novedades más llamativas o más relevantes del Reglamento Europeo:
1.- Hasta la fecha, nuestra legislación estatal permite que el consentimiento del afectado sea implícito y que se tenga por obtenido, salvo que, expresamente se indique lo contrario (típica casilla en la que se indica “marque esta casilla si no desea que sus datos sean tratados…”) pues bien, el Reglamento Europeo prevé (artículo 4), que el consentimiento sea explícito, por lo que, no tiene acogida el consentimiento implícito, aunque no dice que deba ser por escrito, y añade “mediante acción afirmativa”, lo que parece indicar que las casillas para recabar el consentimiento deberán ser siempre en sentido positivo y el interesado deberá marcarlas expresamente para que su consentimiento sea válido.
2.- El Reglamento Europeo, si bien suprime la obligatoriedad de dar de alta los ficheros en las Agencias Nacionales de Protección de Datos, prevé que las notificaciones sobre violaciones de datos personales deben ser comunicadas a las autoridades de control en un plazo máximo de 24 horas (artículo 31) y, si además, esa violación supone una vulneración del derecho a la intimidad y privacidad del interesado (que será prácticamente siempre), también se tendrá que informar, además de a la autoridad de control, al propio interesado (artículo 32).
3.- Nace la figura del DPO, Data Protection Officer en inglés o, en español Delegado de Protección de Datos (artículo 35), cuya función principal será la de velar por la supervisión del cumplimiento de la normativa sobre protección de datos.
Este delegado, que deberá ser experto en la materia, aunque no se especifica cómo debe acreditar esos conocimientos o si precisa de algún tipo de reconocimiento o título, será una figura obligatoria para:
- Los organismos públicos.
- Las empresas que traten datos de más de 500 personas al año. En la anterior redacción se establecía que era necesario para empresas de más de 250 trabajadores. No sé si esta reforma pretendía ser más restrictiva respecto a esta figura, pero lo cierto es, que es fácil que cualquier empresa pequeña trate con más de 500 titularidades de datos al año.
- Empresas que realicen actividades que requieran un seguimiento periódico y sistemático de los interesados.
En la redacción del Reglamento no se especifica si el Delegado de Protección de Datos debe ser interno o externo, ni si puede haber un DPO para diferentes empresas. No obstante, todo parece indicar, que no habrá inconveniente en que el DPO esté en plantilla o sea externo y en que un mismo DPO pueda dar soporte a diferentes empresas u organismos públicos.
Por último, señalar que, el derecho al olvido ganará protagonismo y que las sanciones a empresas serán sobre un porcentaje del volumen de su negocio a nivel mundial (hasta un 2%), esto es, para que empresas grandes, que hasta ahora preferían pagar la multa a cumplir con la normativa, ahora prefieran cumplir con la normativa que pagar la multa (está pensado para casos como el de Google).