[su_pullquote align=»right»]Por Gregory Voss[/su_pullquote]
¿Es posible que la reforma propulsada en 2012 por la Unión Europea (UE) con el objetivo de garantizar un alto nivel de protección de los datos personales de los ciudadanos de los 28 países miembros vea finalmente la luz en 2017? Es muy probable. No obstante, todavía queda por alcanzar un acuerdo entre el Parlamento Europeo, el Consejo de la UE y la Comisión Europea. Es la hora del diálogo tripartito.
Estas tres instituciones de la UE están negociando desde junio de 2015 con el objeto de alcanzar un acuerdo sobre un único texto, el Reglamento general de protección de datos (RGPD). Quedan algunos puntos de desacuerdo entre el Parlamento y el Consejo, especialmente en materia de obtención del consentimiento individual en cuanto al tratamiento de los datos personales, los derechos y deberes de las empresas de recopilación de datos y el importe de las multas en caso de incumplimiento.
Desde el año 2012, la Comisión Europea ha propuesto una nueva legislación sobre la protección de datos de carácter personal. Pese a que el texto fue aprobado por el Parlamento Europeo el 12 de marzo de 2014, aún tiene que ser validado por el Consejo de la UE. Esta reforma permitirá proteger a los ciudadanos europeos y sus datos personales, incluso frente a empresas transnacionales responsables del tratamiento de datos obtenidos a través de Internet cuya sede no se encuentre en la UE. Aunque el nivel de protección de los datos personales es de por sí elevado, el nivel de sanciones económicas es demasiado bajo, contrariamente a lo que sucede en Estados Unidos.
Una vez que las tres instituciones de la UE implicadas hayan alcanzado un acuerdo sobre el proyecto de ley, este sólo podrá adoptarse tras sus correspondientes dos lecturas consecutivas en el Parlamento, elegido directamente por el pueblo, y por el Consejo, que reúne a los gobiernos de los 28 Estados miembros. Tras su aprobación (sin lugar a duda en 2016, aunque algunos creían que sucedería a finales de 2015), será aplicable en el plazo de dos años tras su adopción.
Este RGPD armonizará el derecho europeo y además podría tener como ventaja el iniciar un proceso de armonización del derecho internacional «desde arriba», en materia de protección de datos personales. Asimismo, y según los cálculos de la Comisión, la reducción de la carga administrativa mediante este único texto de ley permitirá ahorrar 2,3 billones de euros por año.
Puede parecer un proceso un tanto largo, pero conviene recordar que fueron necesarios cinco años para negociar la Directiva Europea de 1995 sobre la protección de datos de carácter personal. En lo que respecta al RGPD, todavía llevamos tres años y medio con el proceso, por lo tanto, sigue habiendo un margen.
EL RGPD es objeto de un intenso trabajo de presión para los representantes de los responsables del tratamiento de los datos, quienes, aunque ralentizan el trabajo legislativo, pueden desempeñar un papel legítimo informando al legislador sobre las realidades de las sociedades encargadas de la recopilación de datos.
Desde el caso Snowden, la reforma legislativa ha sido testigo de numerosos sobresaltos. Edward Snowden, exconsultor de la CIA y miembro de la National Security Agency (NSA), reveló en junio de 2013 que el gobierno de los Estados Unidos había obtenido de nueve gigantes norteamericanos de las nuevas tecnologías, informaciones de carácter personal en relación con la personas que vivían fuera de los Estados Unidos, especialmente en el marco de un programa de vigilancia electrónica denominado PRISM. Desde el 21 de octubre de 2013, el Parlamento Europeo propuso un texto en el que una de las disposiciones estipulaba que «el responsable o el encargado del tratamiento informarán […] al interesado si se han facilitado datos personales a las autoridades públicas durante el último periodo consecutivo de 12 meses». Indudablemente, esta disposición se debe al caso PRISM.
En general, los asuntos relativos a la protección de datos han atizado el debate sobre la privacidad en Europa, aunque hayan debilitado la confianza existente entre la UE y los Estados Unidos. Por ello, el 6 de octubre de 2015, en una causa sobre la transferencia de datos de un ciudadano austriaco a los Estados Unidos por el grupo de Facebook en Europa, el Tribunal de Justicia de la UE (TJUE) declaró nulos los Principios estadounidenses de puerto seguro (Safe Harbor Principales) que permitieron dicha transferencia. En caso de amenazas a la seguridad de los Estados Unidos, una cláusula autorizaba a las autoridades estadounidenses a acceder a los datos personales de los europeos. Por supuesto, el TJUE dio seguimiento a las conclusiones del abogado general a raíz del anuncio de la decisión de dicho tribunal que, en su opinión, «esto se ha convertido en un problema para más de 4.000 sociedades norteamericanas y europeas que dependen de los Safe Harbor Principles para la transferencia de los datos de carácter personal a los Estados Unidos». No obstante, está por ver qué acciones emprenderán las instituciones y las empresas europeas y norteamericanas de conformidad con esa decisión.
Por otro lado, incluso a falta de un RGPD, el caso Google Privacy Policy puso de manifiesto que los Estados miembros de la UE tienen a su disposición las herramientas necesarias para obligar al buscador a respectar la privacidad y los datos personales. De este modo, tras varias órdenes judiciales, las autoridades de protección de datos personales de Alemania, España, Francia, Italia, Países Bajos y Reino Unido, dictaron sanciones contra Google, en particular multas de varios de cientos de miles de euros. Incluso si estas penalizaciones son relativamente bajas en comparación al volumen de negocios de Google (59 mil millones de euros en 2014), apuntan a medidas de ejecución más estrictas basadas en el volumen de negocio de la empresa sancionada en el marco del proyecto de legislación europea.
En Francia, la Comisión Nacional de Informática y Libertades (CNIL) discrepa de Google sobre la desreferenciación en respuesta a la decisión del TJUE en contra de Google España. Desde el reconocimiento de este derecho por el tribunal, en 2014, cualquiera puede solicitar a un buscador que suprima los resultados que aparecen al buscar su nombre. En consecuencia, Google recibió decenas de miles de solicitudes de ciudadanos franceses. Por consiguiente, procedió a la desreferenciación de determinados resultados de las extensiones europeas de los buscadores (.fr; .es; .co; .uk; etc.). Sin embargo, no realizó la desreferenciación en otros dominios geográficos o incluso en google.com, pudiendo ser consultados por cualquier internauta. En mayo de 2015, la CNIL envió un requerimiento a Google para que realizara dicha desreferenciación en todos los dominios. No obstante, Google sostiene que esta decisión constituye una violación del derecho a la información pública y, por tanto, una forma de censura. Lo más probable, es que se nombre a un ponente para que encuentre la mejor solución posible.
Mientras que la Unión Europea trata de alcanzar un acuerdo sobre un único texto en materia de protección de datos personales, los gobiernos, como el de Francia, siguen reforzando su arsenal legislativo. El gobierno galo presentó el 26 de septiembre de 2015, un proyecto de texto sometido a la opinión pública para una «República informática»: alrededor de 30 artículos relativos al secreto de las comunicaciones comerciales electrónicas, la portabilidad de los archivos o el libre acceso a los datos públicos. Esta consulta a los ciudadanos para la elaboración del documento es un proceso sumamente interesante, de cuya evolución habrá que estar pendiente.
[su_note note_color=»#f8f8f8″]Por Gregory Voss y los artículos «European Union Data Privacy Law Developments» (Novedades en materia de privacidad de datos en la Unión Europea), publicado en The Business Lawyer (volumen 70, número 1, invierno 2014-2015), «Looking at European Union Data Protection Law Reform Through a Different Prism: the Proposed EU General Data Protection Regulation Two Years Later» (Una mirada diferente sobre la reforma legislativa en materia de privacidad de datos en la Unión Europea: la propuesta de la UE para regular la protección de datos dos años más tarde) , publicado en Journal of Internet Law (volumen 17, número 9, marzo 2014) y «Privacy, E-Commerce, and Data Security» (Privacidad, comercio electrónico y seguridad de los datos), publicado en The Year in Review, publicación anual de ABA/Section of International Law (primavera 2014), escrito junto con Katherine Woodock, Don Corbet, Chris Bollard, Jennifer L. Mozwecz y João Luis Traça..[/su_note]
[su_box title=»Aplicaciones prácticas» style=»soft» box_color=»#f8f8f8″ title_color=»#111111″]El impacto del RGPD para las empresas dependerá del texto final aprobado por la UE. Lo que sí es cierto, es que las empresas que manejan dichos datos tendrán una mayor responsabilidad de ahora en adelante. Sin duda alguna, algunas empresas tendrán que crear puestos de Responsables de Protección de Datos (DPD) conforme al modelo Correspondant Informatique et Libertés (CIL) (Persona representante del CNIL en Francia. Por otra parte, se crearán empresas especializadas en materia de protección de la privacidad. En consecuencia, se aconseja a los directivos de las empresas que estudien la legislación en materia de protección de datos personales con el objeto de ajustarse a la legislación cuando entre en vigor. Asimismo, se sugiere que los empleados se formen en materia de protección de datos personales. Finalmente, las empresas tendrán que establecer procedimientos adecuados para cumplir con la legislación sobre la protección de datos de carácter personal, incluso aquellas que permitirán las notificaciones previstas por el RGDP sobre la violación de datos de carácter personal.[/su_box]
[su_spoiler title=»Metodología»]Con el objetivo de redactar los artículos sobre la legislación en materia de protección de datos de carácter personal, he analizado cuantiosos documentos jurídicos así como «cientos de páginas de propuestas, sanciones y notificaciones» obtenidos de los trabajos del G29, el grupo de trabajo independiente de la UE sobre el tratamiento de los datos de carácter personal. En dichos artículos, se ha puesto en perspectiva las propuestas de las organizaciones europeas para la aprobación de un RGPD y ofrezco consejos prácticos a las empresas. De la misma manera, se ha estudiado la evolución de las posiciones de las diferentes organizaciones europeas, tales que la Comisión Europea, el Parlamento o el Consejo de la UE así como las reacciones del legislador tras las revelaciones de Edward Snowden en materia de vigilancia electrónica.[/su_spoiler]