[su_pullquote align=»right»]Por Gregory Voss[/su_pullquote]
¿Es posible que la reforma propulsada en 2012 por la UniĂ³n Europea (UE) con el objetivo de garantizar un alto nivel de protecciĂ³n de los datos personales de los ciudadanos de los 28 paĂses miembros vea finalmente la luz en 2017? Es muy probable. No obstante, todavĂa queda por alcanzar un acuerdo entre el Parlamento Europeo, el Consejo de la UE y la ComisiĂ³n Europea. Es la hora del diĂ¡logo tripartito.
Estas tres instituciones de la UE estĂ¡n negociando desde junio de 2015 con el objeto de alcanzar un acuerdo sobre un Ăºnico texto, el Reglamento general de protecciĂ³n de datos (RGPD). Quedan algunos puntos de desacuerdo entre el Parlamento y el Consejo, especialmente en materia de obtenciĂ³n del consentimiento individual en cuanto al tratamiento de los datos personales, los derechos y deberes de las empresas de recopilaciĂ³n de datos y el importe de las multas en caso de incumplimiento.
Desde el año 2012, la ComisiĂ³n Europea ha propuesto una nueva legislaciĂ³n sobre la protecciĂ³n de datos de carĂ¡cter personal. Pese a que el texto fue aprobado por el Parlamento Europeo el 12 de marzo de 2014, aĂºn tiene que ser validado por el Consejo de la UE. Esta reforma permitirĂ¡ proteger a los ciudadanos europeos y sus datos personales, incluso frente a empresas transnacionales responsables del tratamiento de datos obtenidos a travĂ©s de Internet cuya sede no se encuentre en la UE. Aunque el nivel de protecciĂ³n de los datos personales es de por sĂ elevado, el nivel de sanciones econĂ³micas es demasiado bajo, contrariamente a lo que sucede en Estados Unidos.
Una vez que las tres instituciones de la UE implicadas hayan alcanzado un acuerdo sobre el proyecto de ley, este sĂ³lo podrĂ¡ adoptarse tras sus correspondientes dos lecturas consecutivas en el Parlamento, elegido directamente por el pueblo, y por el Consejo, que reĂºne a los gobiernos de los 28 Estados miembros. Tras su aprobaciĂ³n (sin lugar a duda en 2016, aunque algunos creĂan que sucederĂa a finales de 2015), serĂ¡ aplicable en el plazo de dos años tras su adopciĂ³n.
Este RGPD armonizarĂ¡ el derecho europeo y ademĂ¡s podrĂa tener como ventaja el iniciar un proceso de armonizaciĂ³n del derecho internacional «desde arriba», en materia de protecciĂ³n de datos personales. Asimismo, y segĂºn los cĂ¡lculos de la ComisiĂ³n, la reducciĂ³n de la carga administrativa mediante este Ăºnico texto de ley permitirĂ¡ ahorrar 2,3 billones de euros por año.
Puede parecer un proceso un tanto largo, pero conviene recordar que fueron necesarios cinco años para negociar la Directiva Europea de 1995 sobre la protecciĂ³n de datos de carĂ¡cter personal. En lo que respecta al RGPD, todavĂa llevamos tres años y medio con el proceso, por lo tanto, sigue habiendo un margen.
EL RGPD es objeto de un intenso trabajo de presiĂ³n para los representantes de los responsables del tratamiento de los datos, quienes, aunque ralentizan el trabajo legislativo, pueden desempeñar un papel legĂtimo informando al legislador sobre las realidades de las sociedades encargadas de la recopilaciĂ³n de datos.
Desde el caso Snowden, la reforma legislativa ha sido testigo de numerosos sobresaltos. Edward Snowden, exconsultor de la CIA y miembro de la National Security Agency (NSA), revelĂ³ en junio de 2013 que el gobierno de los Estados Unidos habĂa obtenido de nueve gigantes norteamericanos de las nuevas tecnologĂas, informaciones de carĂ¡cter personal en relaciĂ³n con la personas que vivĂan fuera de los Estados Unidos, especialmente en el marco de un programa de vigilancia electrĂ³nica denominado PRISM. Desde el 21 de octubre de 2013, el Parlamento Europeo propuso un texto en el que una de las disposiciones estipulaba que «el responsable o el encargado del tratamiento informarĂ¡n […] al interesado si se han facilitado datos personales a las autoridades pĂºblicas durante el Ăºltimo periodo consecutivo de 12 meses». Indudablemente, esta disposiciĂ³n se debe al caso PRISM.
En general, los asuntos relativos a la protecciĂ³n de datos han atizado el debate sobre la privacidad en Europa, aunque hayan debilitado la confianza existente entre la UE y los Estados Unidos. Por ello, el 6 de octubre de 2015, en una causa sobre la transferencia de datos de un ciudadano austriaco a los Estados Unidos por el grupo de Facebook en Europa, el Tribunal de Justicia de la UE (TJUE) declarĂ³ nulos los Principios estadounidenses de puerto seguro (Safe Harbor Principales) que permitieron dicha transferencia. En caso de amenazas a la seguridad de los Estados Unidos, una clĂ¡usula autorizaba a las autoridades estadounidenses a acceder a los datos personales de los europeos. Por supuesto, el TJUE dio seguimiento a las conclusiones del abogado general a raĂz del anuncio de la decisiĂ³n de dicho tribunal que, en su opiniĂ³n, «esto se ha convertido en un problema para mĂ¡s de 4.000 sociedades norteamericanas y europeas que dependen de los Safe Harbor Principles para la transferencia de los datos de carĂ¡cter personal a los Estados Unidos». No obstante, estĂ¡ por ver quĂ© acciones emprenderĂ¡n las instituciones y las empresas europeas y norteamericanas de conformidad con esa decisiĂ³n.
Por otro lado, incluso a falta de un RGPD, el caso Google Privacy Policy puso de manifiesto que los Estados miembros de la UE tienen a su disposiciĂ³n las herramientas necesarias para obligar al buscador a respectar la privacidad y los datos personales. De este modo, tras varias Ă³rdenes judiciales, las autoridades de protecciĂ³n de datos personales de Alemania, España, Francia, Italia, PaĂses Bajos y Reino Unido, dictaron sanciones contra Google, en particular multas de varios de cientos de miles de euros. Incluso si estas penalizaciones son relativamente bajas en comparaciĂ³n al volumen de negocios de Google (59 mil millones de euros en 2014), apuntan a medidas de ejecuciĂ³n mĂ¡s estrictas basadas en el volumen de negocio de la empresa sancionada en el marco del proyecto de legislaciĂ³n europea.
En Francia, la ComisiĂ³n Nacional de InformĂ¡tica y Libertades (CNIL) discrepa de Google sobre la desreferenciaciĂ³n en respuesta a la decisiĂ³n del TJUE en contra de Google España. Desde el reconocimiento de este derecho por el tribunal, en 2014, cualquiera puede solicitar a un buscador que suprima los resultados que aparecen al buscar su nombre. En consecuencia, Google recibiĂ³ decenas de miles de solicitudes de ciudadanos franceses. Por consiguiente, procediĂ³ a la desreferenciaciĂ³n de determinados resultados de las extensiones europeas de los buscadores (.fr; .es; .co; .uk; etc.). Sin embargo, no realizĂ³ la desreferenciaciĂ³n en otros dominios geogrĂ¡ficos o incluso en google.com, pudiendo ser consultados por cualquier internauta. En mayo de 2015, la CNIL enviĂ³ un requerimiento a Google para que realizara dicha desreferenciaciĂ³n en todos los dominios. No obstante, Google sostiene que esta decisiĂ³n constituye una violaciĂ³n del derecho a la informaciĂ³n pĂºblica y, por tanto, una forma de censura. Lo mĂ¡s probable, es que se nombre a un ponente para que encuentre la mejor soluciĂ³n posible.
Mientras que la UniĂ³n Europea trata de alcanzar un acuerdo sobre un Ăºnico texto en materia de protecciĂ³n de datos personales, los gobiernos, como el de Francia, siguen reforzando su arsenal legislativo. El gobierno galo presentĂ³ el 26 de septiembre de 2015, un proyecto de texto sometido a la opiniĂ³n pĂºblica para una «RepĂºblica informĂ¡tica»: alrededor de 30 artĂculos relativos al secreto de las comunicaciones comerciales electrĂ³nicas, la portabilidad de los archivos o el libre acceso a los datos pĂºblicos. Esta consulta a los ciudadanos para la elaboraciĂ³n del documento es un proceso sumamente interesante, de cuya evoluciĂ³n habrĂ¡ que estar pendiente.
[su_note note_color=»#f8f8f8″]Por Gregory Voss y los artĂculos «European Union Data Privacy Law Developments» (Novedades en materia de privacidad de datos en la UniĂ³n Europea), publicado en The Business Lawyer (volumen 70, nĂºmero 1, invierno 2014-2015), «Looking at European Union Data Protection Law Reform Through a Different Prism: the Proposed EU General Data Protection Regulation Two Years Later» (Una mirada diferente sobre la reforma legislativa en materia de privacidad de datos en la UniĂ³n Europea: la propuesta de la UE para regular la protecciĂ³n de datos dos años mĂ¡s tarde) , publicado en Journal of Internet Law (volumen 17, nĂºmero 9, marzo 2014) y «Privacy, E-Commerce, and Data Security» (Privacidad, comercio electrĂ³nico y seguridad de los datos), publicado en The Year in Review, publicaciĂ³n anual de ABA/Section of International Law (primavera 2014), escrito junto con Katherine Woodock, Don Corbet, Chris Bollard, Jennifer L. Mozwecz y JoĂ£o Luis Traça..[/su_note]
[su_box title=»Aplicaciones prĂ¡cticas» style=»soft» box_color=»#f8f8f8″ title_color=»#111111″]El impacto del RGPD para las empresas dependerĂ¡ del texto final aprobado por la UE. Lo que sĂ es cierto, es que las empresas que manejan dichos datos tendrĂ¡n una mayor responsabilidad de ahora en adelante. Sin duda alguna, algunas empresas tendrĂ¡n que crear puestos de Responsables de ProtecciĂ³n de Datos (DPD) conforme al modelo Correspondant Informatique et LibertĂ©s (CIL) (Persona representante del CNIL en Francia. Por otra parte, se crearĂ¡n empresas especializadas en materia de protecciĂ³n de la privacidad. En consecuencia, se aconseja a los directivos de las empresas que estudien la legislaciĂ³n en materia de protecciĂ³n de datos personales con el objeto de ajustarse a la legislaciĂ³n cuando entre en vigor. Asimismo, se sugiere que los empleados se formen en materia de protecciĂ³n de datos personales. Finalmente, las empresas tendrĂ¡n que establecer procedimientos adecuados para cumplir con la legislaciĂ³n sobre la protecciĂ³n de datos de carĂ¡cter personal, incluso aquellas que permitirĂ¡n las notificaciones previstas por el RGDP sobre la violaciĂ³n de datos de carĂ¡cter personal.[/su_box]
[su_spoiler title=»MetodologĂa»]Con el objetivo de redactar los artĂculos sobre la legislaciĂ³n en materia de protecciĂ³n de datos de carĂ¡cter personal, he analizado cuantiosos documentos jurĂdicos asĂ como «cientos de pĂ¡ginas de propuestas, sanciones y notificaciones» obtenidos de los trabajos del G29, el grupo de trabajo independiente de la UE sobre el tratamiento de los datos de carĂ¡cter personal. En dichos artĂculos, se ha puesto en perspectiva las propuestas de las organizaciones europeas para la aprobaciĂ³n de un RGPD y ofrezco consejos prĂ¡cticos a las empresas. De la misma manera, se ha estudiado la evoluciĂ³n de las posiciones de las diferentes organizaciones europeas, tales que la ComisiĂ³n Europea, el Parlamento o el Consejo de la UE asĂ como las reacciones del legislador tras las revelaciones de Edward Snowden en materia de vigilancia electrĂ³nica.[/su_spoiler]