A finales de 2015 el Parlamento Europeo aprobó la propuesta de la Comisión para dotar a la Unión Europea de una nueva legislación de protección de datos que será ratificada, se espera, a principios de este año.
En realidad la última versión publicada, de la que todavía sólo disponemos de la versión en inglés, continúa pareciendo un borrador, ya que mantiene los párrafos que han sido eliminados en la última versión y la numeración antigua de las modificaciones anteriores, pero con las pertinentes adaptaciones, de forma que se tratará del texto definitivo.
El objetivo de esta nueva legislación de protección de datos es el mismo que el de la anterior Directiva 95/46/EC: asegurar un nivel adecuado de protección sin obstaculizar el libre movimiento de datos en el mercado interno europeo, para lo cual es necesaria una regulación que provea de certeza jurídica y transparencia para los operadores económicos. Por este motivo, el texto se aprueba con la categoría de Reglamento, lo que implica que será de aplicación directa en todos los estados miembros, a diferencia de las Directivas que deben ser transpuestas por cada Estado. Así, el Reglamento implanta una legislación uniforme y eliminará la fragmentación que existía en cuanto a la implementación de la Directiva en cada uno de los países. No obstante, eso no significa que los estados dejen de tener previsiones locales que desarrollen dicha regulación. De hecho, se permitirá que haya leyes específicas en sectores que necesiten algunas provisiones especiales.
A pesar de tener los mismos objetivos que la Directiva anterior, como no podía ser de otra forma, el Reglamento introduce las siguientes grandes novedades:
- Introducción del concepto pseudoanonimización como categoría intermedia entre los datos personales y los datos anónimos. Los datos pseudoanónimos son definidos por el texto como los que con el uso de información adicional pueden atribuirse a una persona física. Para determinar si esto puede llegar a ocurrir será necesario valorar si el encargado de tratar la información podrá, con medios razonables, identificar al usuario de forma directa o indirecta. En cuanto a esos medios que pueden ser razonablemente utilizados, el Reglamento hace referencia a factores objetivos como el coste, el tiempo requerido para la identificación, la tecnología disponible en el momento de tratar la información así como el desarrollo tecnológico.
- En cuanto al consentimiento, se concreta de forma específica que será necesario que el usuario realice una acción afirmativa para consentir, de manera que las casillas premarcadas o la inactividad del usuario no constituirá un consentimiento válido, lo que elimina la posibilidad del consentimiento tácito. Asimismo, parece que se pretende reforzar la definición del concepto de interés legítimo para tratar los datos por parte de los operadores del mercado, sin solicitar consentimiento al usuario. El texto menciona expresamente ciertos casos en los que se considera que existe la presunción de interés legítimo, como la transmisión de datos entre empresas de un mismo grupo empresarial para finalidades de administración interna o el tratamiento de los datos para asegurar la seguridad de la información. Por último, se modifica la edad por defecto para que los menores puedan consentir por sí mismos y no a través de quien ostente su patria potestad, que pasa de los 14 años que establece actualmente la LOPD a 16, aunque este límite podrá reducirse por parte de los estados miembros, sin bajar de los 13 años.
- Nuevos derechos para el usuario:
Derecho al olvido. Se define expresamente en el texto legal y adquiere una regulación específica tras la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció el derecho del usuario a pedir al responsable la eliminación de sus datos. Este derecho existe cuando se cumplan los siguientes requisitos: que los datos ya no sean necesarios para las finalidades para las cuales fueron solicitados, que el usuario haya retirado el consentimiento y que no exista obligación legal de conservarlos.
Derecho a la portabilidad de los datos personales. El usuario tendrá derecho a recibir sus datos personales, que él mismo haya provisto de una forma estructurada y en formato digital a un responsable, y a que sean transferidos a otro responsable directamente y sin obstáculos cuando sea técnicamente factible.
- Nace el DPO (Data Protection Officer). Esta figura del delegado de protección de datos será obligatoria en ciertos casos, entre los que cabe destacar las administraciones públicas, salvo los órganos judiciales, y para las entidades que traten datos personales a gran escala en casos como el profiling. Asimismo, será exigible el DPO cuando se traten categorías de datos especialmente protegidos como los que revelan el origen racial o étnico, ideología, religión o creencias filosóficas, afiliación sindical, datos genéticos, el tratamiento de datos biométricos para identificar unívocamente a una persona, así como los relativos a la salud y vida y orientación sexual. Y también cuando se traten datos relativos a condenas y antecedentes penales.
- Se establece la obligación de realizar análisis de riesgos y evaluaciones de impacto para determinar el cumplimiento normativo.
- Se amplía la obligación de comunicar las brechas o incidentes de seguridad, tanto a los afectados como a la AEPD, a todos los operadores del mercado que traten datos de carácter personal en un plazo de 72 horas (actualmente es obligatorio para los operadores de telecomunicaciones en un plazo de 24 horas).
En conclusión, esta reforma no sólo refuerza los derechos de los ciudadanos, sino que también adapta a la era digital la normativa para las empresas y entidades, ya que la introducción de todas estas novedades va a suponer la revisión de sus actuaciones en materia de protección de datos, para adaptarlas y adecuarlas a los nuevos requerimientos. El propio texto legal establece un plazo de dos años desde su entrada en vigor para ello.
Y, como toda norma nueva y recién estrenada, despeja y concreta la interpretación de ciertos aspectos que actualmente están sometidos a la interpretación de las autoridades de protección de datos, pero también, como no podía ser de otra manera, introduce otros conceptos y aspectos que todavía no sabemos cómo se pretenderá aterrizar y quedarán sujetos a la interpretación que una vez entrado en vigor pueda hacerse de ellos.
Imagen: Perspecsys Photos

Soluciones y Sectores
Te puede interesar
-
Nodo IoT: el corazón de los edificios inteligentes en una smart city
Una ciudad se compone de edificios de todo tipo (residenciales, comerciales, industriales, públicos…) y para que se considere una ...
-
Una industria conectada es una industria sostenible
La industria manufacturera representa el 11,3% del PIB español pero es responsable del 24% del consumo energético y el ...
-
Radiografía de la experiencia de empleado en España
Las nuevas formas de trabajo suponen un cambio fundamental en la cultura de las organizaciones y una valiosa herramienta ...