El 21 de julio se impartió en la sede del ICAB una sesión informativa sobre cuál era la situación actual de la reforma europea de protección de datos, que inició su andadura en 2012.
Le detallamos aquí algunos de los puntos expuestos:
-De entrada, cabe recordar que hay en escena tres actores: la Comisión Europea (COM), el Consejo de Europa (CE) y el Parlamento Europeo (PE), cada uno de ellos haciendo sus aportaciones y valoraciones.
-De cerrarse, según el compromiso adquirido entre las partes, en diciembre 2015, el ámbito de aplicación será en 2018.
-Se añaden a los derechos ARCO, dos más: a la “portabilidad” y “al olvido”.
-Intención clara de desaparición de cargas administrativas para las empresas.
-No está todavía clara la continuidad de la obligatoriedad de inscripción de ficheros.
-Se hace énfasis en la evaluación de riesgos en cuanto a medidas de seguridad.
-Reforzamiento de la colaboración/cooperación entre Agencias europeas.
-Régimen sancionador a nivel europeo.
-Se ha llegado ya a un acuerdo en el tema de las transferencias internacionales.
-Aunque se prevé difícil, Directiva y Reglamento deberían aprobarse a la vez, según PE y COM, no así para el CE.
-Se detectan en la Directiva muchas divergencias.
-Se sigue debatiendo sobre “qué es interés público”.
-Se sigue debatiendo sobre “qué es obligación legal”.
-Se establecen especificaciones para el sector público.
-El ámbito de aplicación en instituciones públicas provoca divergencias entre CE y PE.
-Existen divergencias entre los ámbitos de aplicación, Reglamento y Directiva.
-Régimen sancionador más laxo, sin aparente justificación.
-Directiva para los Cuerpos y Fuerzas de Seguridad del Estado.
-Determinar claramente los términos “base legal”, “finalidad” e “interés legítimo”.
-La base legal para archivística, científica y estadística es su finalidad, según el CE, aunque ofrece dudas (caso FB).
-Determinación de términos de consentimiento: “explícito” e “inequívoco“; la inacción no vale.
-Responsabilidad activa. Prevención. La COM era más rígida, pero el CE se decanta por “enfoque del riesgo”.
-Cómo se mide el riesgo y cómo guiar a los responsables.
-Cuándo se estará en “riesgo alto” (problemas para las Pyme)
-Tema documentación: el CE exime a las Pyme… salvo excepciones por riesgo.
-Quiebras de seguridad: notificarlas todas (complicado), excepto si se han tomado medidas ulteriores.
-Códigos de conducta.
-DPO: la COM y PE abogan por la obligatoriedad; el CE, por la voluntariedad, salvo ley nacional.
-Art. 43 bis: conflictos a respuesta, o no, a terceros países.
-Ventanilla única europea para resolución de conflictos.
-Derecho de oposición incondicionado si se tratan los datos en “interés legítimo”.
-Las excepciones al art. 21.
-Más que régimen sancionador, se habla de “multas administrativas”, pero sin baremos previos: así, puedes ser sancionado a Cero € o hasta el 5% de la facturación de la sociedad… pero sin saber en base a qué, porque no hay tipificación de infracciones, ni establecimiento de éstas en leves, graves, muy graves (p.e.).
-Información a interesados; en el art. 9 se indica que los datos sensibles NO pueden ser tratados sin informar al interesado… salvo base legal. Además, cuando los datos los ha hecho “manifiestamente públicos” el propio interesado (incluso datos sensibles), éstos se pueden tratar sin informar.
-Cambio en las fuentes accesibles al público: SÍ lo es Internet y las Redes sociales.
En definitiva, una densa -pero muy amena por parte de Rafael García- sesión informativa sobre este asunto (en fase todavía de proyecto “a tres bandas”) al que le queda todavía un muy largo recorrido.