jueves, 9 de julio de 2015

NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS EUROPEO

Hasta la fecha la Directiva 95/46/CE ha venido constituyendo el texto de referencia, a escala europea, en materia de protección de datos personales. Esta directiva creó un marco regulador destinado a establecer un equilibrio entre un nivel elevado de protección de la vida privada de las personas y la libre circulación de datos personales dentro de la Unión Europea fijando los límites estrictos para la recogida y utilización de los datos personales y germen de las Agencias estatales en cada estado miembro encargadas de la protección de los mencionados datos.

Esta normativa con una antigüedad de más de 20 años requería una actualización, necesaria para reforzar la protección de los datos personales y responder a los retos que suponen las nuevas tecnologías de la información, la globalización y la tendencia cada vez más extendida de utilizar datos personales en investigaciones criminales. La Comisión Europea propuso una nueva legislación en Enero de 2012, recogiendo la iniciativa de la Comisaria Europea de Justicia y Derechos Fundamentales, Viviane Reding, iniciativa que por fin ha llegado a un acuerdo político entre los ministros europeos de Justicia, cerrándose así tres años de negociaciones sobre el reglamento de protección de datos personales que aunque tendrá que pactarse aún con el Parlamento, Austria y Eslovenia mantienen reservas sobre el acuerdo, pero lejos de una minoría de bloqueo, permitirá que los 28 países del bloque se regulen por las mismas normas, hasta ahora muy diversas entre sí.

Esta iniciativa adaptará la Directiva 95/46/CE al mundo de internet y a las nuevas tecnologías, buscando reforzar el control de las personas sobre sus datos y facilitar a las empresas el salto a la economía digital, armonizando el nivel de protección en toda la UE. La nueva normativa endurecerá las normas sobre transferencias de datos a países terceros e incrementará las multas contra empresas que incumplan la ley, pudiendo llegar hasta un millón de euros o el 2 por ciento del volumen anual de negocios.

El paquete legislativo formado por dos bloques normativos: una directiva de mínimos, que reemplaza una decisión marco del Consejo de 2008 que se aplica a los datos personales procesados en el marco de la cooperación policial y judicial, dado que hasta ahora, las reglas europeas en este ámbito se aplicaban a los datos intercambiados por las autoridades de distintos Estados miembros y el reglamento general del que hablamos que es el aprobado, que cubrirá la práctica totalidad de los datos procesados en la UE, desde las redes sociales, las páginas de compras por internet o los servicios bancarios en línea hasta los registros universitarios y de hospitales, pasando por las bases de datos de clientes de las empresas.

De esta forma si un país tercero pide a una empresa (por ejemplo, una red social, un motor de búsqueda o un proveedor de servicios en la nube) que le proporcione información personal procesada en la UE, la compañía tendría que obtener el permiso de la autoridad nacional de protección de datos e informar a la persona en cuestión antes de enviar la información. Esta es la propuesta de la Eurocámara ante los programas de vigilancia de la Agencia Nacional de Seguridad de EE.UU.

El nuevo reglamento recoge por primera vez de forma expresa el derecho al olvido, que aunque ya reconocido por el Tribunal de Justicia de la UE, resolviendo la cuestión prejudicial planteada en marzo de 2012 por nuestra Audiencia Nacional estableciendo el importante precedente de clarificar las responsabilidades de los motores de búsqueda frente al contenido de terceros, poniendo las bases para poner fin a la desprotección de los usuarios.

Y este criterio es el que ha seguido el Reglamento, al establecer que se aplicará a las empresas europeas pero también a las compañías extracomunitarias, como Facebook o Google, cuando ofrezcan sus servicios a consumidores europeos, no olvidemos que en todo el proceso vinieron defendiendo que se debían regir por las normas de la legislación estadounidense -país donde se encuentra sus sedes- y no por las leyes de la Unión Europea o el país donde prestase sus servicios en cuestión.

Derecho que cualquier usuario podrá ejercitar en el sentido de solicitar del motor de búsqueda, la eliminación de referencias que pudiera afectarle, aunque esta información no haya sido eliminada por el editor, ni dicho editor haya solicitado su desindexación.

El derecho a la protección de datos de las personas prevalece así, con carácter general, sobre el “mero interés económico del gestor del motor de búsqueda” salvo que el interesado tenga relevancia pública y el acceso a la información esté justificado por el interés público. Su aplicación en caso de oposición no obstante seguirá estando en manos de las autoridades de protección de datos o de los tribunales.

Otra de las posibilidades que ofrece la nueva normativa tiene que ver con la llamada "portabilidad de datos", que permitirá a los usuarios solicitar a cualquier empresa de Internet tipo red social, extraer todos los datos que ha volcado y trasladarlos a otra compañía en la que considere, por ejemplo, que gozan de mayor protección.

El Reglamento que iremos tratando en próximas colaboraciones, será una pieza central de la reforma de la protección de datos en la UE y tendrá un impacto significativo y de gran alcance en general para las empresas y especialmente para las sanitarias en el contexto de una economía cada vez más basada en los datos. Así se actualizarán principios jurídicos existentes y otros que se aplicaran para afrontar los retos derivados de la globalización y los avances tecnológicos a fin de garantizar una protección efectiva del derecho fundamental a la protección de datos.

Publicado en Redacción Médica el Jueves, 09 de julio de 2015 . Número 2728. Año XI.

No hay comentarios: