El martes 15 de diciembre el Consejo y el Parlamento Europeo aprobaron el acuerdo final sobre el Reglamento Europeo de Protección de Datos, un único régimen para ciudadanos y organizaciones en todo el territorio europeo, sustituyendo el régimen actual.
Se prevé que el jueves la Comisión LIBE dará su aprobación y el texto definitivo se someterá a principios del año 2016 a votación del Parlamento, después de lo cual las Organizaciones tendrán dos años para aplicar las disposiciones de la nueva regulación de la UE.
Hasta el momento, en el ámbito europeo la protección de datos estaba protegida por la principal norma en la materia, la Directiva 95/46 de la Unión Europea, pero teniendo en cuenta las consecuencias de los desarrollos tecnológicos, la globalización de los intercambios de datos, de un tiempo a esta parte este régimen de protección había quedado obsoleto y era evidente la necesidad de someterlo a un profundo proceso de revisión.
Como principales novedades destacan las siguientes:
- Se trata de un Reglamento que no prevé la desaparición de las leyes de Protección de Datos locales de cada Estado miembro, sino que prevé la pervivencia de estas normativas en los aspectos no tratados por éste.
- Se encuentra armonizado para todos los países de la Unión Europea, en tanto en cuanto ha de tener en cuenta su aplicación en todo el territorio europeo.
- Incorpora nuevos elementos y exigencias como los conceptos de «privacy by design» y «accountability» o la exigencia de la realización de «Privacy Impact Assessments» o «PIA’s«.
- Permite la evolución de las transferencias internacionales, con refuerzo del instrumento de las BCRs.
- Respecto a los ciudadanos, les concede mayores privilegioscomo un mayor acceso a sus datos, y mejores controles acerca del tratamiento y uso que se hace de ellos.
- Respecto a las empresas, se establece un marco legal único, la posibilidad de seleccionar la autoridad de control bajo determinadas circunstancias con el mecanismo de «one-stop-shop»y se potencia la implantación de la protección de datos con el Data Protection Officer o DPO.
Sin duda el régimen establecido hasta el momento va a sufrir cambios significativos, para los que sin duda habrá que trabajar intensamente en los dos próximos años para actualizar y mejorar, entre otras cosas, las herramientas de automatización de cumplimiento respecto al contenido del nuevo Reglamento.
Hay que tener en cuenta que una de las principales preocupaciones a las que responde la nueva normativa son los retos que plantea el Ciberespacio o Internet, pues el Reglamento entra a considerar el concepto de un nuevo mundo, que carece de territorio y fronteras físicas, y que no existía prácticamente cuando se aprobó la Directiva 95/46/CE.
Hasta el momento, existía un intento de aplicar conceptos jurídicos tradicionales, basados en legislaciones de carácter nacional y por tanto vinculadas a un territorio (principio territorial), intentando ordenar el Ciberespacio, pero es una labor difícil de limitar al carecer éste de los mencionados territorios y fronteras.
Las autoridades nacionales, el poder judicial y el poder legislativo tienen limitado su poder a determinadas fronteras o territorios y los operadores de Internet (al menos los principales) carecen de dichas fronteras.
Es por ello que ante este ciberproblema, el Reglamento aunque correcto en muchos aspectos, debería ser el medio para profundizar en una cibersolución, en vez de tratar de aplicar normas que por su concepto, están atadas a un espacio determinado como es el de Europa.
Internet está cambiando las reglas de ordenación jurídica tradicionales. El Derecho no debe quedarse atrás y debe comenzar a estudiar Internet con un enfoque diferente, es decir, la solución pasa por estudiar y aplicar una nueva disciplina jurídica: El Ciberderecho.
No es la Ley la que rige Internet sino Internet el que rige el derecho. #UnCiberproblemaUnaSolucion
Enlace a la nota de prensa de la Comisión Europea
Álvaro Écija (@Alvaro_ecija)
Managing Partner at Ecix Group (@EcixGroup)
Leave a Comment