“Los datos son nuestra identidad y debemos ser dueñas de ella”. Con estas palabras la comisaria de Justicia de la Unión Europea (UE), Vera Jourová, celebraba los actuales cambios en la regulación de la Ley de Protección de Datos, que entró en vigor el 25 de mayo.
Unos cambios que reclamaban desde hace tiempo las asociaciones de protección de datos de los distintos países de la UE. El caso Snowden removió los cimientos de la seguridad al destapar, en 2013, el espionaje de la Agencia de Seguridad Nacional estadounidense (NSA, en sus siglas en inglés) a políticos, representantes de la UE, de la ONU o embajadas.
En España, la ley general de Protección de Datos es del año 1999 (transforma una directiva del 95), engloba la protección de datos en general y no regula sectorialmente cada campo de actuación. Una ley que se hizo cuando unos pocos estaban familiarizados con internet y el término Big Data ni existía tal y como lo conocemos.
El nuevo reglamento europeo entró en vigor el 25 de mayo aunque los países tienen dos años para trasladar los cambios de la directiva a la legislación nacional. Un reglamento que, según los representantes europeos, “quiere devolver a los ciudadanos el control de sus datos personales y garantizar en toda la UE unos estándares de protección elevados y adaptados al entorno digital”. Una nueva normativa que se ha elaborado durante cuatro años.
Para Iñaki Pariente de la Prada, exdirector de la Agencia de Protección de Datos vasca y actual socio de la consultora Dayntic Legal, las nueva regulación “tiene muy en cuenta la repercusión económica que tiene la utilización de los datos en las empresas. El dato vale. Y en las discusiones que han durado cuatro años, el Parlamento Europeo ha defendido la utilización de los datos aunque ha buscado el equilibrio para fomentar también su uso".
El último año los datos tuvieron especial protagonismo en la agenda europea: en junio de 2015 comenzaron las negociaciones a tres bandas entre la Comisión Europea, el Parlamento Europeo y el Consejo (institución esta última que reúne a los Gobiernos de los veintiocho países de la UE). El 15 de diciembre de 2015 se alcanzó un acuerdo preliminar, y la normativa fue aprobada en el pleno celebrado por la Eurocámara en abril de 2016.
La nueva regulación destaca los siguientes puntos:
- El derecho al “olvido”, mediante la rectificación o supresión de datos personales.
- La necesidad de “consentimiento claro y afirmativo” de la persona concernida al tratamiento de sus datos personales.
- La “portabilidad” o el derecho a trasladar los datos a otro proveedor de servicios.
- El derecho a ser informado si los datos personales han sido pirateados.
- Lenguaje claro y comprensible sobre las cláusulas de privacidad.
- Multas de hasta el 4% de la facturación global de las empresas en caso de infracción.
Pariente de la Prada destaca que con el nuevo reglamento “cualquier proveedor de servicios -aunque sea estadounidense- va a tener que seguir la normativa europea”. Uno de los problemas que señala el experto en datos es que “el reglamento es por naturaleza de aplicación directa y se aplica automáticamente”.
Por ello durante estos dos años los estados tienen que familiarizarse con él e interpretarlo. El director de Dayntic Legal incide en el cambio esencial del aspecto sancionador: “Si una empresa, por ejemplo, elabora perfiles sin tener en cuenta la nueva reglamentación le pueden multar con un millón de euros". En este sentido, puntualiza como clave "la evaluación previa antes de realizar una recogida de datos".
“Las empresas deben articular un plan de tratamiento de los datos antes de recogerlos. Tienen que señalar qué tipo de datos van a recoger y para qué, si necesita consentimiento. Es una forma de autoevaluarse. Es un cambio de enfoque total“, concluye.