España pide flexibilizar el contenido del Reglamento de Protección de Datos de la UE.
En el seno del Grupo de Trabajo sobre Intercambio de Información y Protección de Datos (DAPIX en sus siglas) ha visto la luz el pasado 11 de febrero de 2012, un documento (en inglés) donde se expone la postura de varios países sobre la reforma de la protección de datos a nivel europeo. Ya saben, la famosa “propuesta de Reglamento” que sustituirá, si se aprueba, a la vigente Directiva 95/46.
Lo primero que llama la atención sobre el citado documento es que el pobre e improductivo españolito de a pie hace más observaciones al texto citado que el resto de países que aparecen.
Como si de Eurovision se tratase, podemos decir aquello de “Spain, 40 points (páginas)”, mientras que “los del Skoda” (Chequia) se queda en unas míseras 4, los “amigos de Sabonis” (Lituania) ni eso y llegan a 2, los “del barrio rojo” (Holanda) aumentan hasta 16, los “del anterior Papa” (Polonia) bajan 7, los portugueses que son igual de desgraciados que nosotros bajan aún más y se quedan en 3, la parte pobre de Chequia (Eslovaquia) gana a la parte rica sumando 8, y finalmente, los “del té a todas horas” (Reino Unido) alcanzan las 13 páginas.
Resumiendo, que además de ser una potencia en fútbol, corrupción y paro, lo somos también en protección de datos, y sin necesidad de inventar términos pomposos como el “Privacy by design”, los “Privacy Impact Assessment” o el “Data Proteccion Officer” (que en la spanish version pasa a ser “El Delegado”).
Dejando de lado la sátira lírico-jurídica, pasemos a comentar lo más importante que propone la “Spanish Delegation” sobre la reforma de protección de datos, que se puede resumir en lo siguiente: flexibilizar su contenido (para otros, vaciarlo de contenido).
RESPONSABLE DEL FICHERO Y ENCARGADO DEL TRATAMIENTO.
Artículo 22. Obligaciones del responsable del tratamiento.
Existirían dos tipos de modelos:
– Flexibilizar las trabas administrativas y procedimentales (como la obligación de registrar ficheros) a cambio de incorporar elementos que supongan un valor añadido a la organización como el DPO o la certificación de las políticas (entiendo procedimientos para gestionar los tratamientos);
– Si no se incorporan estos valores añadidos, hay que aumentar las cargas burocráticas, ya que a su vez pueden ser controladas (por la Autoridad de Control).
Sugerencias:
– Sustituir el “el responsable adoptará las medidas y políticas…” por “el responsable debe adoptar”;
– Si no hay DPO conforme al artículo 35 de la propuesta, se obtendrá un certificado sobre los procedimientos;
– Se elimina la delegación a la Comisión para desarrollar este precepto porque se considera que no es necesario, ya que están en otras partes del texto de la propuesta.
Artículo 23. Protección de datos por diseño y defecto.
Teniendo en cuenta la opinión de determinados sectores (¿la industria?) hay que flexibilizar la privacidad por diseño atendiendo a las características de cada sector.
Sugerencias:
– Párrafo primero, introducir que la privacidad por diseño se ajustará a “la actividad y objetivo” del responsable;
– Párrafo segundo, introducir la mención de que a la hora de implementar la “privacidad por defecto”, “los datos no se tratarán de forma excesiva”. La razón es realizar una definición más precisa de la privacidad por defecto.
– Eliminar la delegación a la Comisión para desarrollar este precepto.
Artículo 24. Corresponsables del tratamiento.
Cuando existen varios responsables se pueden articular dos modelos a la hora de exigir responsabilidades:
– Solidaria: el sujeto puede dirigirse a cualquiera de los responsables y éstos deberán asegurarse cada uno de cumplir con sus obligaciones;
– “Distributiva”: que es la por la que opta la propuesta. Los responsables determinan entre sí sus obligaciones, que conlleva una serie de obligaciones procedimentales y de transparencia.
Sugerencia:
– Documentar las responsabilidades de cada uno de los responsables cuando existan varios y comunicarlo a los titulares de los datos. De lo contrario, el titular podrá dirigirse para exigir sus derechos a cualquiera de los responsables.
Artículo 25. Representantes de responsables que no estén establecidos en la Unión Europea.
Se valora muy positivamente la redacción de este artículo, de manera que sólo se hace una única propuesta:
En las excepciones de no designar representante si la empresa tiene menos de 250 trabajadores, introducir la matización “a menos que realicen tratamientos de alto riesgo (probablemente datos especialmente protegidos) de acuerdo a la tipología de datos o el número de afectados”.
Artículo 26. Encargado del tratamiento.
Que se tenga que documentar cualquier tipo de actuación del encargado es demasiado burocrático. Asimismo, en el caso de que el encargado trate los datos sin seguir las órdenes del responsable, éste podría ser responsable en algunos casos aplicando la llamada “culpa in vigilando”.
Sugerencias:
– Sustituir en el párrafo 2 la obligación de que en el contrato firmado entre ambos aparezca “que el encargado sólo podrá subcontratar mediante autorización previa del responsable” por “condiciones por las que se puede subcontratar”.
– En el caso de responsabilidad del encargado que hemos mencionado antes, añadir la frase “sin perjuicio de las correspondientes obligaciones del responsable”.
Artículo 27. Tratamiento bajo la autoridad del responsable y del encargado.
Se sugiere la eliminación de este precepto porque no aporta nada.
Artículo 28. Documentación (obligaciones de conservación)
Demasiadas exigencias administrativas si tenemos en cuenta aquellas organizaciones que han designado un DPO o certificado sus procedimientos. Es decir, si ya se aporta un valor añadido, que aumenta la confianza en el tratamiento de los datos, habría que reducir las cargas administrativas.
Sugerencia principal:
– Cambiar las obligaciones de documentación que contiene este artículo (nombre/datos del responsable o encargado, fin del tratamiento, tipos de datos..etc) que actualmente afecta a todos los responsables/encargados, únicamente a aquellas organizaciones que no hayan designado un DPO o certificado sus procedimientos.
SEGURIDAD DE LOS DATOS.
Artículo 30. Seguridad del tratamiento.
Flexibilizar las obligaciones de seguridad para que sean acordes a cada sector (suena otra vez a una propuesta de la industria).
Sugerencias:
– Cambiar la redacción del primer párrafo de manera que “Teniendo en cuenta las técnicas existentes y el coste de las mismas…..se adoptarán las medidas de seguridad”, es decir, esta frase aparecía al final del citado párrafo. Lo que se busca es darle más énfasis que en la actualidad que aparece al final del citado párrafo.
– Eliminar el contenido del segundo párrafo que se refiere a la finalidad de adoptar las medidas de seguridad. En su lugar, se incluiría lo que conocemos como “deber de secreto” (Ver LOPD al respecto).
– Eliminar la delegación a favor de la Comisión.
Artículo 31. Notificación de una violación de los datos personales a la autoridad de control.
Este artículo debe ser profundamente modificado: notificar cualquier violación de seguridad puede producir que la Autoridad de Control sea inoperativa (colapsarla); el plazo de 24 horas para notificar la violación puede no cumplirse (es demasiado exigente); y no es necesario establecer las condiciones mínimas que debe tener el documento para notificar la violación ya que dependerá de cada sector.
Sugerencias principales:
– Sólo se notificará cuando exista un alto riesgo, eliminado así la obligación de notificar la violación siempre, independientemente de cómo sea.
– Eliminar el contenido de la notificación de violación.
– Eliminar la delegación a favor de la Comisión.
Artículo 32. Comunicación de una violación de seguridad al afectado.
Se propone introducir un nuevo párrafo, en virtud del cual, no se notificará la violación de seguridad al afectado cuando dicha comunicación pueda obstaculizar la correspondiente investigación.
EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS Y AUTORIZACIÓN PREVIA.
Artículo 33. Evaluación de impacto (PIA)
Demasiadas cargas administrativas, si tenemos en cuenta, además, que algunas organizaciones contarán con un DPO.
Sugerencias:
– PIA cuando no exista DPO o certificación, es decir, que exista riesgo en el tratamiento y además no se cuente con DPO o certificación.
– También se propone cambiar el apartado 2 del artículo que regula los supuestos donde existe un riesgo específico y que deberían realizarse los PIA por otro en que sean las Autoridades de Control los que hagan pública una lista de supuestos de riesgo sometidos a los PIA.
Artículo 34. Autorización y consulta previa (a la Autoridad de control sobre determinados tratamientos)
Sigue los criterios de artículos anteriores, demasiadas trabas administrativas. Si hay DPO o certificación, no sería necesario pedir la autorización.
Artículo 35. Nombramiento del DPO.
El DPO juega un papel esencial a la hora de que el contenido del Reglamento se cumpla. La mejor manera de cumplir no es estableciendo la obligatoriedad del nombramiento del mismo, sino fomentando la conciencia en la cultura de protección de datos.
Por todo ello, se debe eliminar la obligatoriedad de nombrar un DPO (empresas de más de 250 trabajadores…etc) pasando a ser su nombramiento facultativo.
Conclusión: aunque sean meramente propuestas, mucho me temo que cuando se apruebe el Reglamento, pocos lo vamos a reconocer.
Amedeo Maturo Senra
15 de febrero de 2013 @ 10:54
Interesante, como siempre. Sólo una duda, ¿cómo se ha comportado el País de la pizza e spaghetti alla carbonara?
fjaviersempere
15 de febrero de 2013 @ 11:17
Hola Amedeo,
Italia no aparece en este documento, por lo que no tengo ni idea.
No obstante, es posible que dado su régimen jurídico ya que en algunos casos son más exigentes (Priori checking, regulación de datos biométricos, cancelación de imágenes en algunos casos en 7 días) es posibles que estén más a favor de la propuesta que la flexibilización hispana.
Obviamente, es sólo una opinión.
Amedeo Maturo Senra
15 de febrero de 2013 @ 11:25
Me da mucha pereza analizar la legislación italiana sobre la “privacy”. Por cierto, es curioso que no exista ninguna traducción satisfactoria para el término inglés al italiano (vita privata, intimità, riserbo, segretezza…). Tampoco aparecen contributos, a primera vista, en la Web http://www.garanteprivacy.it/.
Si hay especialistas italianos leyendo esto, que “rulen” su blog.
Amedeo Maturo Senra