Bruselas propone rebajar las exigencias de protección de datos a las multinacionales
Bruselas gobierna con mano de hierro la protección de los datos personales de sus ciudadanos dentro y fuera de sus fronteras. Una política que provoca problemas a las empresas, especialmente a las multinacionales que transmiten miles de datos a filiales y matrices situadas fuera de la UE. Conscientes de ello, los expertos de la Comisión Europea han presentado una propuesta para suavizar las restricciones a estas compañías. El objetivo es permitir que se autorregulen con códigos de conducta.
Cuando una sociedad europea realiza un gesto tan sencillo como enviar a una filial o a una matriz una copia del contrato de trabajo de un nuevo directivo, un complejo y pesado mecanismo comienza a operar. La férrea política de protección de datos de la Unión Europea (UE) impide, como norma general, transmitir esa información fuera de las fronteras comunitarias, excepto si se trata de países cuya política en este campo cuenta con el visto bueno de Bruselas.
'En el resto de los casos, las empresas tienen que pedir una autorización singular a la autoridad de protección de datos de cada país (en España, la Agencia de Protección d e Datos) y esperar a que ésta analice las circunstancias y resuelva', explica Javier Aparicio, especialista de Cuatrecasas. El proceso, al menos en España, puede durar meses.
Conscientes de los graves problemas que esto origina a las compañías, los expertos de la Comisión Europea (CE) han propuesto suavizar este procedimiento para las multinacionales que actúan en varios países y transmiten miles de datos a lo largo y ancho del planeta. La propuesta plantea permitir a estas entidades elaborar códigos de conducta que, una vez sometidos a la supervisión de la Comisión, les permitan operar sin necesidad de autorizaciones puntuales. Esas normas deberían ser auditadas de forma regular, de forma que pudiese controlarse su cumplimiento.
Las grandes empresas exportan a sus filiales miles de datos personales de clientes y plantilla
'Creo que permitir la elaboración de estas normas de autorregulación sería una buena solución, aunque lógicamente tendrían que estar sujetas a algún tipo de supervisión', señala Aparicio. El especialista de Cuatrecasas, sin embargo, no considera fácil que esta solución se adopte en España. 'Nuestra Agencia de Protección de Datos es muy reacia a conceder autorizaciones genéricas y no creo que acepte una solución de este tipo', apostilla.
Trabajadores y clientes
Pero, ¿qué tipo de datos envían y reciben estas empresas del exterior? Según los expertos en este tipo de legislación, el grueso de datos que se transmiten corresponden a clientes y trabajadores. La mayor parte de las multinacionales, por ejemplo, tienen centralizados los ficheros de recursos humanos en la matriz y ésta, a menudo, está fuera de las fronteras europeas. 'Es una carga tener que realizar solicitudes a Protección de Datos, ya que enviamos mucha cantidad de información a algunas de nuestras filiales en el exterior', explica un responsable de área de una gran empresa española. La propuesta de los expertos de Bruselas, que todavía deberá ser examinada por los servicios de la CE para decidir sobre su viabilidad, ahorraría a estas compañías tiempo y dinero.
Otro de los motivos que convierten a las multinacionales en exportadoras de datos personales es la necesidad de concentrar información para poder operar sin interrupción en todos los mercados. 'De todos es sabido que algunas multinacionales, especialmente las del sector financiero, recurren a servicios de tratamiento de datos en distintos continentes, para obtener operaciones ininterrumpidas durante 24 horas', afirman los expertos de la CE.
Bruselas aprobó hace un año un modelo de cláusulas de protección de datos que las empresas pueden utilizar al redactar contratos con Estados que no garantizan una adecuado control de la privacidad. Sin embargo, ello no ha liberado a las compañías de la carga de solicitar autorización a los organismos supervisores. 'Europa quiere asegurarse de que los datos de sus ciudadanos no se envían, por ejemplo, a dictaduras que no respetan la privacidad', resume Aparicio.
Argentina Aprobación con matices
Pese a que advierten de la existencia de ciertos 'puntos débiles' que las autoridades deben solucionar, la Comisión Europea considera aceptable el nivel de protección de los datos personales en Argentina. El dictamen, emitido el año pasado, constituye una buena noticia para las empresas españolas que han tenido o mantienen su presencia en la zona, pese a la crisis económica del país.
Suiza Estándar similar al comunitario
Tanto la Constitución suiza como las leyes promulgadas en cada uno de sus cantones cumplen escrupulosamente con los estándares de protección que exige la Comisión Europea. Los tribunales de ese país han ido delimitando un marco de protección que garantiza que la transmisión de datos de las empresas comunitarias pueda efectuarse sin problemas. La confidencialidad está garantizada.
Australia Ni pymes ni trabajadores
Las pymes australianas no tienen que cumplir obligaciones de protección de datos, a no ser que su actividad 'pueda acarrear graves peligros a la vida privada'. Tampoco existe el deber de mantener bajo control los datos de los trabajadores. Por todo ello, los expertos de Bruselas han tachado a este país de la lista de territorios a los que se pueden enviar libremente los datos europeos.
Canadá Hay que esperar hasta 2004
La Comisión Europea no considera a Canadá un país con un buen nivel de protección de la privacidad. El grupo del artículo 29, encargado de dictaminar sobre esta materia, recuerda que la ley canadiense no entrará en vigor en todo su articulado hasta 2004. Además, la normativa excluye a las entidades sin fines de lucro ni garantiza un adecuado control de los datos sanitarios.
Estados Unidos El acuerdo de 'puerto seguro'
El denominado acuerdo de puerto seguro entre Europa y EE UU es una buena muestra de la dureza negociadora de Bruselas en materia de protección de datos. Las empresas europeas sólo podrán exportar datos a aquellas empresas estadounidenses que se comprometan a respetar los niveles de protección europeos. Esas compañías deben someterse al control del Departamento de Comercio de EE UU.