_
_
_
_
Cinco Días
Economía
suscríbeteIniciar sesión
suscríbeteIniciar sesión
Economía
Tribuna
Artículos estrictamente de opinión que responden al estilo propio del autor. Estos textos de opinión han de basarse en datos verificados y ser respetuosos con las personas aunque se critiquen sus actos. Todas las tribunas de opinión de personas ajenas a la Redacción de EL PAÍS llevarán, tras la última línea, un pie de autor —por conocido que éste sea— donde se indique el cargo, título, militancia política (en su caso) u ocupación principal, o la que esté o estuvo relacionada con el tema abordado

Protección de datos y dimensión internacional

Sergio Miralles Miravet / Alejandro Milá Valle
Facebook
Twitter
Linkedin
Copiar enlace

El pasado 25 de enero, la Comisión Europea hizo pública la esperada propuesta de reforma en materia de protección de datos personales. Desde algún tiempo se ha venido defendiendo la necesidad de una reforma en profundidad del marco legal establecido por la Directiva 95/46/CE a la vista de la fragmentada, y a veces incongruente, transposición que de ella han hecho los distintos Estados miembros, y sobre todo por la evolución que las tecnologías de la información y el uso de Internet han tenido en los pasados quince años en los que se ha incrementado exponencialmente el tratamiento de información y datos personales o la computación en nube, todo ello acompañado de gran número de transferencias internacionales de datos.

La Comisión ha optado para el grueso de la reforma por una regulación unitaria por medio de reglamento (directamente aplicable en cada Estado miembro) para garantizar la mayor armonización y evitar una nueva fragmentación normativa. Algunas novedades de la propuesta de la Comisión incluyen nuevos derechos de los titulares de datos, como el derecho al olvido o a la portabilidad de datos; el reforzamiento del principio de consentimiento para el tratamiento de datos; la supresión de obligaciones de notificación de tratamiento; el reforzamiento de las medidas de seguridad, incluyendo la obligación de notificar cualquier fuga a los afectados y a las autoridades competentes, y el establecimiento de mecanismos de cooperación y de control de la consistencia en la aplicación del reglamento por parte de las agencias nacionales. Finalmente, el reglamento viene acompañado de un duro régimen sancionador, con multas de podrían alcanzar hasta el 2% de la facturación anual de la compañía infractora.

Una de las novedades de la propuesta que más atención ha suscitado es la aplicación extraterritorial de la nueva normativa a responsables del tratamiento sin establecimiento en la Unión Europea pero que ofrezcan productos o servicios a ciudadanos comunitarios, o bien controlen sus movimientos en internet. Ciertamente, el tenor actual del reglamento no resuelve las múltiples incertidumbres que la pretendida aplicación extraterritorial suscita, como por ejemplo los concretos instrumentos de ejecución a disposición de las autoridades de protección de datos nacionales para conseguir esa protección extraterritorial.

La Comisión parece seguir en este punto, si bien mucho más tímidamente, a países como los EE.UU. de América, cuyas autoridades tienen instrumentos legales, como la Patriot Act, para acceder a datos localizados en terceros países, siempre que el tratamiento lo realicen directa o indirectamente empresas norteamericanas (incluso a través de filiales de otras nacionalidades) y aunque dicho acceso pueda vulnerar las leyes locales.

La propuesta de la Comisión refleja una preocupación creciente sobre la efectividad de normativa de datos personales en escenarios como la computación en nube o la creación de perfiles de navegación por internet con fines de marketing en los que las transferencias internacionales de datos son recurrentes. En este sentido, el borrador de reglamento contiene un mandato dirigido a la Comisión y a las autoridades de protección de datos para fomentar la cooperación internacional con otros estados y organismos internacionales. Ciertamente la creación de una Junta Europea de Protección de Datos como sucesora del actual grupo del art. 29 ayudará en esta tarea de armonización internacional. Si bien el objetivo último debería ser la aprobación de un tratado internacional en la materia, siendo los principios recogidos en la Resolución de Madrid de 5 de noviembre de 2009 un excelente punto de partida, quizá sea más realista esperar pasos más modestos ante las divergencias de aproximación a la regulación de este derecho fundamental en distintos estados. Una vía factible es la negociación bilateral, como el Acuerdo de Puerto Seguro de 2000 con los EE.UU. China e India, con iniciativas legislativas prometedoras iniciadas en 2011 en este ámbito, deberían estar en la agenda de la Comisión. Otras jurisdicciones con normativas generales recientemente publicadas incluyen a Corea del Sur y Malasia. Confiamos en que la aprobación con amplio consenso del nuevo marco legal comunitario actúe como modelo y referencia en otras jurisdicciones para conseguir la necesaria armonización internacional que el actual estado de la tecnología de tratamiento de datos requiere.

Sergio Miralles Miravet / Alejandro Milá Valle. Freshfields Bruckhaus Deringer

Archivado En

_
_