Pendents de tenir el text definitiu, que sembla que serà aprovat a principis de 2016, sí podem avançar els aspectes principals de la nova legislació la proposta de la qual ha estat acordada recentment pel Parlament i Consell Europeus.
La Unió Europea porta anys debatent la possibilitat d’implantar una única legislació en tot el territori Europeu, que comportarà que tots els països puguin aplicar regles anàlogues en tots els països en els que tractin informació, evitant així diferències de criteri, règims sancionadors dispars i diferents models d’implantació en funció del país o països en els que operen.
Jurisprudència recent del Tribunal de Justícia de la UE també ha anat establint principis que necessàriament condicionen la nova legislació: dret a l’oblit, l’aplicació territorial a els qui realitzin tractament de dades de ciutadans comunitaris, l’equilibri amb altres drets com el de llibertat d’expressió, o la recent Sentència que anul·la l’acord de Safe Harbour.
La tendència general és de mantenir les línies traçades fins avui, en quant a conceptes, agents implicats, mesures de seguretat bàsiques, etc. Sens dubte, s’estableixen mesures destinades a millorar la protecció dels afectats pel tractament de la informació i els seus drets, en especial en relació a les dades tractades a la xarxa.
Es pretén anar més enllà de que les empreses que tractin dades implantin i formalitzin documents que tinguin poca transcendència pràctica, augmentant considerablement les mesures destinades a implantar entre els empleats i/o usuaris una autèntica cultura de confidencialitat i privacitat de les dades. Això afectarà a totes les empreses, i amb molt èmfasi a empreses que treballen amb dades a través de sistemes remots o via web.
Alguns dels punts que tractarà el nou reglament són els següents:
A) Anàlisis de Riscos i Avaluació d’impacte: per primera vegada s’estableixen obligacions tangibles i prèvies a l’obtenció i tractament de les dades, requerint al Responsable del Fitxer prendre mesures concretes destinades a avaluar els riscos que comporti el tractament per a la privacitat dels afectats. Cada país haurà de concretar en què es tradueixen aquestes mesures.
B) El nou “Responsable de Seguretat” o Data Protection Officer: moltes empreses i organitzacions tindran l’obligació de designar un expert que controli, auditi i certifiqui que es compleixi la normativa en el tractament de dades que es realitza en el si de l’empresa.
C) Regulació de la finestreta única per a les multinacionals: tot i que cada estat membre tindrà la seva pròpia autoritat de control, en el cas d’entitats amb establiments i/o activitats a diversos països es podrà escollir l’autoritat de control de qualsevol dels països en els que operi dintre del territori europeu. Aquesta autoritat de control tindrà, com en l’actualitat les estatals, facultats d’assessorament, control i supervisió.
D) Regulació i imposició de vetllar pel “dret al oblit”: el que ja va avançar el TJUE, serà obligatori, especialment en el entorn online, vetllar per l’actualització de les dades i els drets dels usuaris a sol·licitar l’esborrat d’informació antiga.
E) Concreció i contextualització dels deures d’informació: es concretaran els continguts mínims a incloure en les clàusules destinades a informar als afectats, eliminant obligacions presents fins a la data i incloent-hi altres.
F) Control d’empreses Extracomunitàries quan tractin dades de persones europees: es pretén que les empreses que operen parcialment a Europa, especialment les que ofereixin serveis cloud, no s’escudin en les aplicabilitats de les normes dels seus països per ser menys garantistes.
G) Es donarà més joc a la personalització de la privacitat: en funció de la mida, dades que tracti, cessions, afectats, context de l’organització que tracti les dades.
H) Règim sancionador: s’establirà una norma que doti de proporcionalitat a les sancions imposades a cada país, atenent a les circumstàncies de cada cas, com ja fa avui en dia l’AEPD. El límit de les multes encara no s’ha fixat, però sembla que podrà consistir també en un percentatge de la facturació global de la companyia en casos greus.
I) “European Data Protection Board”: es crea un òrgan consultiu que vetllarà pel compliment de la legislació i interpretarà, dictarà recomanacions i es pronunciarà sobre l’aplicació pràctica.
La publicació del text definitiu està prevista, tal com s’ha anunciat, pels pròxims mesos, però els experts i entitats més rellevants relacionades amb la seva elaboració i aprovació ja avancen que no s’aplicarà fins el primer trimestre de 2018.
Per això, es important seguir complint amb el que diu la normativa vigent a dia d’avui, atenent, això sí, a les diferents resolucions que es van publicant i que són vinculants en la mesura en que estableixen com ha d’interpretar-se la normativa vigent (dret a l’oblit, safe harbour, dades d’empleats, etc.), a més de marcar la línia que ens portarà a l’aplicació del nou reglament.
Us seguirem informant.
Equip de PymeLegal.