Nueva LOPD. ¿Será un peliculón?

¿Han oído hablar de la nueva normativa europea sobre la protección de datos de carácter personal? Seguramente sí, pero probablemente tengan una imagen difusa sobre el estado de la misma. Al menos, esa es la impresión que yo tengo como interesado en la materia. En cierto modo es como si estuviéramos recibiendo información con cuentagotas: pequeños avances, breves fragmentos del tráiler de una superproducción Hollywodiense Europea que marcará un antes y un después. ¿Creéis que será para tanto?

Dado este escenario, hemos considerado oportuno dedicar el presente artículo a la nueva normativa europea, comentando los cambios más significativos, con la intención de establecer un punto de situación, que ayude a nuestros lectores poner en contexto las noticias que lean sobre el tema y permita aclarar algunas cuestiones al respecto.

¿Es necesaria una nueva normativa para la protección de datos de carácter personal?

Lo primero que habría que preguntarse es precisamente si es necesaria una nueva normativa en este campo; ¿acaso la existente no es válida? En mi opinión la normativa existente ha contribuido muy favorablemente a la protección de nuestra información personal, pero aún así, es necesaria una nueva normativa o, al menos, una revisión profunda de la existente.

Tal y como se indica en la web de la Agencia Española de Protección de Datos la normativa está en proceso de revisión y actualización para tener en cuenta las consecuencias de los desarrollos tecnológicos, la globalización de los intercambios de datos y, en el caso de la Directiva, las modificaciones legales e institucionales que supuso la entrada en vigor en 2009 del Tratado de Lisboa.

A título anecdótico, la LOPD contiene un artículo en el que requiere que las medidas de seguridad se actualicen “habida cuenta del estado de la tecnología”. Es precisamente esa evolución en la tecnología la que precede, en este caso, la actualización no sólo de las medidas de seguridad sino también de la propia normativa.

Artículo 9. Seguridad de los datos. El responsable del fichero, y en su caso, el encargado del
tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Desde mi punto de vista y, a grandes rasgos, existen una serie de líneas de mejora claras sobre las que habría que trabajar:

  • Adaptación a las nuevas estructuras empresariales y modelos de negocio actuales. La normativa actual se lleva mal con los grupos empresariales, con las subcontrataciones, con las empresas nacionales cuya empresa matriz está en el extranjero, con las empresas nacionales cuyas delegaciones están en otros países, etc.
  • Forma y estructura de la normativa. Quizás sea deformación profesional pero supongo que quienes estén familiarizados con las normas ISO y/o cualquier otro grupo de estándares, coincidirán conmigo cuando digo que la forma y la estructura de la normativa existente es compleja y no está pensada para que su aplicación sea intuitiva.
  • Impunidad de los “grandes” y sanciones. Si bien es cierto que el rango de sanciones actual es amplio, parece desproporcionado cuando se tiene que aplicar a la pequeña empresa e irrelevante cuando se aplica a grandes multinacionales.
  • Nuevas tecnologías. Por supuesto, la evolución en las tecnologías de la información es uno de los aspectos clave que han propiciado la revisión de la normativa actual. La aparición de servicios cloud, nuevas tendencias (BYOD), etc.

Al respecto cabe señalar que en la nueva normativa sí se están considerando algunos de los puntos indicados y otros que, tal y como veremos a continuación, suponen mejoras sobre lo existente, aunque quizás no muy significativas.

Aspectos reseñables sobre la nueva normativa:

  • Derechos ARCO “potenciados”. Actualmente ya existían cláusulas que recogen los requisitos relativos al ejercicio de los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Sin embargo, se han revisado para destacar el llamado “Derecho al olvido”. Es decir, establecer vías para que un usuario pueda eliminar su huella en Internet.
  • Mayor control sobre la información que proporcionas. En este sentido, cabe señalar que una reciente encuesta europea refleja que el 31% considera que no se tiene control alguno sobre la información que se deposita en Internet. Se han establecido mecanismos para que el usuario final tenga mayor “control” sobre su información personal.
  • Consentimiento expreso. Siempre que se requiera el consentimiento para el procesamiento de datos, tendrá que ser dado de manera explícita, en lugar de ser asumida.
  • Notificación de los incidentes de seguridad relacionados con los datos de carácter personal. Empresas y organizaciones tendrán que notificar las violaciones de datos y sin demora injustificada, cuando sea posible dentro de 24 horas.
  • Normativa unificada. Un conjunto único de normas sobre protección de datos, válido en toda la UE.
  • Las personas tendrán derecho a someter todos los casos a su autoridad de protección de datos nacional, incluso cuando sus datos personales son procesados fuera de su país de origen. Ejemplo, poder denunciar ante la AEPD un caso de abuso en el extranjero.
  • Alcance de aplicación. Las normas de la UE se aplicarán a las empresas no establecidas en la UE, si ofrecen bienes o servicios en la UE o “monitorizan” el comportamiento de los ciudadanos.
  • Sanciones. Revisión del sistema y cuantía de las sanciones. Actualización que permitirá ejercer mayor presión sobre las grandes multinacionales.
  • Menos trámites para regular el tratamiento de datos. Se eliminarán las cargas administrativas innecesarias, tales como los requisitos de notificación para las empresas de procesamiento de datos personales.

Parece ser que de esto se deduce que no será necesario inscribir ficheros en las agencias de protección de datos. ¿Significa esto que no volveremos a usar los ficheros NOTA? Quien los haya “sufrido” sabrá a que me refiero. ;)

Desde mi punto de vista, la propuesta de nueva normativa contiene modificaciones sensatas que previsiblemente traerán una mejora en la seguridad de nuestros datos personales. Ahora bien, queda pendiente ver la forma final que adoptará la normativa y su posterior aplicación para valorar si es un “taquillazo”. ¿Qué opinan ustedes, merecerá la pena?

Próximamente en los mejores cines (del territorio europeo).

Referencias y enlaces de interés:

Trackbacks

  1. […] entrada Nueva LOPD. ¿Será un peliculón? aparece primero en Security Art […]