Fundacion ESYS pide una respuesta rápida para que las empresas se adapten al reglamento europeo de protección de dato

Así lo ha dado a conocer la Fundación, que ha precisado que el informe ha sido presentado por el presidente de la entidad, Javier Gómez-Navarro, en la sede de Endesa en Madrid, y que para su realización se ha contado con la opinión de expertos en el Derecho de Protección de los Datos Personales y con las entrevistas y cuestionarios realizados a los responsables de Protección de Datos y de Seguridad de importantes empresas españolas.

El informe pretende presentar las principales novedades que ofrece el Reglamento europeo y exponer algunas propuestas de enfoque basadas en la experiencia de las empresas españolas en la aplicación de la legislación de protección de datos.

De este modo, la investigación indica que, aunque el nuevo Reglamento entró en vigor el 25 de mayo de 2016, las autoridades comunitarias han concedido un periodo transitorio de dos años para que las empresas tengan tiempo de adaptarse a la nueva norma. El informe destaca que el Reglamento "no regula de manera completa y exhaustiva todas y cada una de las materias", y plantea "dudas interpretativas" e "incertidumbre sobre la compatibilidad con la normativa actualmente vigente en España" (Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, que regula su desarrollo reglamentario).

Por este motivo, la Fundación ESYS considera que las autoridades españolas deberían despejar cualquier incertidumbre antes del 25 de mayo de 2018 y en todo caso "a la mayor brevedad para evitar la inseguridad jurídica" tras consultar a los distintos interesados, especialmente empresas y organizaciones de consumidores.

Según ha explicado la entidad, el Reglamento busca crear una "verdadera cultura de la protección de datos a nivel europeo, eleva la responsabilidad de las empresas en su tratamiento y la capacidad de control de los ciudadanos sobre sus propios datos personales". Así, surgen nuevos derechos como el derecho al olvido o el derecho a la portabilidad de los datos, se añaden nuevas categorías especiales de datos personales (como los datos genéticos o biométricos) y se establece un régimen sancionador con multas que pueden alcanzar hasta los 20 millones de euros o el 4% del volumen de negocio anual de la empresa infractora.

"MUCHAS MATERIAS PENDIENTES"

No obstante, según señala el estudio, el Reglamento deja "muchas materias pendientes de desarrollo y concreción" y recurre a "abundantes conceptos jurídicos indeterminados". Así, no regula de forma específica ficheros que no requieren el consentimiento de los interesados como los ficheros sobre solvencia patrimonial y crédito, los ficheros con fines de publicidad y prospección comercial y las denominadas 'Listas Robinson'(listas de ciudadanos que han solicitado expresamente no recibir publicidad no deseada).

El informe apunta también que se echa de menos "una regulación específica de fenómenos como el Big Data o el Internet de las Cosas" para dar una mayor seguridad jurídica a las empresas en el tratamiento de datos personales en esos entornos. Además, recomienda que la Agencia Española de Protección de datos (AEPD) publique una lista con los tratamientos de datos que requerirán de la nueva evaluación de impacto (PIA) y clarifique en qué casos se debe informar a los afectados cuando se haya producido una violación de seguridad de los datos personales que suponga un alto riesgo para sus derechos y libertades.

En este contexto, la Fundación ESYS considera que la aplicación de otros aspectos del Reglamento puede suponer un esfuerzo importante para las empresas, como el caso de la autorización que deben dar los ciudadanos para el tratamiento de sus datos. "Con la nueva normativa deja de ser válido el silencio o el consentimiento tácito", ha agregado.

El consentimiento cualificado que exige el Reglamento europeo para tratar los datos de los ciudadanos cuando estos dieron ya su consentimiento tácito podría ir contra los principios de "no retroactividad y seguridad jurídica" y exigiría a las empresas "un esfuerzo desproporcionado en términos de tiempo y coste que puede impactar negativamente en su competitividad", señala el informe.

Por último, la Fundación ESYS recuerda además que la nueva normativa comunitaria no exige comunicar previamente los ficheros de datos a las Autoridades Nacionales de Control, por lo que considera que se deberían derogar los artículos de la LOPD que sí exigen esta información previa y recomienda que se clarifique el estatuto jurídico y el perfil funcional de la nueva figura del Delegado de Protección de Datos (DPO).