Asumimos que las empresas del sector TIC, y aquellas cuyos servicios implican la recogida y el procesamiento de datos personales ya conocen que en 2018 entrará en vigor en la Unión Europea un nuevo Reglamento en la materia. Nos referimos en concreto al Reglamento 2016/679, también conocido como el Reglamento General de Protección de Datos (RGPD).
El procedimiento legislativo para la adopción del Reglamento ha sido largo y problemático. Se pusieron sobre la mesa varios temas importantes por parte del sector TIC, los defensores del derecho a la privacidad y los gobiernos nacionales. En este sentido conviene recordar que, con arreglo a la actual Directiva 95/46, los Estados miembros disponen de cierto margen para adaptar las normas a sus particularidades. Sin embargo, una vez que el Reglamento entre en vigor, el régimen será estrictamente el mismo de en todos los Estados Miembros.
Ello sin duda incrementará la seguridad jurídica para los responsables y los encargados del tratamiento de datos. No obstante, debido al duro proceso de negociación que ha tenido lugar en las diferentes instituciones de la UE, el nuevo régimen resultante es muy complejo. Como mero botón de muestra, basta con decir que el nuevo Reglamento contiene 99 disposiciones y 173 considerandos. Los operadores económicos deben estar dispuestos a adoptar ciertas medidas para adaptarse al nuevo régimen, pero teniendo en cuenta la complejidad del mismo, entendemos que lo anterior no será una tarea fácil.
Lamentablemente, las instituciones no han publicado aún un conjunto de directrices a las que las partes interesadas puedan recurrir para adoptar esas medidas.
Las únicas directrices que se han adoptado hasta ahora son las del Grupo de Trabajo del Art. 29. Pero éstas están referidas a aspectos muy específicos:
a) Portabilidad de datos. El derecho de portabilidad autoriza a los interesados recabar los datos personales que han proporcionado a un responsable, en un formato estructurado, comúnmente utilizado y legible por medio de una máquina, para transmitirlos a otro responsable. Esta primera directriz proporciona a los responsables del tratamiento de datos orientaciones sobre la manera de interpretar e implementar este derecho, tal como viene establecido en el RGPD.
b) Delegados de protección de datos (DPO). Bajo el RGPD, es obligatorio para determinados responsables y encargados del tratamiento de datos designar a un DPO. El objetivo de estas directrices es aclarar las disposiciones pertinentes del RGPD para ayudar a los sujetos antes mencionados a cumplir con la ley, pero también para ayudar a los DPO en su papel. Las directrices también ofrecen recomendaciones sobre las mejores prácticas, basándose en la experiencia adquirida en algunos Estados miembros de la UE.
c) Autoridades de Supervisión. El propósito de esta guía es ayudar a los encargados y responsables a identificar a la autoridad de supervisión principal. Lo anterior solo aplica en aquellos casos en los que se lleva a cabo tratamiento transfronterizo de datos personales en el sentido del artículo 4 (23) del Reglamento.
Además, las empresas cuyo tratamiento de datos personales implique la transferencia de dichos datos a terceros países, deben tener en cuenta las siguientes modificaciones que se han introducido en algunas Decisiones de la Comisión como consecuencia de la conocida Sentencia "Schrems:
- Modificaciones de la Decisión relativas a la protección de datos personales por parte de determinados países.
- Modificaciones de la Decisión relativas a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países y a los procesadores establecidos en dichos países
Os mantendremos informado sobre nueva información de interés en la materia.