TOP

LA NORMA DOTA DE MAYOR FLEXIBILIDAD A LA ACTIVIDAD DE SUPERVISIÓN Y CONTROL

La Disposición Adicional Quincuagésimo Octava de la Ley 2/2011, de 4 de marzo, de Economía Sostenible, ha introducido una importante reforma del régimen sancionador en materia de protección de datos establecido por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). En concreto, se han introducido cambios en aspectos tales como la estructura de la tipificación de las infracciones, la actualización de las cuantías de las multas y la fijación de criterios más detallados para la graduación de las sanciones económicas y para la posible reducción de las mismas al tipo correspondiente al tramo inmediatamente inferior a la infracción cometida. De todos ellos, hay dos que considero especialmente importantes y novedosos: la introducción de un mecanismo de apercibimiento previo y la posibilidad de atenuación de la sanción si se puede demostrar la necesaria diligencia en la implantación de los preceptos de protección de datos por parte de una organización. El primero de ellos supone dotar de mayor flexibilidad a la actividad de supervisión y control mediante la sustitución de la apertura del correspondiente procedimiento sancionador por un apercibimiento a la entidad infractora, apercibimiento que conllevará también el requerimiento de adoptar una serie de medidas correctoras en un plazo determinado. El incumplimiento del requerimiento o de la implantación de las medidas impuestas acarrearía, ya sin posibilidad de evitarse, la apertura del correspondiente procedimiento sancionador que podría derivar en la oportuna sanción económica. Los requisitos para que se pueda aplicar esta nueva figura son que la infracción de que se trate no sea muy grave y que la entidad infractora no haya sido apercibida con anterioridad. Por otro lado, en la nueva redacción de la LOPD, cuando una organización lleve a cabo la implantación de políticas y procedimientos dirigidos al correcto tratamiento de datos personales y pueda acreditar esta diligencia, este hecho deberá tenerse en cuenta a la hora de graduar la sanción económica cuando se haya cometido una infracción como consecuencia de una anomalía en el funcionamiento de estos procedimientos. De esta manera, la ley introduce un mecanismo de diferenciación entre los responsables que, queriendo cumplir los preceptos legales, cometen un error y aquellos otros que no se preocupan en absoluto de tratar los datos personales con respeto a las garantías consagradas en la ley o, al menos, no hacen ningún esfuerzo práctico ni implantan ninguna medida para conseguirlo. Pero en estos momentos, además de la puesta en marcha de estas novedades en el ámbito nacional español, la Comisión Europea está iniciando el proceso para acometer una ambiciosa modificación del marco normativo de la protección de datos en la Unión Europea que, con toda probabilidad, conllevará la futura aprobación de una nueva Directiva de protección de datos personales y cuyas líneas generales, tras un amplio proceso de consulta, ha plasmado la Comisión en su comunicación "Un enfoque global de la protección de los datos personales en la Unión Europea" en el que se pretende dar respuesta a los nuevos retos para la privacidad en la actual sociedad de la información. Entre estos nuevos retos se destacan la rapidez de la evolución tecnológica y la globalización, la cada vez mayor sofisticación de los métodos de recogida de datos personales -en muchos casos indetectables por parte de los ciudadanos-, el incremento de los métodos automáticos de recogida (como pagos electrónicos, telepeajes, servicios de geolocalización, perfiles de navegación en Internet, etc.) y la utilización de cada vez más datos personales por parte de las autoridades públicas con diversas finalidades que van desde la localización de personas con enfermedades transmisibles hasta la prevención y lucha contra el terrorismo y el crimen organizado y que, por supuesto, incluyen todos los servicios de eAdministración. La primera constatación que hace la comunicación es que los principios y garantías que conforman el marco jurídico de la Directiva actual son plenamente válidos, por lo que es necesario preservarlos por su neutralidad respecto de cualquier tecnología. No obstante, se señala que hay que abordar la necesidad de que los responsables de ficheros comprendan que, independientemente de los medios de tratamiento o tecnologías que utilicen, las normas deben ser respetadas aunque, en algún caso, puede ser necesario clarificarlas y precisarlas para mejorar su aplicación. Otro aspecto crucial es la disparidad, en la práctica, de las legislaciones nacionales europeas y su falta de homogeneidad por lo que la propuesta de la Comisión aboga, como no podía ser de otra manera, por una mayor armonización, una reducción de las cargas burocráticas y la garantía de la igualdad de condiciones para todos los responsables de tratamiento en todos los países de la Unión Europea. En el ámbito de las transferencias internacionales de datos personales a países terceros existe un consenso absoluto en que, evidentemente, la deslocalización de los servicios de tratamiento de datos personales o, simplemente, el que los mismos abandonen el territorio europeo para su procesamiento en otras jurisdicciones, no puede significar que cese el régimen de protección de los mismos. No obstante, la Comisión reconoce que es necesario simplificar los procedimientos para adaptarlos a un mundo globalizado, con acceso universal a la información y en el que tecnologías como el cloud computing se están desarrollando rápidamente pues este escenario no se parece en nada a los modelos de intercambio internacional de datos de los primeros años 90 del pasado siglo, momento en el que nacieron las reglas actuales. Todos estos aspectos, junto con el refuerzo de los poderes de las autoridades de protección de datos para lograr una efectiva aplicación de las normas en todos los Estados miembros-para acabar con la disparidad que también hoy en día existe en este aspecto- y la consecución de un instrumento general de aplicación a todos los sectores de la Unión Europea -incluyendo los tratamientos que llevan a cabo las fuerzas y cuerpos de seguridad y los tribunales de justicia- y que garantice un enfoque integrado y una protección global, coherente y eficaz son los objetivos que se ha marcado la Comisión para el nuevo instrumento jurídico que debe salvaguardar la privacidad de los ciudadanos europeos en las próximas décadas. POR EMILIO ACED FÉLEZ,  SUBDIRECTOR GENERAL DE REGISTRO DE FICHEROS Y CONSULTORÍA (APDCM)