La Comisión Europea ha dado a conocer un proyecto de reforma normativa comunitaria que sustituirá a todas las leyes nacionales anteriores y a la Directiva 95/46 de Protección de Datos de la UE, vigente desde 1995. La nueva legislación, presentada por la Comisaria de Justicia, Viviane Reding, endurece las leyes de privacidad de los datos personales y esto implica que las multinacionales tienen por delante otro proceso más de cumplimiento de normativa, que deben incluir en sus políticas de gobernanza.
De momento es una propuesta sometida a debate, y antes de que se convierta en ley puede ser modificada durante lo que se espera que sea al menos un proceso legislativo de dos años. Pero la polémica ya está creada pues contempla unas medidas punitivas más duras que las que hasta se imponían a las empresas que violaban la ley, con sanciones que pueden llegar al 5% de la facturación total de la compañía que incurra en delito.
Otras medidas nuevas son el “derecho al olvido digital” para el público, bajo el que puede exigir que sus datos sean borrados si no hay razones legitimadas para mantenerlos; las empresas también estarán obligadas a notificar al público si se ha producido una violación de los datos en 24 horas si es posible; y las organizaciones de más de 250 empleados podrían estar obligadas a designar a un responsable de la protección de los datos (Data Protection Officer).
“La reforma quiere poner coto a ciertas prácticas de algunos de los grandes actores de Internet (buscadores, redes sociales, y demás) quienes, amparándose en regirse por las leyes americanas, han tenido poco menos que carta blanca para tratar los datos personales de los europeos. A partir de ahora, todos las que ofrezcan bienes y servicios en Europa, independientemente de donde tengan su sede o sus servidores, deberán responder en base al derecho comunitario y ante las autoridades competentes europeas. En relación a éstas, es de destacar que su papel se ve reforzado, convirtiéndose en paso único para la protección de los ciudadanos del estado al que pertenezcan, por lo que deberán coordinarse y resolver en colaboración con sus homónimas europeas”, añade Belén Arribas, abogada responsable de Protección de Datos de Monereo Meyer Marinel-lo Abogados.
Precisamente, otro de los objetivos de la nueva legislación es reducir la complejidad en el cumplimiento de las numerosas leyes que existen sobre la privacidad de los datos. Según la Comisión, un único set de reglas animaría a una aplicación más consistente de la ley en toda la Unión Europea, y daría a las empresas unas medidas más claras de cómo tratar la información privada. Además, con la reducción de los trámites burocráticos, la Comisión estima que las empresas se ahorrarían unos 2,3 millones de euros al año; y solo tendrían que tratar con una única autoridad nacional de protección de datos en el país de la UE donde realicen sus operaciones principales.
Así lo entiende también Jeff Finch, gerente de Servicios de Seguridad de Interoute, quien explica que “cotejar las normas armonizadas de protección de datos en 27 países, sin duda, ayudará a las organizaciones a evitar más de un quebradero de cabeza. Armonizar diferentes leyes nacionales de protección de datos se ha sentido como una gran tarea de consolidación en organizaciones que en este aspecto funcionaban como mosaicos, especialmente ahora que cloud computing establece ciertos interrogantes sobre la ubicación exacta de los datos y la normativa que debe aplicarse en cada caso. El siguiente paso es buscar la armonización con otros países como EE.UU., donde la normativa legal vigente permite a las autoridades pedir datos personales tales como el teléfono, e-mail y registros financieros sin una orden judicial. Por lo tanto, entender donde residen los datos y quién es el propietario del data center seguirá siendo una parte crucial de la gobernanza corporativa de las organizaciones”.