BLOGS

Por fin, una ley europea de protección de datos (II)

30/10/2013 07:20 CET | Actualizado 29/12/2013 11:12 CET

La semana pasada describía en el artículo anterior el enorme paso de gigante efectuado por el Parlamento Europeo (PE) en el fortalecimiento de los derechos fundamentales de los ciudadanos europeos. En efecto, el lunes 21 de octubre, en su sesión de Estrasburgo, la Comisión de Libertades, Justicia e Interior que presido, adoptó la nueva legislación europea de protección de datos, el Reglamento y la Directiva que conforman el llamado "Data Protection Package".

Se trata de una normativa directamente vinculante para los Estados miembros y empresas en la red, y, por lo tanto, exigible por los ciudadanos de cuyos derechos se trata.

A partir de la entrada en vigor de la nueva legislación europea se utilizarán definiciones claras y los principios de protección de datos. Las definiciones siguen estrictamente las del Reglamento y el cumplimiento de los principios de protección de datos está garantizado.

En efecto, a partir de la definitiva entrada en vigor de esta nueva normativa, el tratamiento de datos personales deberá ser conforme a la legislación europea, y deberá ser transparente en relación a las personas afectadas. Los fines específicos para los que se obtengan los datos deberán ser explícitos, legítimos, y predeterminados en el momento de la recogida de los datos de carácter personal. Además, los datos personales deberán ser adecuados, pertinentes y limitados a lo "estrictamente necesario" en relación a los fines para los que se procesen los datos personales. Los plazos deberán establecerse para la supresión o revisión periódica. Los datos personales no deberán tratarse con fines incompatibles para los que fueron recopilados (con lo que se prohíbe el "profiling", es decir, la fabricación de perfiles discriminatorios).

El hecho de que los datos se procesen conforme a lo previsto en la aplicación de la ley no implica necesariamente que el objetivo sea siempre compatible con el propósito inicial. El concepto de "uso compatible" habrá de ser interpretado de manera restrictiva. Por otra parte, se introducen disposiciones para requerir que las autoridades sean capaces de demostrar su cumplimiento efectivo de la ley.

Se crea además en la normativa europea una nueva evaluación del impacto de protección de datos que deberá llevarse a cabo por las autoridades. Esta deberá incluir, en particular, las medidas previstas, medidas y mecanismos para garantizar la protección de los datos personales y para demostrar el cumplimiento de la ley. Las evaluaciones de impacto deberán referirse a los sistemas y procesos pertinentes a las operaciones de tratamiento de datos personales, pero no a los casos individuales.

El régimen de la transferencia de datos personales a terceros países era hasta ahora débil, puesto que no proporcionaba las garantías necesarias para asegurar la protección de los derechos de las personas cuyos datos sean susceptibles de traspaso por los operadores. Por eso, el sistema hasta ahora ha proporcionado una protección notoriamente inferior a la actual propuesta de Reglamento en todo lo relativo a la transparencia de datos personales, introduciendo fuertes restricciones a las grandes operadoras.

Así por ejemplo, la propuesta de la Comisión permitía la transferencia a la autoridad de un tercer país o a una organización internacional que no era competente en velar por el cumplimiento de la ley. A partir de ahora todas las transferencias deberán basarse en decisiones fundadas en una ley o un instrumento jurídicamente vinculante que asegure las garantías adecuadas para la protección de los datos personales.

Las excepciones a la normativa -como las relativas a las exigencias de la "seguridad pública" de un Estado miembro o de un tercer país- deberán interpretarse muy restrictivamente, y no permitirán la transferencia de los datos personales de manera "habitual, masiva y estructural". A partir de la nueva normativa, los traslados al por mayor -bulk data- de los datos deberán limitarse a los datos "estrictamente necesarios". Por otra parte, toda decisión de transferencia deberá ser realizada por una persona debidamente autorizada, y toda transferencia deberá ser documentada y ponerse a disposición de la autoridad de control (autoridades nacionales de protección de datos), con el fin de controlar la legalidad de la transferencia.

Y se establecerá, finalmente, un sistema de procedimientos comunes supervisado por una Autoridad Europea de Protección de Datos, para recibir e investigar información sobre denuncias de tratamiento ilícito y para salvaguardar la confidencialidad y las fuentes de la información recibida.

Estas normas comunes deberán permitir a los denunciantes (whistleblowers) proveer información sobre violaciones de la ley con suficiente seguridad y ofrecerles asimismo la protección adecuada.

Además, como respuesta a las revelaciones de un espionaje, masivo, sistemático y sostenido por parte de la Agencia Nacional de Seguridad estadounidense (NSA), el pasado miércoles, en la sesión de Estrasburgo, el grupo de Socialistas y Demócratas del PE pidió a la Comisión Europea y al Consejo la suspensión del acuerdo con EEUU de transferencia de datos financieros. Este procedimiento para suspender el acuerdo deberá ser iniciado por la Comisión Europea y apoyado por una mayoría de dos tercios en el Consejo.

En definitiva, la nueva regulación constituye un ejemplo ilustrativo de la transformación del Parlamento Europeo en legislador de los derechos fundamentales de los europeos, y del impacto mismo de la construcción europea sobre la libertad y la seguridad y sus garantías jurídicas.

Una muestra, además, de hasta qué punto nos importa tomar en serio las elecciones europeas de mayo 2014, porque estas elecciones decidirán la mayoría parlamentaria de la que, por primera vez, dimanará el candidato a presidir la Comisión (Ejecutivo europeo). Y, consiguientemente, determinarán también la orientación política que nos permita rescatar la política europea de la deriva regresiva descrita en los últimos años a rebufo de esta crisis, que ha resultado marcar la peor hora de la UE que habíamos sufrido hasta ahora.