La UE llega a un acuerdo para reformar la protección de datos

La Comisión Europea ha llegado a un acuerdo sobre la reforma de la directiva de regulación para la protección de datos en la UE, que sustituirá a la norma de 1995 actualmente vigente. Una vez que la reforma se adopte de manera oficial por el Parlamento y el Consejo Europeo a principios de 2016, se convertirá en un punto de referencia normativo, ya que armonizará los 28 sistemas legislativos diferentes relacionados con los derechos de protección de datos.

La Comisión ha celebrado el acuerdo señalando que “más del 90% de los europeos afirman que quieren tener los mismos derechos en materia de protección de datos en toda la UE, independientemente de dónde se traten dichos datos. Esto será pronto una realidad, pues el paquete de reforma pondrá fin a la proliferación de normas sobre protección de datos que existe actualmente en la UE (…) y reforzará el mercado único digital“.

La nueva legislación europea toca media docena de aspectos relevantes. En primer lugar, unifica las multas por violar la normativa en toda la Unión Europea. Las sanciones pueden llegar hasta un 4% de los ingresos globales de la empresa infractora.

Además, la propuesta da a las autoridades nacionales de protección de datos la capacidad de imponer las multas directamente a las empresas, en lugar de tener que pasar por los tribunales, lo que hace su actuación más sencilla y rápida.

Las compañías se verán afectadas por los cambios de varias maneras. Por ejemplo, cada empresa que trabaje con datos de los usuarios habrá de nombrar a un responsable específico de protección de datos dentro de su organigrama. Asimismo, también deberán comunicar a las autoridades nacionales competentes cualquier violación de las reglas sobre protección de datos.

A partir de la entrada en vigor de la nueva norma, las empresas no podrán compartir datos de los usuarios sin su consentimiento “explícito” para el intercambio de datos. A cambio, se reduce la carga administrativa para las empresas, al abolir el requisito de notificación previa a una autoridad supervisora.

No sólo las empresas emplazadas dentro de la UE deberán prestar atención, ya que estas reglas son de aplicación a todas las compañías que manejen datos de ciudadanos europeos, independientementte de si tienen sede en algún Estado miembro o no. Esto afecta también a los modelos de negocio basados en la nube, por ejemplo.

También regulará el acceso a las redes sociales por parte de los menores de 16 años, proponiendo que se exija la autorización expresa de los padres para el uso de redes sociales por parte de sus hijos menores de edad. El límite puede variar dependiendo del país entre los 13 y los 16 años.

Por último, se precisa el derecho al olvido, convirtiéndolo en un derecho universal europeo, al que puede acogerse cualquier ciudadano para pedir que se borren sus datos digitales, “siempre que no haya bases legítimas para retenerlos”. Coo salvedad, los medios de comunicación pueden estar exentos de esta obligación en determinadas circunstancias.

Pablo Teijeira, director general de la firma de seguridad Sophos Iberia, cree que “es un paso al frente clave a la hora de asegurar una coherencia transfronteriza y, en última instancia, una importante ayuda para ofrecer una mejor protección de los datos de los ciudadanos. Si bien supondrá un esfuerzo y un cambio para muchas compañías, la economía de la UE se verá finalmente beneficiada ya que los clientes podrán realizar transacciones online con las empresas de la UE de una forma más segura”.