Los principales desafíos a los que se enfrenta el Derecho en la llamada “Era de la Información” son los derivados de unos avances técnicos que permiten la transmisión de enormes volúmenes de datos en tiempo (casi) real a nivel mundial.

En la red desaparecen las fronteras y conciliar la soberanía de los diferentes países con los derechos de los usuarios no es tarea fácil. Por eso la Unión Europea está trabajando en un nuevo Reglamento (norma de aplicación directa y homogénea en todos los países) con el que regular el tratamiento de datos y que, muy probablemente, no entrará en vigor antes del primer trimestre de 2.018. Eso sí: Afectará a las empresas de ecommerce y prestación de servicios vía web, cuyos empleados deberán recibir, como actualmente, formación e información sobre las medidas de seguridad que deben aplicar en esta materia.

El principal objetivo de esta nueva norma es garantizar la protección de los afectados por el tratamiento de datos, en todas sus fases, llegando hasta el titular o consumidor final.

Para ello se establecen procedimientos, medidas y recursos como la figura del Oficial de Protección de Datos (DPO, por sus siglas en inglés o Data Protector Officer, Responsable de Seguridad) con funciones similares al Oficial de Cumplimiento (CO, Compliance Officer) dirigidas a establecer, supervisar y controlar los procesos específicos sobre tratamiento de datos así como su aplicación real. Por ejemplo, que el Responsable de Ficheros cumpla con la nueva obligación, previa a la obtención de datos, de llevar a cabo Análisis de Riesgos y Evaluación de Impactos sobre la privacidad de los afectados, cuya forma y contenido regulará cada país. Así mismo, el DPO actuará como intermediario ante la Autoridad de Control.

El DPO, llamado también Delegado de Protección de Datos, será obligatorio para las administraciones públicas (salvo para la judicial en el desarrollo de sus funciones) y para quienes trabajen con gran cantidad de datos (pendiente de definir qué se entiende por “datos a gran escala”) sean de carácter general o datos especialmente protegidos.

Esto obedece al establecimiento concreto de los principios adicionales de Transparencia y Responsabilidad aplicables a quienes traten los datos, motivo por el que desaparecerá la actual obligación de registrar los ficheros (en nuestro caso ante la AEPD, Agencia Española de Protección de Datos). No debemos olvidar que, de momento, la falta de notificaciones obligatorias e inscripción se considera infracción leve con multa de 900 a 40.000 €, según establece el art. 44 de la LOPD)

Otra consecuencia de la aplicación de estos principios es la definición de los “avisos legales” y su contenido, que variará respecto a las menciones actuales, las cuales ya han de someterse a una amplia normativa: No solo la LOPD y LSSI, sino también la LGP, LGDCU y CC, entre otras.

Lo que no variará será la conveniencia de adaptarlos a cada web, caso por caso, sin recurrir al “copiar y pegar” tan habitual hoy en día.

Más consecuencias con origen en estos principios: Ante el cambio de Responsable de los ficheros, el titular tiene derecho a recibir información, en un formato legible, estructurado y de uso común, sobre los datos personales entregados, así como a la transmisión directa entre responsables. Este nuevo “derecho de portabilidad” habrá de irse perfilando con la práctica, ya que depende tanto de las posibilidades técnicas como del interés del responsable en transmitirlos, total o parcialmente, cuando su obtención haya requerido esfuerzos que podrían beneficiar en exceso al nuevo responsable.

Por fin se menciona expresamente el llamado “Derecho al Olvido”, sujeto a protección efectiva, que no deja de ser una derivación del derecho de oposición y cancelación de datos (Recogidos junto a los demás derechos, incluyendo el de indemnización, en el Título III, arts. 13 y ss. LOPD) referido a información antigua.

Los avances producidos en los sistemas de autenticación y validación basados en rasgos físicos intrínsecos y personales, por su parte, implican la aparición de nuevas categorías de datos especialmente protegidos (recogidos actualmente en el art. 7 LOPD).

La posibilidad de reunir y tratar información genética y biométrica (huellas dactilares, otogramas o huellas de la oreja, iris, retina, datos vasculares del dedo o la palma de la mano y su geometría, reconocimiento facial…) tanto como las características del comportamiento (firma, paso y tecleo) o la voz, considerada categoría intermedia entre ambos tipos, requieren una mayor protección debido al riesgo especial que podría suponer un uso irregular: La suplantación y sus consecuencias. Por ello pasan a prohibirse con carácter general y necesitan una solución específica en el entorno laboral, así como cuando sean necesarios en el ejercicio de derechos.

Volveremos sobre el tema cuando se haya aprobado el texto definitivo. Mientras tanto podéis encontrar más información en las fuentes de este artículo: Law&Trends y PYME Legal

Y no olvidéis varias cosas:

1. NADA ES GRATIS. El precio de las aplicaciones y programas “gratuitos” es la cesión ciega de vuestros datos. La menor de las consecuencias es que os invada publicidad inconsentida o spam y la peor, los riesgos de malware.
2. PRUDENCIA Y SENTIDO COMÚN: Los datos personales, propios o ajenos, son muy importantes. Conviene recabar siempre el consentimiento expreso de los titulares.
3. TÉRMINOS Y CONDICIONES: Así como los avisos legales contienen la información imprescindible para llevar a cabo transacciones vía web con un mínimo de información y garantía. No los paséis por alto.