Análisis de lo más importante o novedoso en relación a la propuesta de la Comisión Europea para regular la protección de datos personales en la Unión Europea en las próximas décadas.
En el mes de enero de 2012, después de varios años de consultas y estudios preliminares, la Comisión Europea hizo pública su propuesta (1) para regular la protección de datos personales en la Unión Europea en las próximas décadas.
Además, las previsiones del Tratado de Lisboa (2), que entró en vigor el 1 de diciembre de 2009, además de reconocer la protección de datos personales como un derecho fundamental de los ciudadanos europeos y de dotar de carácter vinculante a la Carta de Derechos Fundamentales de la Unión Europea (3) -que ya recogía este derecho desde el año 2000- disponía que el legislador europeo establecería las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal y, por ello, la Propuesta de la Comisión Europea es también una respuesta a este mandato de los tratados.
En primer lugar hay que hacer una rápida mención al instrumento jurídico elegido y sus implicaciones en el proceso de implantación de la norma. En efecto, la Comisión Europea ha decidido que su propuesta se basaría en un reglamento y no en una directiva como la existente actualmente -Directiva 95/46/CE (4)- ya que lo ha juzgado un medio más idóneo para conseguir los objetivos de armonización que se ha propuesto. La razón es que un reglamento es una norma de aplicación directa a los Estados miembros sin posibilidad de que estos lleven a cabo ninguna modificación de la misma. Al mismo tiempo, tampoco requiere de ningún proceso de transposición al derecho nacional -como ocurre con las directivas- lo que evita que los legisladores nacionales se desvíen del texto que en su día aprueben el Parlamento Europeo y el Consejo de la Unión Europea.
Este último apartado tiene consecuencias muy importantes ya que significaría la aplicación de la norma europea a organizaciones que no están establecidas en territorio europeo pero que tienen clientes u ofertan sus servicios a personas que sí residen en Europa o, simplemente, realizan cualquier tipo de seguimiento de las conducta del usuario europeo, por ejemplo, instalando en su disco duro tracking cookies para monitorizar la navegación del mismo con el objetivo de construir un perfil que responda a sus gustos, necesidades y aficiones para personalizar las acciones publicitarias dirigidas a él.
Finalmente, la Propuesta obliga a que el responsable ponga en marcha mecanismos adecuados que garanticen, primero, la fijación de los plazos de conservación de la información y, segundo, los mecanismos necesarios para asegurar que se respetan los plazos fijados para la supresión de datos personales o, en su caso, la evaluación periódica de la necesidad de conservar los datos (recientemente -noviembre de 2012- ENISA, la Agencia Europea de Seguridad de las Redes y la Información, ha publicado un estudio sobre los aspectos prácticos de la implantación del derecho al olvido: The right to be forgotten - between expectations and practice) (5).
- (1) PARLAMENTO EUROPEO Y CONSEJO. Bruselas 25 de Enero 2012. "Propuesta de Reglamento relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)".
- (2) Diario Oficial de la Unión Europea. 17 de Diciembre de 2007. "TRATADO DE LISBOAPOR EL QUE SE MODIFICAN EL TRATADO DE LA UNIÓN EUROPEA Y EL TRATADO CONSTITUTIVO DE LA COMUNIDAD EUROPEA". (2007/C 306/01).
- Diario Oficial de la Unión Europea. Luxemburgo, 30 de Marzo de 2010. "VERSIONES CONSOLIDADAS DEL TRATADO DE LA UNIÓN EUROPEA Y DEL TRATADO DE FUNCIONAMIENTO DE LA UNIÓN EUROPEA". (2010/C 83/01).
- (3) Diario Oficial de la Unión Europea. 30 de Marzo de 2010. "CARTA DE LOS DERECHOS FUNDAMENTALES DE LA UNIÓN EUROPEA". (2010/C 83/02).
- (4) Diario Oficial de las Comunidades Europeas. 23 de Noviembre de 1995. "DIRECTIVA 95/46/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos".
- (5) ENISA (European Network and Information Security Agency). 20 de Noviembre de 2012. " The right to be forgotten - between expectations and practice".
- ARTICLE 29 DATA PROTECTION WORKING PARTY. 23 de Marzo de 2012. "Opinion 01/2012 on the data protection reform proposals". 00530/12/EN. WP 191.
- Peter Hustinx (European Data Protection Supervisor). Bruselas, 7 de Marzo de 2012. "Opinion of the uropean Data Protection Supervisor on the data protection reform package".
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
es Jefe de Área en la AEPD (Agencia Española de Protección de Datos). Ha trabajado profesionalmente en el campo de la protección de datos personales desde el año 1995 habiendo desempeñado puestos como Subdirector General de Registro de Ficheros y Consultoría y Subdirector de Inspección y Tutela de Derechos en la APDCM (Agencia de Protección de Datos de la Comunidad de Madrid) y Subdirector General de Inspección y Adjunto al Director en la AEPD.
Es Licenciado en Matemáticas (Sección de Ciencias de la Computación) por la Universidad Complutense de Madrid, Máster en Estadística e Investigación Operativa por la misma universidad y Máster en Dirección de Sistemas y Tecnologías de la Información por la Universidad Politécnica de Madrid.
NOTA DEL EDITOR: (1) Para focalizar sobre la figura del DPO (Data Protection Officer) a la que hacen referencia los Artículos 35, 36 y 37 del borrador de Reglamento europeo, puede consultarse un artículo monográfico en éste mismo Blog: