«Reglamento Europeo de Protección de Datos y el impacto del nuevo U.S. Privacy Shield en las transferencias de datos a EE.UU.»

El pasado 11 de mayo de 2016, DENAE, en colaboración con APEP, celebró en la sede del Consejo General de la Abogacía Española el foro sobre las novedades del Reglamento Europeo de Protección de Datos que fue publicado en el DOUE el pasado 4 de mayo y cuyas disposiciones serán de aplicación a partir del 25 de mayo de 2018.

Durante la sesión se abordó el impacto que supone la aprobación de este nuevo Reglamento para las empresas así como el impacto que el nuevo acuerdo EU – U.S. Privacy Shield supondrá para las transferencias de datos a EE.UU. en el marco de las relaciones comerciales transfronterizas.

Para ello, contamos con la presencia de Cristina Villasante, abogada de PwC y miembro de la Junta Directiva de DENAE, como moderadora de la mesa y de Ignacio H. Medrano, neurólogo, fundador de Savana y Mendelian; Marcos Judel, abogado socio de Audens y Vicepresidente 2º APEP y Gabriel Lopez, Director de asuntos regulatorios de Microsfot Iberica.

Tuvimos oportunidad de conocer de la mano de Ignacio H. Medrano hasta dónde puede llegar hoy en día la tecnología en el procesamiento de los datos. Ignacio mostró como la evolución constante tecnológica hará que en los próximos años el mundo cambie radicalmente. No se trata de una moda, sino un punto de inflexión que nos va a cambiar como especie. Existen nuevas universidades como la Singularity University creada en 2008 por la NASA y Google que están investigando, financiando y apoyando proyectos tecnológicos de explotación de datos que permitirán predecir enfermedades y diagnosticar las mismas de forma personalizada. Nos encontramos ante una inflación del conocimiento, provocado por la cantidad de información que se va acumulando. En esta situación, el mundo de la robótica y la ciencia artificial, cobran especial importancia. Tal y como apuntaba Ignacio H Medrano, los datos serán el eje de la evolución de la especie y harán que podamos vivir en un mundo mejor.

Por su parte, Marcos Judel, hizo un repaso de las novedades más significativas que supone la nueva regulación europea en materia de protección de datos. En opinión de Marcos, España está por delante del resto de los países de la UE para su adaptación a la nueva normativa, dado que la normativa española está muy desarrollada e impone a las empresas fuertes obligaciones de cumplimiento.

Marcos Judel destacó la forma en la que el Reglamento regula el consentimiento (“expreso” y “súper expreso”) y reflexionó sobre la posibilidad de obtener el consentimiento de forma tácita conforme a nuestro Real Decreto 1720/2007 y a diferencia del Reglamento que no contempla esta figura.

Por otro lado, expuso los principios que giran en torno al Reglamento, entendiendo que el principio de accountability es el más novedoso y que el resto de los principios, como el de la miniminación de los datos (calidad de los datos), ya venían aplicándose también en España.

En relación con los derechos ARCO, estos se amplían y modifican, incluyéndose el derecho al olvido y el derecho a la portabilidad.

El Reglamento además exige más claridad, a la hora de informar a los usuarios.

Además, se incluyen nuevas obligaciones como el Privacy by Design y Privacy by Default o el Privacy Impact Assesment y obligación de consulta previa.

Asimismo, Marcos Judel reflexionó sobre la cantidad de puestos de trabajo que se van a crear por las designaciones de Delgados de Protección de Datos (DPO) y la profesionalización que se les va a exigir.

También resaltó el nuevo régimen sancionador, llamando la atención sobre el hecho de que España ha tenido el régimen más punitivo en relación con el resto de los países europeos.

Por último, destacó la problemática del desarrollo de determinados artículos del Reglamento por las distintas autoridades nacionales y la necesaria coordinación que eso supondrá entre las distintas autoridades locales para que exista armonización en el desarrollo del Reglamento.

En definitiva, en opinión de Marcos Judel, este cambio normativo va a suponer que los abogados que se dedican a la protección de datos se tengan que formar, acreditar, y tengan además que conocer otras legislaciones.

Por último, Gabriel Lopez explicó en qué consiste el Privacy Shield Agrement, como marco de negociación entre las autoridades de EEUU y US en el ámbito de las relaciones comerciales que en principio permitirá que las transferencias de datos a EEUU se lleven a cabo sin detrimento de los derechos y libertades de los ciudadanos europeos.

En opinión de Gabriel, aunque Microsoft ha dado su visto bueno al Privacy Shield, hay asuntos que aún deben corregirse, como el hecho de que el Privacy Shield sea de tan difícil comprensión; los mecanismos de reclamación que pueden no ser suficientemente efectivos, o el hecho de que haya derechos no contemplados (p.e. retención de datos).

Microsoft no depende del Safe Harbour; pero sí lo hacen las empresas pequeñas y es por ello por lo que entiende Gabriel Lopez que debería aprobarse el Privacy Shield cuanto antes.

El próximo 31 de Mayo la Comisión dará respuesta a los comentarios sobre las cuestiones que el GT29 ha manifestado deben mejorarse del Privacy Shield Agrement. Se prevé que el acuerdo se aprobará definitivamente a finales del mes de junio de 2016.