Nos hacemos eco de la protesta expresada por la Asociación Española de la Economía Digital (adigital) contra la propuesta europea de Reglamento de Protección de Datos presentada el pasado 25 de enero por Viviane Reding, vicepresidenta de la UE en materia de protección de datos.
Según adigital, esta propuesta contiene novedades muy importantes respecto a la directiva que pretende sustituir, aunque no tantas respecto a la normativa española de protección de datos. No obstante, la propuesta confirma lo recogido en la directiva en el sentido de que para tratar datos es necesario que exista el consentimiento por parte del titular de los datos, o bien, que la entidad que los haya recabado tenga un interés legítimo que le permita tratarlos sin que se vulneren los derechos de los ciudadanos. Así mismo, y siempre según adigital, la propuesta sobre la nueva definición del consentimiento y la amplia definición de lo que se considera dato de carácter personal pueden significar una merma en la capacidad de las empresas y de cualquier otro organismo para tratar datos de carácter personal, con las negativas consecuencias que ello pueda tener para la economía.
Elena Gómez del Pozuelo, presidenta de adigital, ejemplifica el daño económico que se puede hacer con esta nueva legislación en variados ámbitos de actividad al asegurar que “la necesidad de obtener el consentimiento expreso para tratar exclusivamente datos sobre la navegación de los usuarios en una web va a provocar que se carezca de las herramientas necesarias para realizar mejoras en la misma, lo que se traducirá en una pérdida de eficacia y de clientes en el corto y medio plazo. De la misma forma, se va a provocar una reducción aún mayor en la realización de los envíos postales publicitarios, con la consiguiente incidencia en el empleo generado en el sector postal”.
Asimismo, en los borradores de la propuesta de reglamento europeo se contiene un novedoso régimen sancionador a nivel europeo que establece sanciones muy elevadas. Sin embargo, en opinión de adigital, en este sentido, no hay que olvidar que la normativa española incluye sanciones de hasta 600.000 euros, las cuales se pueden imponer de forma acumulativa y que incluso se puede llegar a la inmovilización del fichero, con las gravísimas consecuencias que ello puede tener para el normal funcionamiento de una entidad. Por ello, estima necesario que se introduzcan en la propuesta elementos que permitan una adecuada flexibilización a las circunstancias concretas de cada caso, tal y como ha ocurrido recientemente en España.
Otra de las novedades que incluye la propuesta está relacionada con la obligación de notificar por parte de cualquier empresa u organismo a la Agencia de Protección de Datos las posibles fugas de datos que se hayan producido en el plazo de 24 horas. Sin embargo, dados los graves perjuicios que ello puede significar para cualquier entidad, tanto pública como privada, adigital considera que esta obligación requiere una regulación detallada y concreta de los casos en que se debe llevar a cabo, dado que el plazo de 24 horas es claramente insuficiente tanto para detectar y evaluar el alcance, y adoptar las medidas necesarias para subsanarlo. Sobre este aspecto, adigital entiende, además, que sería fundamental, que puesto que en un porcentaje muy alto las fugas de información se producen por ataques externos, también se estableciesen, como elemento disuasorio, medidas sancionadoras contra los que los provoquen.
Finalmente, la organización considera positivo que se haya optado a la hora de regular la protección de datos por un reglamento en lugar de por una nueva directiva. Ello va a permitir que exista una base legal común, aunque está por ver que ello signifique una aplicación homogénea de la norma, a lo que puede contribuir las facultades que se otorgan a la Comisión Europea para desarrollar la norma.
