Archivado en Opinion, Privacidad

Autoridades de Protección de Datos a favor del DPO obligatorio en el Reglamento Europeo.


Semana "movidita" la que hemos tenido en el "mundo del dato" con la publicación de lo que sería el texto del ya famoso Reglamento Europeo de Protección, con la versión del Consejo, y con la publicación del calendario de los llamados "trílogos", o más bien, combate a tres bandas entre Comisión, Parlamento y Consejo para discutir el texto.




Antes de que empiece la "pacífica ronda" de conversaciones, las Autoridades de Protección de Datos, a través del denominado Grupo del Artículo 29, ha enviado sendas misivas a los afectados, y publicado un documento de conclusiones, en el que se analiza los puntos más importantes que deberían ser objeto de cambio.

Entre ellos, se encuentra la figura del Data Protection Officer, obligatorio en la versión de la Comisión para empresas de más de 250 trabajadores y para las Administraciones, matizado por el Parlamento Europeo en relación al tratamiento de 1.000 afectados, y declarado meramente voluntario por el nuevo texto, so pena de que cada Estado decida que esa obligatoriedad sea tal mediante su normativa interna.

En este sentido, el Grupo aboga por la obligatoriedad, desde el punto de vista del tipo y volumen de tratamientos que se realicen, así como de la naturaleza de la actividad del responsable, ya que la existencia del DPO supone la eliminación de riesgos.

Otras cuestiones sobre las que se manifiestan su disconformidad son las siguientes:

  • Las Administraciones públicas deberían ser sancionadas económicamente.
  • La facultad otorgada para de cada Estado pueda introducir especificaciones/desarrollar el texto, lo que supondría que no habría armonización.
  • La "pseudoanonimización" debería ser una medida de seguridad, y no un nuevo tipo de dato.
  • No están de acuerdo con las matizaciones de la excepción doméstica ("no debe aplicarse al tratamiento por una persona física de datos de carácter personal en el transcurso de una actividad personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial").
  • Tampoco con la referida a los siguientes tipos de datos, ya que la regla general es que lo son: "Los números de identificación, los datos de localización, los identificadores en línea u otros factores específicos no (..) deben ser considerados datos de carácter personal cuando no sirvan para identificar o hacer identificable a un individuo".
  • Se debería eliminar el conflictivo artículo 6.4, en virtud del cual, "Cuando la finalidad del tratamiento posterior sea incompatible con aquella para la que se recogieron los datos personales por el mismo responsable, el tratamiento posterior deberá tener base jurídica al menos en uno de los fundamentos mencionados en el apartado 1, letras a) a e). El tratamiento posterior por el mismo responsable para fines incompatibles por motivos de legítimo interés del responsable o de un tercero será lícito cuando estos intereses superen a los del interesado".
  • Considera fundamental tanto la "accountability" como la obligación de documentar tratamientos.
  • Se debe limitar la posibilidad de denuncias por parte de las asociaciones cuando los afectados no han denunciado.

Asimismo, señalar que aunque se ha vendido que el nuevo texto "garantiza el derecho al olvido", del mismo se desprende que los Estados son reticentes a ceder su soberanía en esta materia, habiendo desprovisto a la Comisión de cualquier desarrollo de numerosos preceptos, ya que ésta, en el primer texto, se reservaba dicha facultad, para que de esta forma, hubiese una total armonización normativa.

Por último, no sólo se han introducido numerosas modificaciones, sino que la mayoría favorecen a los Estados, al aparecer en varios artículos restricciones en favor del "interés público".

Artículo de Francisco Javier Sempere en Privacidad Lògica


pdfprintpmail