Autoridades de Protección de Datos a favor del DPO obligatorio en el Reglamento Europeo.
Antes de que empiece la "pacÃfica ronda" de conversaciones, las Autoridades de Protección de Datos, a través del denominado Grupo del ArtÃculo 29, ha enviado sendas misivas a los afectados, y publicado un documento de conclusiones, en el que se analiza los puntos más importantes que deberÃan ser objeto de cambio.
Entre ellos, se encuentra la figura del Data Protection Officer, obligatorio en la versión de la Comisión para empresas de más de 250 trabajadores y para las Administraciones, matizado por el Parlamento Europeo en relación al tratamiento de 1.000 afectados, y declarado meramente voluntario por el nuevo texto, so pena de que cada Estado decida que esa obligatoriedad sea tal mediante su normativa interna.
En este sentido, el Grupo aboga por la obligatoriedad, desde el punto de vista del tipo y volumen de tratamientos que se realicen, asà como de la naturaleza de la actividad del responsable, ya que la existencia del DPO supone la eliminación de riesgos.
Otras cuestiones sobre las que se manifiestan su disconformidad son las siguientes:
- Las Administraciones públicas deberÃan ser sancionadas económicamente.
- La facultad otorgada para de cada Estado pueda introducir especificaciones/desarrollar el texto, lo que supondrÃa que no habrÃa armonización.
- La "pseudoanonimización" deberÃa ser una medida de seguridad, y no un nuevo tipo de dato.
- No están de acuerdo con las matizaciones de la excepción doméstica ("no debe aplicarse al tratamiento por una persona fÃsica de datos de carácter personal en el transcurso de una actividad personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial").
- Tampoco con la referida a los siguientes tipos de datos, ya que la regla general es que lo son: "Los números de identificación, los datos de localización, los identificadores en lÃnea u otros factores especÃficos no (..) deben ser considerados datos de carácter personal cuando no sirvan para identificar o hacer identificable a un individuo".
- Se deberÃa eliminar el conflictivo artÃculo 6.4, en virtud del cual, "Cuando la finalidad del tratamiento posterior sea incompatible con aquella para la que se recogieron los datos personales por el mismo responsable, el tratamiento posterior deberá tener base jurÃdica al menos en uno de los fundamentos mencionados en el apartado 1, letras a) a e). El tratamiento posterior por el mismo responsable para fines incompatibles por motivos de legÃtimo interés del responsable o de un tercero será lÃcito cuando estos intereses superen a los del interesado".
- Considera fundamental tanto la "accountability" como la obligación de documentar tratamientos.
- Se debe limitar la posibilidad de denuncias por parte de las asociaciones cuando los afectados no han denunciado.
Asimismo, señalar que aunque se ha vendido que el nuevo texto "garantiza el derecho al olvido", del mismo se desprende que los Estados son reticentes a ceder su soberanÃa en esta materia, habiendo desprovisto a la Comisión de cualquier desarrollo de numerosos preceptos, ya que ésta, en el primer texto, se reservaba dicha facultad, para que de esta forma, hubiese una total armonización normativa.
Por último, no sólo se han introducido numerosas modificaciones, sino que la mayorÃa favorecen a los Estados, al aparecer en varios artÃculos restricciones en favor del "interés público".