El pasado viernes 15 de enero de 2016 tuvo lugar la jornada “Evolución de la protección de datos en los últimos tiempos y a futuro”, organizada por la Agencia Vasca de Protección de Datos, con ocasión de la entrega de la tercera edición de los Premios AVPD.

Al acto asistió la Directora de la Agencia de Protección de Datos, Mar España, de la que reseñamos lo principal de su intervención, en un trabajo de Nuria Méler Gines, Jefa de publicaciones de Consultor Jurídico.

El acto estuvo presidido el Director de la Agencia vasca, Iñaki Pariente quien, al igual que Mar España, mostró su satisfacción por las vías de colaboración y cooperación que les unen, matizando Mar España, con respecto al comentario de Iñaki Pariente, que no se trata de hermanos mayores o menores sino que “somos una familia”.

Regl. UE protección de datos: cada vez más cerca

En relación con el acuerdo acalzando recientemente, para la aprobación de un Reglamento europeo de protección de datos, la Directora comentó como buena noticia que se va a disponer de 2 años para preparar a los profesionales, empresas y administraciones públicas de cara a las nuevas obligaciones que la norma establece.

Además, según señaló la norma presenta las siguientes ventajas:

- Supondrá una armonización y unidad de criterio en cuanto a la aplicación y garantía de los derechos de los ciudadanos europeos en materia de privacidad y protección de datos. Recalcó el carácter pionero del continente europeo en garantizar y velar por dichos derechos.

- Incorpora el derecho al olvido y el derecho a la portabilidad, destacando el relevante papel que ha jugado la AEPD en cuanto al primero (ver sentencia del TJUE caso Costeja).

- Ofrece un enfoque preventivo más que sancionador y con incidencia en la privacidad desde el diseño o privacidad por defecto, en las evaluaciones de impacto y códigos de conducta o la figura del DPO (Data Protection Officer).

- Contiene una nueva regulación de los mecanismos de supervisión y control, punto importante porque actualmente solo 13 de las autoridades nacionales tienen la competencia previa de autorización de flujos de datos a terceros países, mientras que en el resto de los casos intervienen solo después cuando conocen que se ha producido algún tipo de vulneración de la normativa.

- Incluye un régimen sancionador completo, que detallan tanto las agravantes como las atenuantes. A este respecto Mar España señaló también que en nuestro país esta regulación ya se acometió mediante introducida en la LOPJ por la Ley 2/2011, de 4 de marzo, de Economía Sostenible, que introdujo criterios de atenuación frente a una regulación anterior tan rígida respecto a graduación y cuantía económica de las sanciones, que había supuesto en la práctica perjuicios a veces irreparables a la actividad económica o incluso a la propia supervivencia de las empresas.

- Futuro Consejo Europeo de Protección de Datos que va a tener la capacidad de adoptar decisiones jurídicamente vinculantes y mecanismo de ventanilla única, relacionado también con el derecho al olvido.

- Se reducirá la burocracia, pues ya no va a ser obligatorio para las empresas inscribir sus ficheros, desapareciendo por tanto la Subdirección general de registro de ficheros .

Políticas de privacidad: el trabajo "invisible" de la AEPD con grandes empresas de internet

Mar España comentó los pasos y mejoras dados sobre todo con Google tras el expediente sancionador abierto en su día a dicha compañía, y que ha dado lugar a un análisis exhaustivo de sus actuaciones que ha culminado con el anuncio reciente por parte de la AEPD de la mejora a nivel mundial de las políticas de privacidad de este grande de Internet. Con respecto Facebook, señaló, existe una investigación conjunta con otros países de la UE .

La problemática del Safe Harbor o Puerto seguro

En relación con la reciente sentencia del TJUE de 6 de octubre de 2015 (asunto asunto C-362/14), que anulaba la Decisión 2000/520/CE de la Comisión, de 26 de julio de 2000, por la que la Comisión había considerado que, en el marco del régimen denominado de Safe Harbor o Puerto seguro, Estados Unidos garantiza un nivel adecuado de protección de los datos personales transferidos, la Directora de la AEPD apeló en tres ocasiones a la prudencia y el sentido común que han de imperar al abordar esta cuestión, dada su trascendencia económica, pues aunque, como precisó, en este caso el Puerto Seguro se refiere a las transferencias que se hacen a empresas con sede en EE.UU., significa en realidad un porcentaje altísimo de las empresas que operan en Internet.

- Prudencia y sentido común necesarios en el seno del Grupo de Trabajo del Artículo 29, que mantiene una posición común, siendo importante la unidad de criterio de las autoridades nacionales. El plazo de reflexión estipulado de 3 meses vence a finales de enero de 2016 por lo que la semana del 18 de enero el Grupo está convocado a una reunión en Bruselas previo al plenario de la primera semana de febrero, donde estudiarán las medidas a adoptar. Es un tema en el que no solo son competentes las Autoridades Nacionales, por lo que instan tanto a la Comisión como al Gobierno de los EEUU para acelerar las negociaciones de Safe Harbor. Por ahora no nos pudo dar más detalles porque no afecta solo a la AEPD.

- Prudencia y sentido común porque es una cuestión que se ha abierto a la vez que el Reglamento europeo y otros retos a los que enfrentarse. Pero, dijo, si es necesario también se deberán realizar, escalonadamente, las acciones que la situación vaya requiriendo de forma selectiva y conjunta con los demás países de la UE.

- En la ronda de preguntas, ante las dudas sobre el uso de plataformas como Dropbox o Mailchimp, insistió en estas prudencia y sentido común. En todo caso, contestó, lo único que el TJUE ha declarado ilegal son las transferencias internacionales en el marco de Safe Harbor siguiendo vigentes las herramientas alternativas de la Directiva. Y, desmintió, a pesar de algunas noticias publicadas, hasta ahora la AEPD no ha hecho una sola suspensión ni reducción de utilización de ningún servicio.