NUEVA NORMATIVA EN PROTECION DE DATOS: CAMBIO DE MODELO. DE LA TIPICIDAD A LA CASUISTICA. DEL SISTEMA CONTINENTAL AL SISTEMA ANGLOSAJON

De rabiosa actualidad habida cuenta los últimos acontecimientos que tienen que ver con ataques cibernéticos a grandes corporaciones (véase ataque a Telefónica y otras grandes corporaciones con el virus “Ransomware” de hace escasos días o la repercusión escandalosa de la publicación de los datos personales de más de 30 millones de clientes de la famosa web de infidelidades “Ashley Madison”), la protección de datos personales y su libre circulación sufre una considerable transformación con ocasión de la entrada en vigor del REGLAMENTO EUROPEO que lo regula prevista para el próximo mes de mayo de 2018.

Así es, estamos como dicen los expertos en la materia, ante un auténtico cambio de modelo normativo en el que asimilando los conceptos y estructuras del sistema anglosajón en claro detrimento del continental, se cambian instituciones como la tipicidad de las conductas y sus sanciones por fórmulas de diligencia debida o gestión responsable (accountability) en un claro devenir hacia la cultura de cumplimiento normativo proveniente de aquellos lares.
En orden a su aplicación efectiva y toda vez que esta proscrita la transposición directa de sus normas al derecho interno de cada país (salvo excepciones), el legislador español se ha lanzado a la redacción de una nueva Ley que funcionará a modo de parche, rellenando aquellos huecos que el reglamento deja y cumplimentando aspectos que sí pueden individualizarse por los estados miembros. Tendremos que manejar una norma en cada mano.
Las novedades más significativas pueden constreñirse a los siguientes aspectos:

• Ámbito extraterritorial. Con que el tratamiento de los Datos se dirija a personas que estén en UE, ya resultara de aplicación la normativa.
• En cuanto a la legitimación para el tratamiento de los datos. Desaparece expresamente el consentimiento tácito. Expresamente deberá reflejarse la cobertura legal y la finalidad concreta de dicho tratamiento. Régimen de consentimientos tácitos actuales. Homologación vía interés legítimo del responsable del tratamiento, etc,…
• Derechos ARCO (acceso, rectificación, cancelación y oposición). Se incluye ahora la supresión, el derecho al “olvido”, la portabilidad de los datos (excepto expte. académico, historia clínica, etc,..) y la limitación de tratamiento.
• El fichero de datos. Desparece el fichero de Datos y su inscripción obligatoria en APD y se refuerza el concepto de “Tratamiento”.
• Medidas de seguridad (Nivel Alto, medio, básico). Desaparecen estas categorías y se sustituyen por los criterios de “sensibilidad dato” y “tratamiento masivo”. Plan de gestión responsable de los datos ajustado a los riesgos de los que protegerlos ídem compliance penal.
• Régimen sancionador. Pasmos de la Tipicidad a la casuística, al caso concreto. Adecuación del Plan de gestión al riesgo. Crítica: Posibles arbitrariedades en función de la nacionalidad del infractor.
• Figura del DPO (Data Protection Officer) gran relevancia asimilable a CCO. Perfil directivo pues debe conseguir implementar el modelo de cumplimento que ahora sustituye a las normas tasadas y es un cambio de cultura en las organizaciones.
• Como suele pasar, está pensado para grandes corporaciones.
• La futura ley se contradice frontalmente con el Reglamento en temas tan cruciales como los ficheros de solvencia. Existe interés legítimo como título habilitante para el tratamiento en las BBDD de “morosos” pero no respecto de las de “cumplidores” en este proyecto de Ley, mientras con el Reglamento no habría duda en que ambas.

De esta guisa podemos concluir que, efectivamente, el enfoque anglosajón, positivo para unos (consumidores sobre todo) y susceptible de arbitrariedades en su aplicación por los distintos estados miembros, para otros (grandes corporaciones) se ha impuesto en esta nueva norma donde, como en el cumplimiento penal, el PLAN DE GESTION RESPONSABLE DE LOS DATOS (con su evaluación de riesgos y consiguiente planificación de medidas para evitarlos. Mapa de Riesgos y Planes de Acción) por un lado, y el RESPONSABLE DE LA PROTECCION DE LOS DATOS (garante de la eficacia del plan de tratamiento), por otro, son las figuras clave sobre las que pivotará el nuevo sistema que subyace en el Reglamento europeo recién aprobado. Un modelo anglosajón inspirado por aquel país que paradójicamente saldrá de la Unión Europea cuando se empiece a aplicar.