Acabamos de celebrar el 28 de enero el décimo aniversario del Día de la Protección de Datos en Europa. Este año además viene marcado por un cambio importante en la normativa de protección de datos comunitaria, dado que tras tres años largos de negociaciones entre las instituciones comunitarias, finalmente el Parlamento Europeo y el Consejo han dado luz verde -no sin algunas reformas- a las normas sobre protección de datos elaboradas por la Comisión: el Reglamento General de Protección de Datos y la Directiva sobre protección de los datos personales tratados a efectos policiales y judiciales. Estos textos se publicarán en el Diario Oficial de la UE en primavera y entrarán en vigor en 2018.
La reforma actualiza la normativa comunitaria dando respuesta a dos necesidades principalmente: por un lado, las que ha traído el desarrollo de internet y, por otro, las derivadas de la expansión del terrorismo internacional, que reclama mayor seguridad en el tráfico de datos. El centro de la nueva reforma sigue siendo el concepto de protección de datos como derecho fundamental de la persona. De hecho, se refuerza la idea de que se trata de un derecho fundamental y se establecen mecanismos para su mayor control. Por otra parte, las nuevas normas canalizan, como no podía ser de otra forma, los avances que vía jurisprudencia ha ido aplicando al TJUE a la normativa existente (Directiva 95/46).
Desde la perspectiva de los particulares, el nuevo Reglamento les otorga un mayor control sobre el tratamiento de sus datos. Así se refuerza el consentimiento que emitan, que deberá ser “claramente inequívoco”, se les reconocen nuevos derechos (derecho al olvido, a la portabilidad de datos o a saber cuándo se ha producido una fuga de sus datos), se amplía el elenco de datos sensibles (se incluyen los datos genéricos, los biométricos, las creencias filosóficas, por ejemplo). En resumen se les dota de nuevos mecanismos para poder proteger y defender más su derecho a la protección de datos.
Por su parte, a las empresas se les generan más obligaciones: tienen que designar un delegado de protección de datos, deben realizar una evaluación de impacto de la protección de datos, deben comunicar la posible fuga de datos, tanto a los particulares como a las autoridades competentes, deberán someterse a los códigos de conducta y las certificaciones que establezcan las autoridades. En definitiva, que su actuación quedan sometidas a los principios de transparencia y responsabilidad (“accountability”), protección desde el diseño y por defecto, lo que refuerza la idea de lo que se gestionan afecta a un derecho fundamental de las personas.
Una de las cuestiones más reseñables de la reforma es la que afecta al alcance de las nuevas normas. El Reglamento establece que se aplicará no sólo a quienes estén establecidos en Europa, sino también a los que sin tener establecimiento en territorio comunitario operen en Europa. De esta forma, el Reglamento se hace eco de los problemas con los que se ha encontrado el TJUE en reiterados asuntos por la limitación territorial que encuentra la normativa vigente hasta la fecha, y que puede afectar a la protección de algunos derechos de nuevo cuño, como el llamado derecho al olvido, como se ha puesto de relieve por algunos expertos en la materia ( García Mexía, P. «¿Universalidad del derecho al olvido? El TJUE no es el Tribunal de La Haya»). En cuanto a la aplicación intra-UE, la nueva norma es directamente aplicable en los Estados miembros, al ser un Reglamento, por lo que se facilitarán algunas cuestiones de normativa aplicable, que ya han sido tratadas por el TJUE (caso Weltimmo). En todo caso, habrá que esperar a leer el articulado de las nuevas normas, para ver el grado de integración jurídica que logra dentro de la UE.