La LOPD y la nueva regulación europea tras el “caso PRISM”

El “caso PRISM”, o más conocido como “caso Snowden” en honor al ex agente de la CIA que sacó a la luz el programa de vigilancia o espionaje de Estados Unidos, ha hecho saltar las alarmas en Europa. Hasta el punto de que la tramitación el nuevo Reglamento Europeo de Protección de Datos, que unificará todas las regulaciones y que será de aplicación en todos los países miembros de la UE, se ha acelerado pese a la gran cantidad de enmiendas presentadas al texto (más de 4.000).

Sin duda, este nuevo Reglamento, que lleva más de año y medio discutiéndose, contendrá algún apartado específico para dar respuesta a casos como el del programa PRISM. Pero, ¿en qué cambiará la nueva regulación europea lo dispuesto en la actual Ley de Protección de Datos? ¿Obligará a que las empresas españolas se conciencien de una vez por todas de la importancia de cumplir la LOPD?

En principio, la nueva norma europea, que si todo marcha bien entrará en vigor en 2014, endurecerá las medidas de seguridad a adoptar por parte de las empresas. Este punto es el que ha suscitado las mayores suspicacias de los Estados miembros y de los lobbys de las empresas de tecnología y comunicaciones, como Microsoft, Google o Amazon.

El nuevo Reglamento General Europeo de Protección de Datos, entre sus novedades, contempla la creación de la figura del Data Privacy Officer (DPO), ya existente en otras normativas, como es el caso de la alemana.

Aunque habrá que esperar a ver el texto que finalmente se apruebe y se establezca en el Reglamento, podemos avanzar ya cuál va a ser la naturaleza de esta figura, así como algunas de sus funciones más relevantes.

El DPO será OBLIGATORIO para:

  • Todas las Administraciones Públicas, independientemente de su tamaño.
  • Empresas privadas de más de 250 trabajadores.
  • Cuando las actividades principales del Responsable o Encargado del Tratamiento consistan en operaciones de tratamiento que, por su naturaleza, magnitud o fines, requieran un seguimiento periódico y sistemático de los interesados.

Nueva regulación para el consentimiento de datos personales a terceros

Asimismo, la nueva regulación europea prevé que sea necesario el consentimiento expreso del usuario para el almacenamiento y utilización de datos personales por parte de un tercero, ya sea una web, una red social o una tienda virtual. Con esta medida se quiere evitar interrupciones en la navegación por los pop-ups de publicidad y por las preguntas constantes acerca de si el usuario da el visto bueno al tratamiento de sus datos.

De esta manera, se lograría que reciban publicidad únicamente aquellos que previamente hayan aceptado recibirla, algo a lo que no están dispuestas las empresas de marketing directo. De salir adelante la ley con esta obligación, el negocio de estas compañías de publicidad en internet se reduciría considerablemente aunque, por otra parte, la vigente LSSI-CE ya contempla en la actualidad la obligatoriedad de recabar el consentimiento expreso de los destinatarios que deseen recibir ofertas promocionales y publicidad por email o cualquier medio electrónico equivalente.

En la actualidad, y antes de que llegue la normativa europea, la Agencia Española de Protección de Datos (AEPD) ya se preocupa de que las empresas cumplan con lo previsto en la LOPD a través de herramientas como “Evalúa”, un programa anónimo y gratuito que permite a empresas y administraciones autoevaluar el grado de cumplimiento de la Ley.

Esta herramienta ofrece respuestas a las dudas a las que habitualmente se enfrentan quienes manejan datos personales mediante un test basado en preguntas con respuesta múltiple. Rellenarlo ocupa entre 45 y 60 minutos y, una vez finalizado, genera un informe con indicaciones y recursos que orientan, en su caso, para cumplir con lo dispuesto en la LOPD y evitar sanciones por incumplimiento, que van de los 900€ a los 600.000€.