Novedades y déficits de la nueva ley de protección de datos

Este viernes comienza a ser plenamente aplicable el reglamento 2016/679 que regula el tratamiento de los datos personales y su circulación (RGPD) a nivel de la Unión Europea. Este reglamento deroga la directiva de 1995 y conlleva cambios importantes tanto en lo relativo a los derechos de las personas como respecto a las obligaciones de aquellos que tratan datos. El RGPD es aplicable a ámbitos tan diversos como el márqueting, la publicidad comportamental, la salud, las relaciones laborales, la investigación, los archivos, las redes sociales o las aplicaciones móviles.

Entre las novedades destacan la introducción del principio de responsabilidad proactiva así como el principio de la evaluación del riesgo. En este sentido, constituye un nuevo aspecto la notificación de las violaciones de seguridad. En cuanto al ámbito subjetivo, aparece en escena un nuevo actor, el delegado de protección de datos, de designación obligatoria en determinados casos. En cuanto al responsable y encargado de tratamiento, desaparecen algunas obligaciones, como la necesidad de declarar los ficheros.

Sin embargo se establecen nuevos deberes: realizar evaluaciones de impacto, la exigencia de documentar las operaciones de tratamiento, el principio de privacidad desde el diseño, nuevos deberes de información o bien la consulta previa a la autoridad de protección. En cuanto a los derechos de los afectados, destaca el ejercicio del derecho de supresión (el denominado derecho al olvido), el derecho a la portabilidad y el bloqueo de los datos. Por otra parte, hay que subrayar una regulación relativa a los códigos de conducta y los mecanismos de certificación.

Ventanilla única

En cuanto a las autoridades de protección de datos, se establece el denominado sistema de 'ventanilla única' que conlleva la necesidad de articular mecanismos de cooperación entre diferentes autoridades de protección de datos. Finalmente, el RGPD establece un régimen sancionador que prevé multas importantes (hasta 20 millones de euros o en caso de empresas, hasta el 4% del volumen de negocio total anual global). Sin embargo, la plena aplicación del reglamento desvela bastantes dudas sobre su eficacia como herramienta de protección de la persona. Durante los más de cuatro años de gestación del texto, la realidad tecnológica ha superado al legislador.

Hay fenómenos que quedan al margen del nuevo reglamento, como el 'big data' o la internet de las cosas. Se da la paradoja de que aquellos que quedarán efectivamente sujetos a la norma son los sectores más tradicionales, mientras los que son potencialmente más peligrosos podrían quedar al margen. La finalidad última de la regulación del tratamiento de los datos debería ser la protección de la libertad decisional del individuo. Actualmente, en una sociedad de ubicuidad tecnológica, lo que está en juego no es tanto el hecho de saber y recopilar información, sino la manipulación del sujeto a través de la predicción de su comportamiento.

En este sentido la aplicación de decisiones automáticas en base a algoritmos y las implicaciones que tiene respecto a la inteligencia artificial, quedan prácticamente al margen del RGPD. En definitiva, aunque el RGPD tiene aspectos positivos, no hace frente al principal riesgo de la sociedad de la información que consiste en el encasillamiento y manipulación de la persona.