¿En qué estado se encuentra la protección de datos en la Unión Europea? ¿Qué aspectos legales están vigentes en el Reglamento Europeo de protección de datos y cuáles se encuentran en proceso de desarrollo? Son algunas de las preguntas que responderemos en este artículo sobre una temática de interés general cada vez más presente.
La protección de datos es un tema de candente actualidad. No hay más que echar un vistazo a los medios de comunicación para darnos cuenta de la cantidad de noticias sobre multas por incumplimientos legales o consejos para la protección de la información que se publican a diario.
La sociedad cada vez tiene más conciencia de que tiene que tomar el hábito de ejercer medidas de ciberseguridad en su día a día, tanto en casa como en el trabajo. A raíz de esta situación las instituciones europeas llevan desarrollando desde hace años entornos legislativos acordes con una adecuada protección de datos de sus habitantes.
Por este motivo pensamos que es momento de hablar sobre los cambios de futuro respecto a la defensa de la identidad digital de la ciudadanía europea.
¿Cuál es la situación actual del RGPD?
El Reglamento General de Protección de Datos de la Unión Europea (RGPD) entró en vigor el 24 de mayo de 2016, siendo de obligado cumplimiento desde el 25 de mayo de 2018.
Pese a la exigencia legal de cumplir con los puntos que determina el RGPD, sigue habiendo empresas e instituciones que caen en acciones fuera de este marco legal, con las consiguientes sanciones..
Según publica DLA Piper, se han reportado 160.000 incumplimientos del RGPD en los países miembro de la Unión Europea, más Noruega, Islandia y Liechtenstein desde mayo de 2018. Esto se traduce en multas que, en conjunto, alcanzan los 114 millones de euros.
Los países que más caen en este incumplimiento del RGPD son:
- Países bajos (40.647)
- Alemania (37.636)
- Reino Unido (22.181)
Como muestra de las acciones legales tomadas ante estas situaciones tenemos las multas millonarias que han penalizado a grandes compañías tecnológicas, como Google o Facebook. En el caso del popular motor de búsqueda, a principios de 2019, la Comisión Nacional de Protección de Datos francesa le impuso una sanción de 50 millones de euros.
En cuanto a las medidas que están tomando las instituciones públicas para facilitar que se siga el RGPD por parte de las organizaciones, la Agencia Española de Protección de Datos (AEPD), ha ejecutado iniciativas como:
- La herramienta Facilita_RGPD, un cuestionario online especialmente diseñado para que pymes, micropymes y autónomos puedan verificar si los datos con los que trabajan son de bajo riesgo, así como para proporcionarles la documentación necesaria para estar al tanto con el RGPD.
- La Guía de Privacidad desde el diseño, para favorecer la implantación del RGPD en los proyectos desde el arranque de la fase de diseño.
- Una Guía para adaptar el RGPD a productos que hagan uso de la Inteligencia Artificial.
La ley de cookies de la Unión Europea
Uno de los aspectos más importantes respecto a la protección de datos es el tratamiento de las cookies de los sitios web. Cada vez que navegamos por Internet, es muy común encontrarnos con avisos que nos instan a aceptar las cookies del mismo.
¿Qué son las cookies?
Por cookies entendemos los archivos que se instalan en nuestro navegador cuando accedemos a una página y que se encarga de registrar información sobre nuestro comportamiento en la misma. Con ellas, por ejemplo, se pretende agilizar nuestras futuras experiencias en dicha web.
El uso de las cookies quedó regulado en Europa en 2002 y actualizado en 2009 con la Directiva de Privacidad y Comunicaciones electrónicas, siendo un complemento al RGPD. Según esta, sólo se instalarán las cookies tras el consentimiento expreso del usuario, que previamente ha sido debidamente informado.
Esto excluye a las cookies que son imprescindibles desde el punto de vista técnico para el funcionamiento de la web, como las de selección de idioma o las de datos de acceso a un servicio, por mencionar algunas.
Los cambios que están por venir: el nuevo Reglamento ePrivacy
Como hemos podido ver, la última actualización legal sobre privacidad digital en Europa consta de 2009, por lo que es evidente la necesidad de reformar este texto para que se adapte a la realidad de nuestros días.
Para dar este paso adelante en lo que a reafirmación del Mercado Digital Único se refiere, las autoridades comunitarias se encuentran desde hace varios años en proceso de redacción y tramitación del nuevo Reglamento de Privacidad y Comunicaciones Electrónicas o Reglamento ePrivacy.
Este Reglamento ePrivacy se complementa con el RGPD, ya que el primero concretamente hace referencia a los datos de comunicaciones electrónicas que se consideran datos personales, teniendo preferencia sobre el RGPD. En el caso de aspectos sobre información personal electrónica que no estén plasmados en el Reglamento ePrivacy, se acudirá al RGPD.
Podemos decir que el RGPD es más flexible y ampara facetas que van más allá del mundo digital, mientras que ePrivacy se enfoca al ámbito digital.
La tramitación del Reglamento ePrivacy está resultando de lo más tortuosa y conflictiva, ya que, tras pasar por unos 8 borradores, en noviembre de 2019 la última versión fue rechazada por el Comité de Representantes Permanentes de los Gobiernos de los Estados miembros en el Consejo de la Unión Europea (COREPER). Aún así se espera que a lo largo de este 2020 se retome el diálogo referente a este importante texto legal.
Algunos aspectos relevantes que trata el Reglamento ePrivacy es el hecho de que la navegación por sitios web no se vea condicionada a la aceptación de las políticas de cookies de seguimiento o publicitarias, lo cual podría suponer un revés para las empresas que se benefician de los datos recogidas por las mismas para ofrecer contenido en función de los gustos de los usuarios.
Continuando con las cookies, el último borrador establecía la prohibición del uso de cookies en dispositivos de usuario, con las siguientes excepciones:
- Que haya un consentimiento expreso por parte del usuario
- Sea imprescindible para un servicio requerido
- Se necesite para la medición de audiencias por el proveedor del servicio
- Se necesite para el mantenimiento o seguridad del servicio
- Sea necesario para actualizar el software si:
- Se necesite por seguridad y no requiera cambiar la configuración de privacidad
- Se informe al usuario
- El usuario pueda aplazar o desactivar las actualizaciones
Además, en lo referente al uso de datos personales y metadatos relacionados, se establece que estos sólo puedan emplearse para el fin por el que se recopilaron en un principio, a no ser que el usuario dé su consentimiento expreso para modificar dicha finalidad.
También podemos resaltar el hecho que supone la llegada del 5G y, por tanto, de la recogida de información entre máquinas, como la que sucede con la tecnología IoT (Internet de las Cosas). Una faceta que también debe recoger este nuevo marco legal.
Hasta aquí este repaso a la situación actual y a las principales novedades de futuro respecto a la protección de datos en Europa. Esperamos que os haya servido para tener una idea clara del panorama actual de esta faceta clave ya en nuestra vida cotidiana.
Desde Viafirma seguimos trabajando por ofrecer soluciones de firma digital completamente ceñidas y actualizadas a la legislación vigente en materia de datos personales, de manera que podáis usar nuestras herramientas de firma y autenticación con total tranquilidad, sabiendo que cuentan con todo el respaldo legal posible.