Cuando algunos empezábamos a sospechar que el Reglamento Europeo de Protección de Datos, había sido aparcado, por tiempo indeterminado, por las autoridades europeas, hace unos días salta la noticia de que se ha filtrado un documento en el que se detalla, en formato comparativa, un texto, de lo que parece el resultado de la negociación entre la Comisión y el Consejo sobre el Reglamento Europeo de Protección de Datos, en donde también se habrían incorporado las modificaciones sugeridas por el Parlamento Europeo.
En un primer golpe de vista al documento filtrado, que consta de un total de 305 páginas, podemos observar cómo la Comisión y el Consejo han reescrito y eliminado gran parte del contenido del documento original, dando lugar a un nuevo texto de Reglamento.
Vamos a centrarnos en algunas de las novedades más significativas que se han adoptado tras la negociación:
1.Desaparece la obligación de nombrar un Data Protection Oficer (DPO). Hemos pasado de ser una figura obligatoria para la Administración Pública, para empresas, independientemente del tamaño, que tratasen datos especialmente protegidos o para las empresas con un tratamiento de datos que afectasen a 5000 personas en un periodo máximo de 12 meses, a ser una figura con un carácter meramente voluntario.
Asimismo, en la nueva versión de Reglamento se indica, que cuando se den las circunstancias arriba indicadas, una persona experta y con conocimiento de la ley de protección de datos, debe ayudar a vigilar el cumplimiento interno en consonancia con el presente Reglamento, ya sea o no empleado del responsable del tratamiento, debe estar en condiciones de ejercer sus funciones y tareas de una manera independiente.
2.Novedades en la forma de solicitar el consentimiento en internet, el Consejo sugiere que la configuración del navegador de Internet podrían constituir consentimiento para ser monitorizado online, es decir que si la configuración predeterminada de un navegador permiten el seguimiento, y no se modifica por el usuario, el mismo estaría dando su consentimiento. Un planteamiento que nada tiene que ver con la propuesta original de la Comisión Europea, la cual para este tipo de rastreo requería el «consentimiento expreso».
El argumento esgrimido por el Consejo para sugerir este modo de recabar el consentimiento es que el derecho a la protección de datos personales no es un derecho absoluto y que debe tenerse en cuenta en relación con su función en la sociedad y guardar equilibrio con otros derechos fundamentales, de conformidad con el principio de proporcionalidad.
3.El interés público, adquiere valor: parece ser que algunos países de la Unión Europea, tienen especial interés en que sea irrelevante la finalidad que motivó la recogida de los datos de carácter personal en un primer momento, para tratar los mismos, posteriormente, con fines históricos, estadísticos, científicos y de interés público. Asimismo, y bajo el paraguas del interés público, las empresas puedan tratar y guardar datos por más tiempo del permitido.
La excepción del «interés legítimo» está siendo motivo de controversia ya que, como es lógico, la definición es tan amplia que podría ser utilizada como vía para tratar la información que se desease de los ciudadanos europeos.
4.Además, se han reducido o eliminado algunas de las obligaciones que se establecían en borradores anteriores respecto al principio de información, las medidas mínimas de seguridad a implementar y los supuestos en los que es obligatorio notificar brechas de seguridad a las Autoridades de Control Competente.
Como es lógico, el texto filtrado no es el definitivo, ahora sólo nos queda comprobar si existirán muchas versiones más, antes de que el Parlamento Europeo apruebe el texto final.