Lunes, 10 septiembre 2018

España, entre una norma provisional y el vacío legal para la protección de datos personales

El nuevo reglamento europeo de protección de datos entró en vigor el 25 de mayo pasado después de un periodo de adecuación de dos años para que los países miembros de la comunidad adapten su normativa nacional con los nuevos requerimientos (transposición).

De esta forma, Alemania, Austria y Bélgica fueron los primeros países en comenzar con la adecuación de sus leyes de privacidad de datos personales al nuevo reglamento. De no haberlo hecho el 25 de Mayo de 2018, la nueva regulación hubiera entrado en vigor con su cuerpo general en cada país.

Aproximadamente, la mitad de los artículos del reglamento puede ajustarse por normativas nacionales, incluyendo tanto aspectos relevantes como interpretaciones. Otro objetivo de este periodo de adecuación de dos años fue poder ajustar otras normativas nacionales sobre privacidad para que no entren en conflicto con la nueva regulación.

La incertidumbre normativa genera resistencia dentro de las organizaciones

Sin tener un marco interno de adecuación nacional en firme, los esfuerzos de implementación de las organizaciones se realizaron en medio de gran incertidumbre. Esta incertidumbre normativa genera resistencia dentro de las organizaciones, lo cual demora inversiones, así como, los necesarios cambios de responsabilidades y protocolos de actualización.

En España, las propuestas de adecuación nacional habían quedado rezagadas en tramitación parlamentaria a la entrada en vigor de la regulación. La posible sanción de la Comisión Europea, generó la apremiante necesidad de emitir el real decreto-ley 5/2018 con entrada en vigor el 31 de Julio.

De esta forma, se implementaron medidas urgentes para la adaptación del derecho español sobre protección de datos a la normativa de la Unión Europea.

Sin cubrir todos los temas necesarios en forma orgánica, el decreto-ley adoptó ciertos aspectos relevantes para garantizar la seguridad jurídica y acomodar procesos judiciales en curso al nuevo régimen. Sin embargo, este decreto-ley será provisional hasta la emisión de una nueva ley orgánica de protección de datos personales. Esto llegará después de aprobarse el proyecto de ley en curso, posiblemente a principios de 2019.

Los aspectos provisionales cubren el régimen sancionador, las prescripciones de sanciones, el procedimiento de instrucción, y el régimen de inspección por los agentes de autoridad en la Agencia Española de Protección de Datos.

Lo que ha sido un aspecto relevante para los encargados de protección de datos es la posibilidad de solicitar la renegociación de sus contratos anteriores a la vigencia del reglamento.

La edad de los menores, tema indefinido

En la práctica, un tema que ha quedado indefinido y generando incertidumbre es la edad para que los menores necesiten un consentimiento de quienes tengan su patria potestad. Además, una norma provisional de corta vida podría complicar la renegociación y adecuación de los contratos de outsourcing del procesamiento de datos personales.

En el Curso RGPD online de UNIR, cubrimos los aspectos prácticos orientados a los riesgos de incumplimientos en la adopción de la regulación europea en España, con consejos sobre modificaciones legales esperadas o de futura vigencia.

La demora en contar un marco definitivo y orgánico sobre los requerimientos efectivos en España crea nuevos riesgos que los especialistas sobre privacidad deben gestionar. El programa presenta alternativas y buenas prácticas para navegar en medio de estas incertidumbres.