Carlos B Fernández. El gobierno británico presentará al Parlamento la propuesta de nueva Ley de protección de datos (Data protection Bill) a comienzos de septiembre, según informa el blog de privacidad Hunton & Williams, citando fuentes oficiales.
La norma, que fue anunciada el pasado 7 de agosto por el ministro de lo Digital, Cultura, Media y Deportes Matt Hancock, adaptará al Reino Unido el contenido del Reglamento General de Protección de Datos, a fin de garantizar que el país se regirá en esta materia por los mismos principios que la Unión Europea, una vez se produzca el anunciado Brexit en marzo de 2019.
Hasta ese momento, el Reino Unido sigue siendo un estado miembro de la Unión Europea y por tanto, siguen siéndolo de aplicación los derechos y obligaciones inherentes a esta condición. Además, el gobierno británico considera que esta medida le permitirá adaptarse mejor a su futuro fuera de la Unión.
Hacer del Reino Unido el lugar más seguro para los negocios on line
Según la
declaración de intenciones
presentada por el gobierno de Theresa May, el objetivo de la norma es hacer del Reino Unido el lugar más seguro para vivir y hacer negocios on line ("to make the UK the safest place to live and do business online").
Debe tenerse en cuenta a este respecto que según el último informe del Boston Consulting Group el Reino Unido mantiene desde hace años su condición de ser el país del G20 en el que el negocio digital representa un mayor porcentaje del PIB, superando incluso al de los sectores industrial o minorista.
En este contexto, la ley se orienta en una doble dirección: por un lado, ofrecer a científicos y empresas un marco legal que permita el desarrollo de la innovación a través de un tratando seguro de datos y, por otro, asegurar a los ciudadanos que en un mundo cada vez más digital sus datos están protegidos por medio de un sistema que determina la responsabilidad sobre el tratamiento efectuado de los mismos a través de unas normas claras, sencillas y menos burocráticas.
Por ello la norma se articula sobre tres ejes principales: a) mantener la confianza de los ciudadanos en que sus datos personales están seguros y son utilizados de manera legal, responsable y ética, pudiéndose conocer qué datos se están tratando y porqué, así cómo aplicándose sanciones estrictas para su uso o tratamiento indebido; b) asegurar el futuro de la transferencia internacional de datos, al permitir que el Reino Unido maximice las futuras relaciones de datos con la UE y con otros países y, c) reforzar la seguridad frente a una delincuencia orientada cada vez con mayor frecuencia a la sustracción y tráfico ilícito de datos personales.
Contenido de la reforma
La reforma incorpora al ordenamiento británico los contenidos del RGPD, destacando:
- La ampliación de la definición de "dato personal", reflejando el crecimiento de la tecnología en los últimos 20 años para incluir direcciones IP, cookies de Internet y ADN de las personas.
- Refuerzo de los derechos de los individuos sobre sus datos personales
En general, los individuos tendrán más control sobre su huella digital, sus datos personales, cómo los utilizan y transmiten las empresas.
El documento señala que con esta norma los ciudadanos del Reino Unido estarán mejor protegidos por una combinación de nuevos derechos y del formatalecimiento de otros ya existentes:
a. Consentimiento: se fortalecen las reglas en torno a esta figura, que deberá ser "inequívoco" y fácil de retirar.
El consentimiento también debe ser "explícito" al procesar datos personales confidenciales.
Se elimina las opciones de prestación de consentimiento por defecto o mediante casillas preseleccionadas.
Se requiere el consentimiento de los padres o tutores de los menores de 13 años para el tratamiento de sus datos.
b. Acceso a los datos: se facilitará el procedimiento de acceso a los datos tratados por una organización o empresa, sin cargo alguno.
c. Portabilidad de datos: se facilitará a los interesados el movimiento de sus datos entre distintos proveedores de servicios (incluyendo archivos, correo electrónico, fotografías personales u otros datos personales).
d. Derecho al olvido: las personas podrán solicitar en determinadas circunstancias el borrado de sus datos personales.
Esto incluye la previsión de que el interesado pueda requerir a los proveedores de redes sociales la eliminación de información que aquél publicó durante su infancia. De esta manera, las personas tendrán la posibilidad de pedir a los proveedores de redes sociales que eliminen cualquiera o todos sus posts lanzados durante su minoría de edad. En particular y con carácter general, los posts subidos a las redes siendo menor deberán eliminarse con una simple petición.
e. Perfilado: los interesados tendrán mayor capacidad de decisión sobre las decisiones que se tomen sobre ellos por medio de procedimientos automatizados. En estos casos, las personas pueden solicitar que el procesamiento sea revisado por una persona en lugar de por una máquina.
Por lo que se refiere a las empresas y a las organizaciones, la reforma prevé un refuerzo de los requisitos establecidos en la actual Ley de Protección de Datos de 1998 (Data Protection Act 1998), para reflejar la naturaleza y el alcance cambiantes de la economía digital y para ayudar a las organizaciones a proteger los datos personales, su reputación y su negocio.
Para ello se prevé, por un lado, un diseño de un marco de responsabilidad con menos burocracia y reglas más sencillas, aliviando las cargas administrativas y financieras de las entidades que traten datos personales, pero también definiendo con precisión su ámbito de responsabilidad, para contribuir a reducir la exposición al riesgo del negocio por lo que se refiere al tratamiento de datos.
Las organizaciones que realicen el procesamiento de datos de alto riesgo estarán obligadas a llevar a cabo una evaluación de impacto para identificar los riesgos relacionados con su tratamiento e implantar las medidas necesarias para prevenir su uso inapropiado. Las organizaciones deben ahora dar prioridad a los derechos de privacidad personal cuando manejan datos personales.
En este marco de responsabilidad se van a introducir otras medidas como el requisito de que los encargados del tratamiento demuestren que las solicitudes de una persona para obtener o verificar la información de que se trate son «manifiestamente infundadas o excesivas antes de que puedan cobrar por el cumplimiento de esa solicitud o procedeer a rechazarla.
También se prevé un requisito de acceso y registro más riguroso respecto de las operaciones específicas de los sistemas automatizados de procesamiento de datos incluyendo su recolección, alteración, consulta, revelación, combinación y borrado de datos. Estas operaciones dispondrán de un sistema de auditoría específica completa.
Igualmente se prevé la clarificación de los casos en que proceda la realización de las transferencias internacionales de datos, de manera que se pueda compartir datos críticos.
Facultades de la autoridad nacional
La autoridad británica de control, el Information Commissioner’s Office (ICO), verá reforzadas sus actuales competencias para imponer mayores sanciones en caso de incumplimiento de las obligaciones relativas al tratamiento de datos.
En particular el ICO estará facultado para tomar las siguientes medidas:
- Facultades de investigación: el ICO seguirá teniendo la capacidad de solicitar información a los encargados y responsables del tratamiento de datos, así como para entrar e inspeccionar locales, realizar auditorías y requerir mejoras en las medidas aplicadas.
- Sanciones civiles: Actualmente, la multa máxima que puede emitir la OIC es de 0,5 millones de libras esterlinas, pero la nueva ley prevé multas mayores de hasta 17 millones de libras esterlinas (20 millones de euros) o 4% del volumen de negocios global, lo que permitirá al ICO responder de manera proporcionada a las infracciones más graves de datos.
- Sanciones penales: El ICO y la Fiscalía (Crown Prosecution Service) y las agencias fiscales equivalentes en Escocia e Irlanda del Norte seguirán siendo competentes para instar el procesamiento de los infractores.
Además se modernizarán los tipos penales y los procedimientos para enjuiciarlos. En particular, se va a crear un nuevo delito de re-identificación intencional o imprudente de datos anonimizados o pseudoanonimizados. Los infractores que a sabiendas manejen o procesen tales datos también serán culpables del delito.
También se crea un nuevo delito de alteración de registros con la intención de evitar la divulgación después de una solicitud de acceso. La infracción utilizaría la sección 77 de la Freedom of Information Act 2000 como marco. El alcance del delito se aplicaría no sólo a las autoridades públicas, sino también a todos los responsables de los datos y procesadores.