La LOPD, tal y como la conocemos hoy en día, tiene finalmente una fecha de caducidad. En base al último texto consolidado de diciembre de 2015, revisado y votado en Estrasburgo por la Comisión, el Consejo y el Parlamento, se tiene previsto que esta próxima primavera entre en el Parlamento Europeo, donde se debatirá, se presentaran las últimas enmiendas, y, en abril-mayo, salga a la luz el Nuevo Reglamento Europeo.
El largo camino se inició en 2010, hace ya unos 6 años, y el tiempo transcurrido muestra las múltiples dificultades y presiones que han existido, tanto desde dentro como desde fuera de Europa.
A nivel de fechas, en el momento en que se apruebe, se abrirá un periodo de dos años para encajar e implantar el reglamento en todos los estados. Será un periodo de duro trabajo por las muchas novedades que trae el nuevo reglamento y que a continuación presentamos.
Actualmente, estamos funcionando con una Directiva Europea de 1995, que cada país ha traspuesto a nivel estatal, y que ha implicado grandes divergencias de aplicación entre los diferentes países. Ahora, el nuevo reglamento, será un texto único y de directa aplicación en todos los estados. A nivel español, y aun teniendo una de las regulaciones más avanzadas en este ámbito, los cambios que deberemos afrontar son importantes. El punto clave del nuevo reglamento es una clara orientación a superar el modelo actual, modelo excesivamente formal. Dicho modelo se ha mostrado poco eficaz y eficiente, y en ciertos casos no ha conseguido dar respuesta a situaciones o nuevos retos asociados a las nuevas tecnologías. El modelo actual de cumplimiento se verá sustituido por un modelo de gestión. Se trata de gestionar. Primero gestionar para posteriormente cumplir.
A partir de la aprobación del nuevo reglamento se abrirá un periodo de transición hacía “El nuevo modelo de gobierno de protección de datos en Europa”. Dicho modelo se sustentará en dos pilares:
Todo apunta a una forma muy diferente de afrontar los aspectos de protección de datos de carácter personal. Actualmente, y antes ya de la publicación del nuevo reglamento, se han empezado a anticipar acciones previstas para el presente ejercicio 2016: elaboración de directrices, guías más concretas y explicación de nuevos conceptos: derecho a la portabilidad, tratamiento del riesgo, esquemas de certificación y figura del responsable de protección de datos. Y es que el nuevo reglamento trae consigo muchas novedades: derecho al olvido, derecho a la portabilidad, “Data Protection by design” y “Data Protection by default” o la nueva figura del DPO (Data Protection Officer), por citar algunos de ellos.
No es objetivo del presente artículo hacer una enumeración y repaso de todos ellos, sino apuntar las novedades más relevantes en materia de seguridad de los datos, y que nos puede aportar ideas sobre la magnitud del cambio que estamos a punto de afrontar:
Como vemos, el cambio de filosofía es muy importante, y debemos prepararnos para este nuevo escenario. Debemos estar en disposición de dar respuesta a las nuevas obligaciones, obligaciones nuevas en muchos aspectos, y con un rol de las nuevas Autoridades de Supervisión mucho más activo que el que estamos acostumbrados actualmente. Un nuevo escenario orientado a la gestión del riesgo aparece. Debemos cambiar la actual forma de pensar para afrontar con éxito los nuevos retos en protección de datos de carácter personal, que por cierto, tenemos ya en la esquina.