GDPR: ¿Maldición o bendición?
El Reglamento General de Protección de Datos persigue inicialmente el objetivo primordial de unificar las confusas leyes de protección de datos de los distintos Estados miembros.
Otro objetivo debería ser la protección de datos en Europa debido a los crecientes retos que plantean la computación en nube, los macrodatos, las redes sociales y los motores de búsqueda.
La protección de los derechos fundamentales del individuo debe estar en la vanguardia de la modernización.
Ámbito de aplicación del RGPD
Las empresas deben nombrar a un responsable de la protección de datos en la medida en que sus actividades requieran una observación amplia, sistemática y regular de los interesados.
El tratamiento, por ejemplo, de datos especialmente sensibles (como los datos sanitarios) con arreglo al artículo 9, apartado 1, del RGPD o de datos sobre condenas o delitos penales con arreglo al artículo 10, apartado 1, del RGPD también requiere un delegado de protección de datos.
Para las empresas en Alemania, esto significa que probablemente no habrá cambios en las condiciones anteriores en las que debe nombrarse un responsable de la protección de datos. Lo importante, sin embargo, es la nueva obligación del delegado de protección de datos de supervisar el cumplimiento del RGPD.
Esto también crea un riesgo de responsabilidad notablemente mayor para las empresas. Hasta aquí los principios del RGPD, pero ¿por qué el nuevo conjunto de normativas obtiene tan mala puntuación en las revisiones?
Las cláusulas de apertura diluyen el objetivo de unificación
Además de directrices para empresas y autoridades públicas, los 99 artículos del GDPR europeo también contienen las llamadas cláusulas de apertura. Estas permiten a los Estados miembros mantener las normas de protección de datos existentes o promulgar otras nuevas.
Esto puede dar lugar a normativas muy diferentes en todos los Estados miembros europeos a pesar de la uniformidad de la normativa básica. Esto significa que la Unión Europea está lejos de una práctica jurídica uniforme a escala europea, ya que el GDPR contiene más de 70 de estas cláusulas de apertura -que, sin embargo, solo están permitidas para algunos temas-.
Otro punto importante de crítica es que en muchos casos el nuevo reglamento sólo ofrece respuestas muy abstractas. Esto incluye, entre otras cosas, qué debe entenderse por el término "resiliencia" como objetivo de protección en el Art. 32 párrafo 1 b) y cómo debe definirse la "resiliencia".
¿Cómo deben comportarse concretamente la economía, las autoridades y los tribunales en materia de protección de datos?
Mientras que muchas directivas están definidas y formuladas con gran precisión, otras sólo están esbozadas a grandes rasgos. Así pues, en algunos casos, sigue existiendo el riesgo de que continúe el mosaico de la protección de datos en Europa.
Big Data, Nube y Co. ¡Ni hablar!
Pero lo que más molesta a los expertos es que la nueva normativa europea no aborda explícitamente los verdaderos retos y riesgos de las tecnologías de la información.
El Big Data -es decir, la avalancha de datos y su control-, los motores de búsqueda, la computación en nube y otras aplicaciones tecnológicas modernas no se mencionan explícitamente en los 99 artículos.
Al igual que en la Ley Federal de Protección de Datos (BDSG), las normas del GDPR también deben leerse a partir de artículos individuales.
¿Qué normativa se aplica?
Es importante para los empresarios que el artículo 32 de la Ley Federal de Protección de Datos probablemente siga existiendo. En él se establece que los datos personales de un empleado pueden recopilarse, procesarse o utilizarse a efectos de la relación laboral.
El motivo de la posible continuación del Reglamento es el artículo 88, apartado 1, del RGPD. Este contiene una cláusula de apertura como la descrita anteriormente. Así pues, el propio legislador nacional puede crear normativas más específicas sobre protección de datos en el contexto laboral.
Además, se mantendrá la posibilidad de tratar datos personales sobre la base de un convenio colectivo. Se trata entonces de los acuerdos de empresa y los convenios colectivos.
Por lo tanto, podrá continuar la buena práctica de los recursos humanos de utilizar el acuerdo de trabajo como autorización para el tratamiento de datos.
Sin embargo, también puede darse la situación de que haya que volver a redactar los acuerdos de empresa para cumplir los requisitos del RGPD.
Conclusión
Un gran éxito que no alcanza del todo los objetivos que se ha marcado. El RGPD está aún muy lejos de la uniformidad en toda Europa, pero indica la dirección en la que deben ir las cosas en el futuro.
Algunas formulaciones abstractas del RGPD no permiten una aplicación cien por cien segura de la ley, pero cierran lagunas jurídicas del pasado.
509584528, Billion Photos La falta de mención explícita de innovaciones técnicas en el RGPD es, por desgracia, una carencia que debería haberse evitado. En conjunto, el Reglamento General de Protección de Datos es un paso en la dirección correcta, pero solo el principio de un largo camino.