Carlos B Fernández. El pasado 18 de julio, el Gobierno británico envió al Parlamento un amplio proyecto de reforma de su normativa de protección de datos, laData Protection and Digital Information Bill (Ley de protección de datos e información digital). Se trata de una norma orientada a modificar la actual Data Protection Act de 2018 que, según los analistas británicos, supone un primer paso material hacia la divergencia con la Unión Europea en materia de protección de datos.
Según explican Rhiannon Webster y Shehana Cameron-Perera, Socia y Asociado senior, respectivamente, en Ashurst, este proyecto de ley no deroga el RGPD del Reino Unido (como es conocida la Ley de 2018), sino que introduce modificaciones específicas en su texto. De esta manera, añaden estas expertas, aunque el marco legislativo de protección de datos del Reino Unido seguirá basándose en el RGPD, su contenido será una combinación del proyecto de ley recién presentado, de la Ley de Protección de Datos de 2018, del “RGPD del Reino Unido” (denominación que se da al RGPD en el ámbito interno del Reino Unido) y de la Directiva de Privacidad y Comunicaciones Electrónicas de 2002.
Según esas expertas, resulta llamativa la presentación de esta propuesta prácticamente coincidiendo con la apertura del período de consultas sobre el nuevo plan estratégico 2023-2025 de la autoridad británica de protección de datos, el ICO, iniciado el pasado día 14. Dado que resulta previsible que sea el proyecto de ley el que en buena medida establezca los objetivos estratégicos del ICO, parece que será inevitable adaptar ese Plan al futuro contenidos final de la norma.
Principales novedades de la propuesta
Siempre según Webster y Cameron-Perera, los cambios más significativos que prevé la propuesta de ley son los siguientes:
- Definición de datos personales
El proyecto de ley propone cambiar la definición de “datos personales” de forma que, a efectos de la ley, solo se considere información relacionada con una persona física (information relating to an identifiable living individual), cuando a) la persona puede ser identificada, directa o indirectamente por el responsable o el encargado del tratamiento, mediante "medios razonables" (reasonable means), "en el momento del tratamiento", o b) "cuando el responsable o el encargado del tratamiento sepan, o deban saber razonablemente, que otra persona obtendrá, o es probable que obtenga, la información como resultado del tratamiento o, b) cuando la persona física vaya a ser, o es probable que sea, identificable por medios razonables en el momento del tratamiento". A estos efectos se consideran “medios razonables” aquellos que es razonablemente probable que se puedan usar por una persona, en función del tiempo, trabajo y coste y la tecnología empleados para realizar esa identificación.
Esta nueva definición supone un cambio de rumbo respecto a las actuales orientaciones del ICO, que aplican la prueba del "intruso motivado" (motivated intruder), es decir, que los datos se consideran personales si un intruso motivado (por ejemplo, periodistas de investigación, parejas separadas, acosadores o espías industriales) podría identificar a la persona. Esta nueva definición, si pasa por el proceso de examen legislativo, trataría de reducir el umbral de los datos anónimos.
- Reforma del marco de la responsabilidad proactiva
Se introduce un marco de responsabilidad más flexible, que incluye (i) la supresión del requisito contar con un Delegado de Protección de Datos, sustituido por el nuevo requisito de nombrar a una "persona responsable de alto nivel" (senior responsible individual); (ii) se sustituye la evaluación de impacto de la protección de datos por herramientas de evaluación de riesgos; y (iii) se suprimen el requisito de llevanza de un registro de actividades de tratamiento, que se sustituirá por el requisito de documentar los fines del tratamiento en forma de registro de tratamiento de datos personales.
Según estas expertas, estos cambios parecen más de un ejercicio de cambio de marca que de requisitos materialmente diferentes. De hecho, existe la posibilidad de que haya un conflicto entre los requisitos actuales del RGPD para un DPO y los de su sustituto propuesto, "la persona responsable de alto nivel", que debe ser "parte de la alta dirección de la organización". En la actualidad, las funciones del DPO pueden ser desempeñadas por un externo, mientras que el DPO tiene que informar a la alta dirección.
- Comunicaciones electrónicas y cookies
El régimen de multas de PECR (Privacy and Electronic Communications Regulations) se alineará con el régimen de multas del RGPD / RGPD del Reino Unidos 2018, lo que significa que las infracciones de los requisitos de comercialización ahora pueden estar sujetas a la potencial sanción del 4% de la facturación anual por infracciones de la seguridad de los datos. Además, se están atenuando los requisitos de notificación y consentimiento de las cookies de los sitios web.
- Interés legítimos: Para procesar los datos personales, se requiere una base legal. La base legal más utilizada actualmente es que el tratamiento responde al interés legítimo de una persona, una empresa o un tercero. Requiere un ejercicio de ponderación de los intereses legítimos de la organización que desea basarse en ella frente a los derechos de la persona a la intimidad. Aunque es la base legal más flexible, muchas organizaciones no tienen claro si pueden basarse en ella. Por lo tanto, el proyecto de ley ha propuesto una lista de operaciones de tratamiento que satisfacen esta base legal.
No queda claro en el texto propuesto si se pretende restringir el uso de esta base jurídica a las operaciones de tratamiento concretas identificadas o si sigue siendo posible realizar una evaluación del interés legítimo y un ejercicio de equilibrio para cualquier tratamiento de datos personales. Si se trata de lo primero, estas expertas prevén que habrá muchas presiones para introducir otras operaciones de tratamiento en esta lista.
- Transferencias de datos
El proyecto de ley pretende dar a los exportadores de datos la capacidad de actuar de forma pragmática y proporcional al realizar transferencias internacionales de datos personales. Para ello propone una prueba según la cual el Secretario de Estado (al realizar determinaciones de "adecuación") y los responsables del tratamiento (al utilizar otros mecanismos de transferencia, como el Acuerdo de Transferencia Internacional de Datos del Reino Unido) deben valorar si el nivel de protección proporcionado a los interesados en el país del receptor de los datos "no es sustancialmente inferior" al nivel de protección proporcionado a los interesados en el Reino Unido.
Las notas explicativas señalan que la prueba no requerirá una "comparación punto por punto" del régimen del Reino Unido frente al del país importador, sino que deberá ser una evaluación basada en los resultados, en la que se considere el nivel general de protección del interesado.
Esto concuerda con las orientaciones propuestas por el ICO sobre la evaluación del riesgo de las transferencias, pero va en contra de muchas autoridades de protección de datos de la UE que han dictaminado que las transferencias de datos personales fuera de la UE no pueden evaluarse con un enfoque basado en el riesgo. Esta disposición es la que más riesgo entraña para el mantenimiento de la decisión de adecuación del Reino Unido, cuya pérdida, según la evaluación de impacto publicada junto con el proyecto de ley, superaría los beneficios de introducir este enfoque más basado en el riesgo.