Los sistemas de investigación de mercados parten, en muchas ocasiones, del análisis de las conductas de los consumidores, llegando así a crear modelos predictivos del comportamiento bastante precisos. Cuando, para ello, es preciso analizar datos de personas físicas identificadas, o identificables, nos encontramos con la normativa sobre Protección de Datos como una barrera que delimita el ámbito y el alcance del estudio. Sin embargo, esta normativa no es la misma en España que en el resto de Europa, o que en otros países igualmente desarrollados, lo que puede originar diferencias no deseadas.
El fenómeno de la privacidad no tiene fronteras y, por ello, Europa está ultimando un Reglamento con el fin de crear una norma idéntica para todos los Estados Miembros, norma que además indica que se aplicará incluso a empresas ubicadas fuera de la Unión, cuando realicen tratamientos basados en el control de la conducta de ciudadanos que residan en nuestras fronteras. Pero, ¿será la nueva regulación una mejoría de la situación actual en España, o estamos viviendo justamente un endurecimiento de las reglas de juego?
Para contestar a esta pregunta es preciso precisar que lo que se plantea por la Comisión Europea es la elaboración de un Reglamento en Materia de Protección de Datos, que dejará sin efecto la normativa Española y la de cualquier otro Estado. Como es sabido, a diferencia de las Directivas que son transpuestas a la normativa interna de una forma sustancialmente igual, pero no idéntica, el Reglamento se aprueba sin más por la Unión y desde ese instante ya comienza a ser aplicable, sin necesidad de norma interna que lo transponga.
Hasta ahora son varias las versiones que se han ido manejando desde que el pasado día 25 de enero de 2012 se publicara esta propuesta de Reglamento. De los distintos borradores llama la atención que las multas más leves puedan fijarse en un cuarto de millón de euros, o el 0,5% del volumen de negocios anual a nivel mundial de la entidad infractora; las graves fijadas en medio millón o hasta el 1% de dicho volumen anual mundial; o las muy graves establecidas en dos millones de euros, o hasta el 2% de tal cifra. Por tanto, hablamos de límites muy superiores a los presentes. Personalmente confío en que la aplicación del régimen sancionador habrá de ser homogénea en toda Europa, con lo que entiendo que los criterios de imposición de sanciones y de su graduación serán igualmente idénticos. De hecho, se prevé que, en caso de un primer incumplimiento, se imponga un mero apercibimiento por escrito en ciertos supuestos, cuando el infractor sea una pequeña empresa o un particular, y siempre que la comisión de la infracción no sea deliberada.
A mi juicio, la novedad más interesante de este inminente Reglamento será pasar de una especie de régimen tutelado, a una libertad responsable de la empresa, que deberá invertir en medios para analizar si un tratamiento de datos puede dañar la privacidad desde el inicio en que el producto o servicio es creado, o que deberá elaborar las PIA’s (Privacy Impact Assesment o Informe de Impacto sobre la Privacidad), o incluso rendir cuentas a los afectados, comunicando a estos particulares que sus datos se han podido ver comprometidos por alguna violación de la normativa. Es decir, y por ejemplo, si un hacker accede a la información, será sancionable el guardar silencio, pues se prevé una expresa obligación de informar a estos afectados de lo sucedido en un breve plazo. En Europa es natural la rendición de cuentas ante este tipo de situaciones, pero España participa de una cultura muy distinta. Para velar por la aplicación de la normativa, la misma prevé crear el Delegado de Protección de Datos: una especie de mediador interno entre la empresa, la Agencia de Protección de Datos competente y los afectados, que habrá de cuidar de la aplicación de la norma en régimen de absoluta independencia, e informando directamente a la dirección de la empresa. Este Delegado o Data Protection Officer podrá ser un autónomo o una empresa externa. En suma, el Reglamento nace con el fin de evitar una disparidad de legislaciones dentro de Europa, basadas hasta ahora, eso sí, en unas mismas Directivas, y supondrá además una aplicación uniforme dentro del espacio europeo, porque se potencia la creación de organismos supraestatales encargados de esta labor.