La Comisión Europea ha elaborado una propuesta de Reglamento Ómnibus Digital que tiene como principal objetivo reorganizar, simplificar y armonizar el actual entramado normativo en materia digital (modificando, por ejemplo, el Reglamento General de Protección de Datos o el Reglamento de Datos). Así, esta propuesta busca reducir solapamientos, aclarar definiciones esenciales y dotar de mayor seguridad jurídica a los operadores sujetos a estas disposiciones, tratando de mejorar la coherencia normativa y reducir las cargas de aquellos afectados. Al mismo tiempo, introduce modificaciones conceptuales que pueden implicar nuevos desafíos de adaptación para las entidades, especialmente en lo relativo a la gestión de datos, el cumplimiento normativo y la gobernanza digital.
Así, respecto a los cambios que pueden afectar a la normativa de protección de datos, destacan los siguientes:
- Concepto de dato de carácter personal: Si bien este concepto queda definido en el RGPD como “toda información sobre una persona física identificada o identificable”, se incluye en la propuesta que no se considerará dato personal para una determinada entidad si esta no puede identificar al afectado con base en los medios que razonablemente puede utilizar.
Así, a pesar de que una compañía trate una información que podría ser considerada como dato personal, si no se puede identificar al titular con los medios que razonablemente utiliza la entidad, la información no tendría la condición de dato de carácter personal.
- Brechas de seguridad: En relación con la comunicación de estas quiebras de seguridad a la autoridad de control, se propone ampliar el plazo a 96 horas, limitándose a aquellas que impliquen un alto riesgo para los derechos y libertades de los titulares.
Del mismo modo, se tiene intención de crear una ventanilla única de notificación de brechas de seguridad que esté gestionada por la Agencia de la UE para la ciberseguridad, que distribuirá las comunicaciones a las autoridades de control responsables.
- Homogeneidad en la realización de Evaluaciones de impacto: El Comité Europeo de Protección de Datos deberá elaborar una lista de tratamientos que requieren de la realización de una EI, desarrollando una plantilla y una metodología común, de modo que las listas nacionales ya no tengan que ser usadas, lo que permitiría alcanzar una cierta armonía y homogeneidad en la realización de estos documentos en la UE.
- Deber de informar a los titulares de datos: Se proponen determinadas exenciones a esta obligación, de modo que el responsable podría quedar exonerado de facilitar dicha información en supuestos concretos.
En particular, no será exigible esta obligación cuando la recogida de datos tenga lugar en el contexto de una relación clara, previa y suficientemente delimitada con el interesado, siempre que el tratamiento no revista carácter intensivo y concurran circunstancias que permitan razonablemente presumir que el afectado ya conoce tanto la identidad del responsable como las finalidades para las que se tratarán sus datos. Así, se evitarían cargas innecesarias en escenarios donde el interesado dispone ya de un conocimiento adecuado sobre el tratamiento, sin perjuicio de que el responsable deba poder acreditar que se cumplen las condiciones que justifican la aplicación de la exención. No obstante, esta exención resulta de aplicación exclusivamente en aquellos casos en los que el tratamiento de datos pueda considerarse de bajo riesgo.
- Nuevas excepciones para el tratamiento de datos de categoría especial:
- Los datos biométricos podrán ser tratados para verificar la identidad de los interesados, siempre que esta identificación sea necesaria y dichos datos se encuentren bajo el control de su titular, sin que el responsable tenga acceso a la plantilla biométrica. Así, para que este tratamiento fuera lícito, la información debería almacenarse de forma cifrada de modo que la clave únicamente la tenga el titular.
- Se permite su tratamiento para entrenar sistemas de IA en aquellos supuestos en los que se apliquen medidas técnicas adecuadas.
- Interés legítimo como base jurídica para el entrenamiento de sistemas de IA: Se incluye la propuesta de un nuevo artículo que establecería el interés legítimo como base jurídica para el tratamiento necesario de datos en el contexto del desarrollo de sistemas o modelos de IA.
Los responsables deberían dar cumplimiento a una serie de requisitos específicos, como, por ejemplo, que el interés invocado sea real, que sean completamente transparentes al facilitar información, que se lleve a cabo una adecuada ponderación de intereses, que se realicen evaluaciones de impacto específicas para IA o que se cumplan todos los principios de la normativa de protección de datos.
Habida cuenta de que algunas de las modificaciones planteadas han generado una notable inquietud en el ámbito jurídico y regulatorio, al considerarse que podrían incidir en el nivel de protección garantizado a las personas afectadas, el EDPB y el EDPS han publicado un informe jurídico conjunto en el que se analizan las mismas.
Así, si bien se reconoce la importancia de simplificar determinadas cuestiones, se pone de manifiesto que ello no se debe llevar a cabo reduciendo las garantías de protección de derechos fundamentales. De este modo, se insta a los legisladores a no aceptar, por ejemplo, el cambio propuesto en relación con la definición de datos personales, por cuanto el mismo excede la mera revisión técnica y no se alinea con la jurisprudencia del TJUE, no debiendo ser la Comisión Europea quien decida qué datos deben ser considerados datos personales.
No obstante lo anterior, ambos organismos estarían de acuerdo en ampliar el plazo para notificar las brechas de seguridad por cuanto reduciría la carga administrativa de las entidades, viendo de forma positiva la creación de listas y plantillas comunes.
Asimismo, respecto a la identificación biométrica, ambas instituciones valoran positivamente la propuesta de incorporar una nueva excepción que permita el tratamiento de categorías especiales de datos cuando este tenga por finalidad la autenticación biométrica, siempre que los mecanismos o medios de verificación permanezcan bajo el control exclusivo de la persona afectada.
Puede acceder al documento elaborado por los organismos europeos aquí.
