Supervisor Europeo de Protección de Datos (SEPD) ha publicado los resultados de su última encuesta general

Ayer, el Supervisor Europeo de Protección de Datos (SEPD) ha publicado los resultados de su última encuesta general de conformidad con el Reglamento de Protección de Datos. Las instituciones y organismos de la UE tratan datos personales, tanto en su trabajo diario como en su núcleo de actividades empresariales. En ambos casos se tienen que cumplir con los principios de protección de datos y obligaciones y respetar los derechos de los individuos involucrados. En su último balance, el SEPD ha analizado el rendimiento de las 58 instituciones y órgannos de la UE en ciertas áreas clave.

El informe hace hincapié en los progresos realizados por las instituciones y organismos en la ejecución del Reglamento, y también pone de relieve las deficiencias. Instituciones y organismos han sido divididos en cuatro grupos para permitir una comparación significativa. Puntos de referencia se han establecido sobre la base de los resultados obtenidos en cada grupo, lo que indica el umbral que una institución u organismo debe cumplir razonablemente. Dentro de estos grupos, instituciones y organismos la puntuación ha sido diferente en el cumplimiento de la protección de datos y algunos de ellos claramente no cumplen con las expectativas razonables.

Peter Hustinx, SEPD, dice: "Me preocupa que no todas las instituciones de la UE y los organismos
funcionan tan bien como deberían. La aplicación de los principios de protección de datos es no sólo cuestión de tiempo y recursos, sino también de la voluntad de las organizaciónes. Asegurar el  cumplimiento es un proceso que requiere el compromiso y apoyo de la jerarquía en todas las instituciones y organismos. "

Los resultados de esta encuesta serán tenidos en cuenta por el SEPD en la planificación y orientación a las instituciones y organismos, acciones de cumplimiento y otras medidas para promover la rendición de cuentas. En este sentido, además de las inspecciones del SEPD, se han planificado un número de visitas específicas sobre la base de los resultados de este ejercicio. Estas visitas suelen dar lugar a una hoja de ruta acordada con el fin de mejorar el cumplimiento.

En 2012, el SEPD tiene la intención de visitar la Agencia Europea de Seguridad Aérea (EASA), el Centro Europeo para la Prevención y Control de Enfermedades (ECDC), la Fundación Europea de (ETF), el Consejo Europeo de Investigación Agencia Ejecutiva (AECEI) y la Agencia Ejecutiva de  Investigación (AEI).

Las empresas tendrán que adaptarse a la nueva normativa en materia de protección de datos de la Unión Europea

La propuesta para una legislación europea más estricta en materia de protección de datos va a obligar a las empresas en toda la UE a reforzar sus procesos de gestión de la información.

Los principales puntos incluidos:

1.    La notificación obligatoria de las brechas de datos. Tanto las autoridades relevantes en protección de datos, como todos los particulares afectados tienen que ser notificados en el plazo de 24 horas acerca de cualquier fallo en la gestión de los datos, incluyendo su destrucción no autorizada o su pérdida. Las autoridades en materia de protección de datos tienen que ser notificadas, incluso en el caso de que no haya habido ningún riesgo de que los datos resultaran dañados.

“La gran cuestión aquí es si la comunidad empresarial querrá o será capaz de auto controlarse”, comenta Toon. “En el caso de que no pudiera, las empresas se verían expuestas a inspecciones regulares por parte de las autoridades oficiales. La definición de ‘brecha’ tendrá también que quedar clara. ¿Dependerá del número de archivos o documentos afectados, por ejemplo, o del tipo de información que ha estado en peligro? Las empresas deberían prepararse para ambas opciones”.
 

2.    Se exigirá el nombramiento de un responsable de protección de datos.  La figura del responsable de protección de datos será obligatoria para todos los organismos públicos y todas las empresas con más de 250 empleados. “Esto podría significar tener que incurrir en costes no previstos, por lo que sería beneficioso para una empresa considerar este punto antes de que la legislación entre en vigor”, aconseja Toon. “El nombramiento de un responsable de protección de datos ya es obligatorio en Alemania. En muchas empresas será suficiente con añadir una responsabilidad más a las que ya tenga un empleado lo suficientemente preparado. Tener un persona específica para tratar la protección de datos es sin embargo la mejor opción y las empresas no deberían esperar a la entrada en vigor de la legislación para avanzar en este punto”.

Penalizaciones significativamente mayores. La legislación propuesta permite a las autoridades legislativas el poder para imponer multas de hasta un millón de euros o, en caso de una empresa, hasta el 5% de sus ingresos globales por año en el caso de incumplimiento de la ley.

Microsoft endurece los requisitos de seguridad de su Office en la 'nube'

Los problemas de seguridad y privacidad han sido la gran barrera para que muchas empresas se apunten a las tecnologías basadas en la nube. Y ello pese a que los proveedores de este tipo de soluciones se han hartado de repetir las ventajas que ofrece el famoso cloud computing, entre ellas el ahorro de costes y tener siempre la última tecnología. Conscientes de ello, Microsoft ha tomado medidas, y ayer anunció que su paquete de aplicaciones de productividad en la nube Office 365 "es el primer servicio que cumple con los principales estándares de privacidad y seguridad de la información de la UE y EE UU".

Concretamente, la multinacional cumplirá a partir de ahora en sus contratos con los requerimientos de las llamadas Cláusulas Modelo de la UE, las cuales certifican el cumplimiento de la rigurosa Directiva europea de Protección de Datos, así como la normativa HIPAA de EE UU. "Queríamos dar confianza a nuestros clientes", explica a CincoDías David Negrete, director de la unidad de negocio de Productividad y Colaboración de Microsoft Ibérica. El directivo señala que el tema "es muy importante" y que no ha sido fácil. "Ha supuesto el trabajo durante meses de abogados y consultores que han estado viendo el tema con las instituciones de cada país".

Las cláusulas contractuales citadas aseguran a las empresas cliente que han dado los pasos necesarios para salvaguardar sus datos personales, incluso si están almacenados en un servicio basado en cloud computing localizado fuera del área económica europea. Negrete destaca, además, que Microsoft ha ido más lejos. "No solo cumplimos con las cláusulas modelo sino que cumplimos con las normativas de los 27 países europeos, porque algunos de ellos tienen requerimientos más exhaustivos que los de la directiva comunitaria".