Las normas europeas de protección de datos están caducas. Las redes sociales, los buscadores de Internet, la nube o las herramientas de geolocalización han contribuido a un gran cambio social que ha abierto grandes grietas en la privacidad de la información de los internautas. Las filtraciones, pérdidas o robos de datos, la cesión sin saberlo de información sensible o su difusión no son poco comunes. Para terminar con estas vulneraciones, la Comisión Europea propondrá a los países nuevas normas comunes para reforzar la protección de datos de los ciudadanos. El proyecto, que presentará este miércoles la vicepresidenta Viviane Reding, plantea más control para las empresas y administraciones y sanciones ante las fugas de información. También dotará al ciudadano de más mecanismos para reclamar.

La Comisión Europea ha preparado un proyecto normativo que busca unificar las distintas normas de protección de datos de los Estados miembros —la directiva vigente es de 1999 y no todos los países se adaptaron a ella igual— y crear un marco común europeo en el que se salvaguarde más la privacidad del ciudadano.

Se trata, por ejemplo, de evitar situaciones como la que afectó a 77 millones de usuarios de la plataforma de videojuegos PlayStation Network. Sony fue criticada por su lentitud en dar explicaciones, tras varios días con el servicio caído, después de que fueran robados datos sensibles de sus usuarios. En lo sucesivo, cualquier caso de pérdida, robo o piratería debe ser notificado a las autoridades y a los usuarios en un plazo de 24 horas, según establece la propuesta de la Comisión, que incluye también penas para aquellos que no cumplan. Así, los Estados estarán facultados para sancionar las violaciones graves de la privacidad y las negligencias en la custodia de información con multas de hasta el 1% de los ingresos mundiales de la firma. Algo que puede obligar a que las grandes empresas de Internet —como Google o Microsoft, a quienes el cambio inquieta— revisen sus sistemas de salvaguarda de datos.

La normativa —que deberá pasar ahora por el Consejo Europeo y por el Parlamento— se aplicará a los 27 países pero también a todas las empresas que ofrezcan bienes y servicios a los consumidores europeos. “También a aquellas que tengan sus servidores fuera de la Unión”, aclaró el domingo la vicepresidenta Reding en una conferencia en Múnich.

Esto puede suponer, aclara el abogado Ricard Martínez, de la Asociación Española de Privacidad, que las grandes firmas, que recogen datos en Europa deban responder ante el derecho europeo y las autoridades competentes europeas si vulneran las normas de protección de datos. Actualmente, compañías como Facebook o Google —pese a que recogen datos en Europa y tienen sedes en Irlanda— especifican en sus condiciones de uso que se rigen por las leyes del Estado de California (EE UU).

La propuesta de la Comisión consta de una directiva —que los países tendrán que transponer— que incluirá los principios generales de protección de datos y normas para cooperación policial y judicial entre los 27 países de la UE; y de un reglamento de aplicación inmediata. En él se incluye la necesidad de que los ciudadanos otorguen su consentimiento expreso —y no por defecto, como se hace en algunos sistemas— cuando dan datos personales en la Red. Además, la Comisión plantea que los usuarios deben estar informados en todo momento de lo que ocurre con su información: quién almacena los datos, cómo, con qué propósito, cuánto tiempo. La medida busca garantizar también el fácil acceso a los propios datos y el “derecho a la portabilidad”; un ejemplo: que un ciudadano pueda obtener una copia de la información que ha almacenado en una red social para trasladarla a otra.

El reglamento podría establecer otra novedad importante: la creación de la figura del “oficial de protección de datos”. La Comisión quiere que todas las firmas y administraciones con más de 250 empleados —también las pequeñas pero que traten datos íntimos— tengan asesoramiento externo o interno en materia de privacidad y salvaguarda de la información. En algunas circunstancias, además, las autoridades podrán pedir análisis previos.

Entre las medidas que se presentarán el miércoles está el polémico derecho al olvido; es decir, el derecho de los ciudadanos a hacer desaparecer de la Red sus datos personales. En su propuesta, la Comisión incide en que los ciudadanos pueden exigir la supresión de esas informaciones —desde datos aparecidos en los buscadores hasta fotos o vídeos que se hayan subido a redes sociales— siempre que no sean de interés público, histórico o estadístico.

La UE quiere también facilitar las reclamaciones de consumidores. Para ello, explica una portavoz de la Comisión, se pondrá en marcha una “ventanilla única”, en la que un ciudadano podrá denunciar ante sus autoridades a una empresa, aunque esta no tenga base en su país.

Iniciativas muy necesarias para José Luis Rodríguez Álvarez, presidente de la Agencia Española de Protección de Datos. “La sociedad ha cambiado, y con Internet y las tecnologías han surgido nuevos riesgos que no estaban cubiertos con la normativa actual. Y ese cambio debe ser de ámbito europeo”, dice. Las autoridades consideran que las nuevas reglas de protección de datos, y el hecho de que sean comunes para toda la UE, pueden ahorrar a las empresas unos 2,3 millones de euros al año.