LA COALICIÓN DE ORGANIZACIONES EUROPEAS SOBRE PROTECCIÓN DE DATOS continuará… MANTENER EL CRECIMIENTO EN EUROPA Somos empresas europeas que trabajamos en distintos sectores de la economía con importantes operaciones dentro y fuera de las fronteras de la Unión Europea (UE). Nos congratula saber que la Comisión Europea está trabajando en la propuesta de un Reglamento General de protección de datos (RGPD), que contiene sugerencias importantes y útiles para reformar el actual marco europeo de protección de datos. Aunque existen diferencias en nuestra actividad diaria, nos une nuestra preocupación compartida por el RGPD. Es necesario abordar diversos aspectos de máxima importancia para mantener el crecimiento en Europa y sus industrias. Deseamos encontrar un terreno común con los responsables políticos de la UE para mantener el crecimiento en Europa y, por ello, proponemos lo siguiente: Responsabilidad conjunta del responsable del tratamiento y el encargado del tratamiento Creemos firmemente que la modernización del régimen europeo de protección de datos exige una revisión de las funciones y responsabilidades de los responsables del tratamiento y los encargados del tratamiento de los datos. Sin embargo, desaconsejamos la implantación de la responsabilidad conjunta, que desdibuja las responsabilidades en la cadena de valor del tratamiento de datos, lo que pondría en peligro la protección de los derechos de los ciudadanos y aumentaría los costes en la industria. Transferencias de datos internacionales El Reglamento propuesto ha de hacer algo más que alentar el crecimiento en el mercado interno de la UE; debe fomentar también la actividad mundial de servicios y promover los flujos de datos transfronterizos con terceros países. No todas las transferencias de datos son iguales. Por ello, apoyamos la introducción por parte del Consejo del interés legítimo como base jurídica para la transferencia de datos. Animamos a las instituciones de la UE a mantener esta disposición jurídica en las conversaciones tripartitas. Sanciones Reconocemos que unas multas administrativas razonables son una parte necesaria dentro de un régimen eficaz de protección de datos, para que las empresas con un comportamiento poco ético no puedan sacar partido de su incumplimiento. Sin embargo, consideramos que una estrategia de aplicación que promueva la responsabilidad y un mayor nivel de detección por medio de unas directrices de sanciones equilibradas es preferible a la simple disuasión. Otros aspectos fundamentales Debe mantenerse un planteamiento eficaz con un punto de contacto único, incluida una Autoridad de Protección de Datos (APD) principal que trabaje con arreglo a dos principios: un único regulador de la privacidad, aunque las operaciones abarquen varios Estados miembros, y “una sola decisión - una sola consecuencia”. Los requisitos excesivamente prescriptivos y las elevadas cargas administrativas para los responsables del tratamiento y los encargados del tratamiento pueden y, sin duda, deben evitarse en aquellas circunstancias en las cuales no contribuyan a salvaguardar un alto nivel de protección de datos. Responsabilidad conjunta del responsable del tratamiento y el encargado del tratamiento: El actual marco legislativo establecido en la Directiva de 1995 prevé una clara separación entre las funciones de los responsables del tratamiento de los datos y los encargados del tratamiento de los datos. Hoy en día, sus respectivas responsabilidades se encuentran también bien definidas por unas condiciones contractuales claras que establecen unas obligaciones diferentes para cada participante cuando se produce una vulneración contractual. Creemos firmemente que la libertad para negociar entre las partes integrantes del contrato es un principio fundamental que ha de mantenerse en el Reglamento propuesto. Aunque estamos de acuerdo en la necesidad de revisar las funciones y responsabilidades de los responsables del tratamiento de los datos y los encargados del tratamiento de los datos, desaconsejamos la introducción de una solución 1|Página de responsabilidad conjunta única para todos los casos, que desdibuja las responsabilidades en la cadena de valor del tratamiento de datos. Una solución de este tipo conlleva el riesgo de reducir la protección de los derechos de los ciudadanos de la UE, además de generar una carga administrativa innecesaria para las empresas. Las funciones y responsabilidades establecidas en la Directiva de 1995 han resistido de manera abrumadora el paso del tiempo. Por ello, consideramos que los principios existentes que regulan las funciones, responsabilidades y obligaciones en la cadena de valor del tratamiento de datos han de conservarse en el Reglamento propuesto. Animamos a las instituciones de la UE a mantener estas disposiciones en las negociaciones tripartitas. Transferencias de datos internacionales: Si bien apoyamos con claridad la intención del Reglamento propuesto de fomentar el crecimiento en el Mercado Único Digital de la UE, creemos firmemente que el Reglamento ha de tener en cuenta el carácter mundial de las cadenas de valor de los datos en la actualidad y la creciente importancia de los mercados de servicios digitales mundiales. La promoción de los flujos de datos transfronterizos será esencial para el crecimiento de los responsables del tratamiento de datos y los encargados del tratamiento de datos radicados en la UE. Reconocemos la necesidad de proteger los datos de los ciudadanos de la UE cuando estos sean transferidos fuera de la UE, algo de especial importancia ante los últimos acontecimientos internacionales. Sin embargo, los flujos de datos abiertos y la responsabilidad no son intereses opuestos si ese carácter abierto está respaldado por la responsabilidad, la verificación apropiada y la ausencia de elusión. A la luz de lo anterior, aplaudimos la ampliación del interés legítimo por parte del Consejo para permitir a los responsables del tratamiento de datos y los encargados del tratamiento de datos transferir datos temporales, no masivos o no frecuentes en su planteamiento general parcial del Capítulo IV. La introducción del interés legítimo tendrá una importancia económica enorme para las empresas dedicadas a las tecnologías de la información y la comunicación y para otros tipos de empresas con sede en la UE y contribuirá a una mayor creación de empleo y a estimular la inversión en la UE. Animamos a las instituciones de la UE a mantener este concepto en las próximas conversaciones tripartitas. Sanciones: La introducción de un mecanismo de sanciones eficaz es un paso importante en la revisión del régimen europeo de protección de datos. Contar con un Reglamento que tiene por efecto disuadir y penalizar a aquellas empresas que utilizan el incumplimiento como una ventaja competitiva sobre las empresas cumplidoras y responsables, redunda en el interés privado de los ciudadanos y empresas responsables. Consideramos que el mejor modo de salvaguardar el derecho a la privacidad es adoptar una estrategia de aplicación destinada a aumentar el nivel de detección de la violación de datos, contribuyendo a la confianza entre la industria y los reguladores en un esfuerzo por promover la responsabilidad. Este tipo de planteamiento de aplicación participativo ofrece el potencial de ir más allá de la promoción de las “buenas prácticas” y crear un entorno donde las “malas prácticas” anónimas pueden ser denunciadas de forma segura por la industria y mediadas por los reguladores. Defendemos la idea de que este tipo de entorno debe incluir el establecimiento de procedimientos seguros de denuncia de las irregularidades. Apoyamos la elaboración e introducción de unas directrices de sanciones codificadas y razonables. Las sanciones han de ser proporcionales al daño provocado a las personas, y las autoridades deben disponer de flexibilidad y discreción en su aplicación, en lugar de imponer multas obligatorias. Se debe destacar también el uso de sanciones punitivas como último recurso. Las multas han de ser limitadas si la entidad sancionada ha tomado medidas serias para actuar de manera responsable en sus actividades de tratamiento de datos. A la hora de calcular las multas, se deben tener en cuenta las empresas diversificadas y especializadas, observando la diferencia entre modelos de negocio, sobre todo en lo referente a actividades de altos ingresos/bajo margen y actividades de bajos ingresos/alto margen. Apoyamos también la limitación económica de las multas para restringir la cuantía absoluta de la penalización. ACERCA DE LA COALICIÓN Nuestra Coalición está formada por veinte empresas europeas que incluyen desde PYME hasta multinacionales y organizaciones sin ánimo de lucro y que trabajan en distintos sectores a escala nacional, regional y mundial. Con un volumen de negocio conjunto (2013) superior a los 158.000 millones € y unos 752.000 empleados en todo el mundo, nuestro alcance nos permite proporcionar crecimiento, progreso y empleo a la economía de la UE. Entre nuestros miembros se encuentran… … un líder global en tecnologías de potencia y automatización… … la empresa de comercio electrónico líder en Europa Central y Oriental… … un proveedor de soluciones de productividad con compresores, soluciones de aspiración, construcción y equipos de minería… … una organización sin ánimo de lucro dedicada a recaudar dinero para prevenir y combatir el cáncer infantil… … un líder mundial en electrodomésticos… … dos proveedores de tecnología y servicios de comunicaciones… … un diseñador, ingeniero, fabricante y distribuidor de productos eléctricos para uso en exteriores… … una sociedad de inversión… … una pyme proveedora de marketing online a través de motores de búsqueda, conversión en línea y generación de contacto con clientes… … una empresa de comercio electrónico que presta servicios de pago para tiendas a través de Internet… … un grupo de ingeniería de herramientas, tecnología de materiales, minería y construcción… … una compañía de aplicaciones informáticas para empresas… … un proveedor internacional de camiones pesados y autobuses, motores y servicios… 2|Página … un proveedor de servicios seguros y protegidos en la nube para el sector público británico… … un proveedor internacional de soluciones renovables de envasado, biomateriales, madera y papel… … la principal universidad en programas de tecnología y arte digital… … un proveedor de aplicaciones informáticas profesionales y servicios para más de 340.000 empresas en los países nórdicos… … un fabricante y distribuidor de camiones, autobuses y equipos de construcción… … la empresa líder en servicios móviles avanzados… Nuestras empresas son muy diferentes entre sí, pero están totalmente unidas por la necesidad de unas funciones y responsabilidades claras, unos flujos de datos transfronterizos abiertos, unas directrices de sanciones equilibradas y codificadas, un punto de contacto único y eficaz, y la ausencia de normas excesivamente prescriptivas como las condiciones fundamentales para el crecimiento a largo plazo, la competitividad y la prosperidad, tanto para nosotros como para las economías donde trabajamos. Para más información, visítenos en www.europeandatacoalition.eu o póngase en contacto con nosotros: info@europeandatacoalition.eu 3|Página