“Un giro copernicano con más sombras que luces”
El pasado día 29 de abril de 2016 ENATIC invitó a reflexionar sobre lo que va a suponer el nuevo Reglamento Europeo de Protección de Datos (REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos dato; en adelante, Reglamento), aplicable a partir del 25 de mayo de 2018, en una jornada en la que se puso de relieve la trascendencia que va a tener para los ciudadanos, las empresas y las instituciones, la nueva regulación del tratamiento de los datos personales en un mundo cada vez más digitalizado, más global y más cambiante.
La jornada se dividió en 4 mesas compuestas por compañeros juristas especializados en la materia:
Desde un análisis exhaustivo de las novedades que presenta el Reglamento, aportando una visión de conjunto, hasta las oportunidades que se abren para quienes somos juristas digitales, sin evitar apuntar las luces y las sombras que presentan, nuestras conclusiones a modo de resumen son las siguientes:
Novedades del Reglamento General de Protección de Datos
Dice el Reglamento que la rápida evolución tecnológica y la globalización han planteado nuevos retos para la protección de los datos personales, un derecho reconocido a toda persona física.
Con este nuevo Reglamento, que en palabras de Christopher Kuner va a suponer “un giro copernicano” en materia de protección de datos, se pretende generar confianza y facilitar el control de los datos a los titulares de los mismos (ahora interesados) aunque, como veremos, no va a ser fácil.
No sólo se protegen los datos sino que también se protege la libre circulación de los mismos. Esto lleva a choque de intereses que deberán ponderarse para que el tratamiento de los datos personales cumpla con una de sus misiones: servir a la humanidad (Considerando 4 del Reglamento).
Además, a pesar de que estamos hablando de una norma, la tendencia es hacia la autorregulación a través de códigos de conducta que tardará en calar en nuestro entorno ya que culturalmente todavía estamos lejos de la tradición americana más proclive a este tipo de regulación.
1º) Un Reglamento y no una Directiva.
Más extenso. Más detallado. Nos encontramos con el único caso en el que un derecho fundamental recogido en nuestra Constitución Española (artículo 18.4) es regulado desde Europa, de aplicación directa, sin necesidad de transposición. Esto no significa que los legisladores nacionales no deban actuar, deberán adaptar los textos sobre todo para cubrir las lagunas que deja el Reglamento y aclarar las muchas dudas interpretativas que va a provocar el texto en su misión homogeneizadora.
No va a ser fácil la tarea de aplicar en los 28 Estados miembros de la Unión Europea, los mismos criterios, directrices, pautas para proteger los derechos, para sancionar cuando corresponda y para adoptar las mismas medidas ante los riesgos.
Así se permitirá según establece el Considerando 8 del Reglamento “en la medida en que sea necesario, incorporar a las legislaciones nacionales elementos del Reglamento por razones de coherencia y comprensión”.
2º) ¿Qué ocurrirá con nuestra LOPD (Ley Orgánica de Protección de Datos)?
Tal y como han señalado varios ponentes, será necesaria una adaptación pero no una derogación total ni un desplazamiento. Muchas materias se remiten a la normativa nacional y será necesaria en todo lo que no sea contraria a la normativa europea.
Esta multitud de fuentes supondrá un reto más para empresas, juristas y ciudadanos en aras a comprender la regulación de la protección de datos.
3º) Extensión del ámbito territorial de aplicación (artículo 3.2)
Este es uno de los puntos más novedosos e importantes. Se establece que será de aplicación el Reglamento europeo para el tratamiento de datos personales de interesados que residan en la UE por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión.
José Luis Piñar, pone como ejemplo la publicidad comportamental online (OBA-online behavioral advertising) como una de las cuestiones que quedan enmarcadas en el Reglamento, si esta segmentación de perfiles se lleva a cabo desde la UE.
4º) Consentimiento expreso (artículo 4.11).
Se define qué requisitos debe cumplir el consentimiento por parte del interesado para validar esa manifestación de voluntad que deberá ser libre, específica, informada e inequívoca, a través de una DECLARACIÓN o una clara ACCIÓN afirmativa.
Ya no será válido el consentimiento tácito que se entendía por la mera continuidad en la navegación por el sitio web para aceptar las políticas de privacidad establecidas, en relación con las “cookies”, por ejemplo.
¿Y quién deberá probar que se ha prestado este consentimiento? El responsable del tratamiento de los datos será quien asumirá la carga de la prueba. Aquí se abre un sinfín de posibilidades respecto a la prueba electrónica y cómo efectivamente quedará constancia fehaciente de este hecho.
5º) Principios (artículo 5 y siguientes)
Se establecen una serie de principios con claro carácter continuista respecto a la Directiva 95/46 a los que se añaden 3 novedosos:
- Responsabilidad (ACCOUNTABILITY) según el cual se deberán aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento de datos es conforme al Reglamento. Es más un compromiso.
- Privacidad por diseño (PRIVACY BY DESIGN) con el que se pretende que desde el principio se adopten medidas de protección y no a posteriori. Muy ilustrativo el apunte de Piñar sobre esta cuestión: ¿Se podría poner a la venta un Ferrari diseñado sin cumplir las mínimas normas de seguridad, por ejemplo, sin reposacabezas en los asientos o cinturón de seguridad? Pues el mismo criterio debería seguirse para apps, programas de ordenador, etc…
- Privacidad por defecto (PRIVACY BY DEFAULT) para que la configuración de perfiles en RRSS, por ejemplo, no esté premarcada para su publicidad sino que sea el usuario quien deba relajar la protección de sus datos con una menor privacidad.
6º) Derechos de los interesados. Superando nuestros derechos ARCO.
Transparencia, información y acceso, rectificación, supresión (con mención expresa al “derecho al olvido”, portabilidad y oposición.
A destacar el derecho a indemnización al usuario, además de las multas administrativas, si el tratamiento de los datos han producido daños materiales o inmateriales.
Se introdujo una buena propuesta al sugerir los mecanismos ADR para la solución de conflictos en materia de protección de datos. Se podría dar la opción a empresarios y usuarios a solventar las disputas antes de llegar ante la AEPD para solucionar la obligación de indemnizar. Esto ahorraría costes a la empresa y el usuario quedaría satisfecho antes.
Además, esta responsabilidad se traslada no sólo a empresas privadas sino también a las Administraciones Públicas.
Esta cuestión suscitó muchos comentarios por lo novedosa pero también, como apuntaba Ricardo Oliva vía Twitter, porque el hecho de multar a las Administraciones Públicas conlleva un perjuicio doble para el administrado quien deberá costear al fin y al cabo ese gasto público vía impuestos.
7º) Actividades del responsable.
Se elimina la obligación de notificar los ficheros de datos, supliéndose por una serie de actos que van a forzar a adoptar una actitud mucho más proactiva e innovadora en la gestión de los datos: Registro de actividades de tratamiento, notificación de violaciones de seguridad (obligatorias), evaluaciones de impacto con análisis de riesgos, consultas previas al tratamiento…
8º) Transferencias internacionales (artículo 47).
Se da la bienvenida a la introducción de normas corporativas vinculantes.
9º) Cooperación y coherencia.
Necesidad de mayor interrelación entre los diferentes actores obligada por la globalidad de los datos y la naturaleza propia de Internet. Va a ser complicada la gestión de la llamada “ventanilla única” (one stop shop) porque hay muchos intereses enfrentados (pérdida de soberanía, poder, etc… autoridades de control principal, autoridades de control interesadas…)
10º) Vacatio legis o los 2 años de adaptación.
El Reglamento, tal y como se señala en su articulado, tras su publicación en el Diario Oficial de la Unión Europea (que tuvo lugar el pasado 4 de mayo de 2016), entrará en vigor el próximo 25 de mayo, pero no será aplicable hasta el 25 de mayo de 2018.
Durante estos 2 años hay mucho que hacer:
La realidad de Internet
Todo este panorama que se avecina no será de fácil aplicación si se ignora la realidad del mundo que nos rodea.
Las peculiaridades de Internet van a influir en la aplicación del Reglamento.
1º) ¿De quién es Internet?
La existencia de una orfandad en la gobernanza de Internet, su opacidad y las luchas entre los que se eligen como los guardianes de la privacidad (pensemos en el caso FBI vs APPLE), además de las distancias culturales entre EEUU, Europa y el resto del mundo.
2º) El terrorismo como forma de limitación de la privacidad.
Decisiones por parte de los gobiernos que repercutirán en la privacidad en defensa de la seguridad de los ciudadanos. Límites a los derechos de los interesados como se reflejan en el artículo 23 del Reglamento.
3º) El dilema de las finalidades.
Mientras no haya transparencia, recordemos que la finalidad del tratamiento de datos debe ser explícita y legítima, el usuario va a seguir sin saber para qué van a ser utilizados sus datos, por lo que desconocerá cómo ejercer sus derechos y si tiene derecho a indemnización o no.
4º) El control de las empresas extracomunitarias.
Se hace un esfuerzo muy grande por proteger a los residentes en la UE en un mundo cada vez más global, más digital, donde las fronteras se quedan en el papel.
Se exige el nombramiento de un representante como punto de conexión con este interesado y la empresa que va a tratar sus datos pero ¿qué pasa si la empresa ignora esta obligación? ¿Cómo obligarla a cumplir esta normativa si vemos como sistemáticamente se están vulnerando otras tantas legislaciones sobre seguridad de los productos, propiedad intelectual, propiedad industrial, por ejemplo?
5º) El consentimiento como placebo.
El usuario, dejemos a un lado sus razones, tiene una capacidad muy limitada para leer y entender las cláusulas de privacidad. Hablamos de contratos de adhesión en los que no existe capacidad de negociación por parte del usuario. Quizá debería solucionarse este desequilibrio con medidas más protectoras (igual que se protege al consumidor) para que el consentimiento sea válidamente celebrado a la hora de ceder sus datos personales. El lenguaje jurídico sigue siendo complejo para el ciudadano medio.
Perspectivas profesionales. Más allá del DPO (Delegado de Protección de Datos)
Como colectivo de profesionales expertos en privacidad, se ha abierto la puerta, y no sólo a un mar de oportunidades sino a un sinfín de retos por superar.
En este periodo de adaptación y crecimiento, se debe diseñar un nuevo perfil de abogado digital consolidando una formación específica para las personas que deben reunir determinadas capacitaciones y competencias.
Se dice en el Considerando 97 del Reglamento: “Al supervisar la observancia interna del presente Reglamento, el responsable o el encargado del tratamiento debe contar con la ayuda de una persona con conocimientos especializados del Derecho y la práctica en materia de protección de datos…”
Se abre pues el debate y así se demostró a lo largo de toda la jornada, sobre quién debe estar detrás de este perfil profesional: se eleva el discurso de la privacidad dentro de la empresa con conceptos como la privacy by design, el delegado de protección de datos (DPO) o la accountability. Ya no sólo hablamos de aquél que se encargaba de hacer los avisos legales y de inscribir los ficheros sino que estamos ante una figura relevante dentro del modelo de negocio de la empresa.
Se corre el peligro de que se convierta en una guerra entre profesionales con distintos perfiles: tecnólogos, informáticos, ingenieros, abogados, … y la imprecisión en la regulación va a provocar tensiones si no se consigue tener una perspectiva global y conciliadora.
Muchas dudas surgieron entre ponentes y asistentes: ¿quién podrá ser DPO: un técnico con conocimientos de Derecho o un abogado con conocimientos tecnológicos? ¿Qué capacitación va a necesitar el DPO? ¿Será necesario un “carnet profesional” que acredite nuestros conocimientos? ¿Se optará por un modelo similar a los requisitos exigidos para ser mediador con un número de horas formativas regulado y un perfil jurídico? ¿Quién definirá el perfil: la empresa, según las necesidades del mercado (autorregulación) o el legislador en el desarrollo del Reglamento? ¿Cómo evitar el intrusismo profesional y garantizar una calidad en los servicios? ¿Se optará por un esquema de certificación y acreditación de competencias? Y ¿cuál: ENAC, ISO, ISACA…?
Aquí algunas dudas que quedaron sin respuesta formuladas desde Twitter:
Lo que sí que se empezó a configurar es la silueta de cómo debería ser ese profesional que va a liderar la protección y la gestión de los datos tanto dentro como fuera de la empresa y que puede ser un avance de, quizá, un nuevo perfil de jurista con futuro como defendemos en este portal, y que puede ser la base de los futuros Delegados de Protección de Datos o DPOs.
En esta infografía que he preparado con cariño para nuestros lectores, perfilo y delineo los «skills» esenciales del futuro DPO:
El equipo de mentes inquietas que integra Juristas con Futuro considera que debería estar en la agenda de todo profesional del Derecho la asistencia a los eventos organizados por la Asociación de ENATIC (de la que, por cierto, tanto el editor de este portal como quien firma esta crónica, somos orgullosos socios) ya que ello representa una magnífica oportunidad para conocer las novedades sobre el Derecho digital español y europeo, así como la posibilidad de debatir -abiertamente- junto a otros apasionados expertos en la materia.
Esperamos que este breve análisis y comentario haya sido de vuestro interés.
Sonsoles Valero Barceló.
Un artículo de Sonsoles Valero Barceló
Artículo bajo licencia de Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional.
"NO REPRODUZCAS SIN CITAR LA FUENTE"
Querido lector: dispones del permiso del editor de Juristas con Futuro y del mismo autor de este artículo para reproducir todo o una parte del mismo, siempre que cites la fuente de origen y que no consideres importante que Google penalice tu web por tener contenido duplicado. Así que, simplemente copia lo siguiente:
Sonsoles Valero Barceló. El jurista tras el nuevo Reglamento Europeo de Protección de Datos [online]. Juristas con Futuro. 10/05/2016. https://www.juristasconfuturo.com/perfiles-juridicos/data-protection-officer/el-jurista-tras-el-nuevo-reglamento-europeo-de-proteccion-de-datos/. Consulta: [indicar la fecha en que has consultado el artículo]
Soy profesional de la Informática y acabo de leer este artículo que me ha puesto al día sobre las implicaciones del Reglamento mejor que cualquier otro. Excelente redacción e infografía. Gracias.
Muchas gracias David por tu comentario. Me alegra que este artículo sobre el futuro de la protección de datos en Europa bajo el paraguas del nuevo Reglamento te haya resultado útil e interesante. Una invitación a ponernos las pilas tanto juristas como informáticos. Bienvenidas tus aportaciones sobre este tema. Juntos aprendemos todos. Un saludo.