20 años de Directiva de protección de datos

Intervención en la Jornada de la Agencia Española de Protección de Datos: «Pasado, presente y futuro de la Directiva europea de protección de datos en su vigésimo aniversario» (05/11/2015).

En primer lugar quisiera agradecer el honor que para mí supone el estar hoy aquí tanto en términos personales como asociativos. Pensar en veinte años de Directiva tiene en muchos de nosotros un efecto no se si biográfico o catárquico, es pensar en nuestra propia vida profesional. Por otra parte, mi presencia hoy aquí se debe menos a mis méritos que a lo que la trasposición de la Directiva ha supuesto para el sector profesional.

En este sentido, permítanme comenzar aludiendo al hecho de que nuestra relación como país con la norma ha sido como mínimo peculiar, no sé si con tintes de realismo mágico en nuestro particular Macondo Jurídico, no sé si con ese surrealismo daliniano tan propio de estas tierras. Para empezar, y según señala la doctrina nuestra relación en realidad comienza con un ancestro de la Directiva. Cuando España debe adaptar su Ordenamiento pensando en Schengen echa mano del Proyecto de Directiva para desarrollar la Ley Orgánica 5/1992, y acaba generando un modo de entender la protección de datos con perfiles propios.

Pero no acaba aquí la cosa, si debemos creer al Diario de Sesiones, y al diputado López Garrido que a estas materias había dedicado parte de su investigación como constitucionalista, lo que en origen era una mera reforma de la LORTAD, nuestra querida LOPD, se convierte en Ley derogatoria para dejar sin efecto un recurso de inconstitucionalidad dando lugar a una rara avis cual el de una Ley Orgánica sin exposición de motivos.

Y no acaba aquí el conjunto de situaciones peculiares. La Directiva ha tenido el honor, no sé si dudoso, de ser transpuesta en una significativa parte por una norma reglamentaria. Y si no háganme la merced y comparen la noción de transferencia internacional en el Reglamento con los artículos 33 y ss. de la Ley.

Ello nos ha permitido vivir en el país de las fuentes accesibles al público y también, por qué no decirlo haber contribuido a poner algún ladrillo más en esa magnífica construcción comunitaria del efecto directo de las Directivas.

Lo cierto, y no se ofenda la institución que tan amablemente nos acoge, es que a pie de obra todos, y yo el primero, hemos vivido de espaldas a la Directiva cuyo trato se ha reservado a la doctrina, y quiero destacar a Heredero Higueras y Arenas Ramiro, aquellos que debían lidiar con las Transferencias Internacionales de Datos, y el Regulador.

De algún modo la Directiva ha sido crucial por tres razones:

– Por lo no traspuesto o lo que nunca dijo.

– Por lo que decimos que ella dice.

– Porque ya en su madurez se ha convertido en un texto de valor cuasi constitucional.

Y todo ello plantea cuestiones de orden práctico de una importancia nuclear.

Verá, la Directiva en origen se refería a algo más amplio, llámese privacy, llámese intimidad y su objetivo primordial era fijar las condiciones que hicieran viable la libre circulación de datos personales en el mercado interior. Ni más, ni menos. Era indudable la vinculación con los derechos fundamentales y su tutela por un ombudsman especializado, como lo era el hecho de que muy tempranamente el Tribunal de Justicia erigió los derechos fundamentales en límite y canon para todo su ordenamiento ya sea atendiendo a las tradiciones constitucionales de los estados miembros primero y al marco del Convenio Europeo de Derechos Humanos después.

Y de algún modo ese pecado original, facilitar el tráfico de datos y con ello el tráfico económico después, se lo perdonamos a la Directiva y generamos un sistema muy garantistas pero en más de una ocasión de espaldas a la realidad del uso y circulación de los datos. No se tome esta afirmación como una crítica, sino como una apuesta de futuro, hay que retomar las dos dimensiones de la Directiva buscando esa nueva privacy marca España que tanta falta nos hace.

Pero no es esta la única omisión. Resulta más que significativo como la última sentencia relevante sobre derecho al olvido del Tribunal Supremo nos recuerda que este país, a diferencia por ejemplo del caso italiano, renunció a regular de algún modo el tratamiento de datos personales en el ámbito periodístico.

En segundo lugar, es muy importante el papel desarrollado por la Directiva como referente interpretativo en la acción de Regulador y en parte por los Tribunales. ES curioso, les confieso que no he hecho la cuenta pero les hago una apuesta. El artículo 10.2 CE fija como canon de interpretación los Tratados Internacionales en materia de derechos humanos. Más allá de la STC 254/1993 les reto a comparar la frecuencia con la que se cita el Convenio 108/1981 y el artículo 8 del Convenio Europeo de Derechos Humanos con la propia Directiva. Es más, creo que sería más que interesante establecer cuantas veces la Directiva se utiliza como ratio decidendi mediante el recurso de acudir a un instrumento de mediación interpretativa: los documentos del Grupo de Trabajo del artículo 29. Así que al final resulta que esa Directiva que casi ninguno estudiamos es un referente de primer nivel.

Y no sólo eso, existe un ejemplo que puede resultar crucial para el devenir de una industria y del devenir de sectores enteros de la investigación. Y no es algo que me invente yo, sino que ha preocupado en el nuevo Reglamento a la Asociación Europea de Rectores a los cuales aunque solo sea por disciplina me debo. Verán, uno tiene la intuición que en nuestro país anonimizar no es exactamente lo que dice nuestra norma, sino más bien o que dice el considerando 26 de la Directiva. Y resulta que un considerando, y subrayo la categoría, no una norma jurídica imperativa de la que derivar el efecto directo sino aquello que nos ayuda a interpretarla. Ese considerando nos dice que la anonimización no depende de lo que el responsable pueda hacer, sino de exista una posibilidad de reidentificar. La Directiva le dice a las PYME,s españolas que su referente de reidentificación es IBM, y nos dice que la investigación en salud requiere de recursos ingentes, y que en el fondo mejor pide Vd. el consentimiento porque si anonimizar pasa por generalizar, alterar algunos conceptos y usar algoritmos de matemática avanzada, mejor nos olvidamos. Por tanto, un simple considerando de esa Directiva tan poco avanzada puede ser una barrera de entrada al mundo big data y a cierto tipo de investigación.

En un tercer nivel los asuntos sobre el derecho al olvido y Safe Harbor han sido la plataforma que ha servido al TJUE para definir el marco constitucional europeo del derecho fundamental a la protección de datos personales. Y han sido el Tribunal el que ha puesto en valor la norma mucho más que ningún otro, ha consolidado sus principios, y nos ha recordado a unos cuantos que su sentido material profundo obliga a un actitud proactiva en la tutela. La vieja Directiva, leída por el Tribunal nos ha dado queridos amigos un considerable tirón de orejas y nos ha dicho que está viva, y que por mucho que citemos cuatro gadgets y alguna que otra pedantería en inglés, su núcleo esencial, el que atañe a los principios resulta plenamente funcional.

Ya casi finalizando, quiero subrayar que los profesionales, y me atrevo a decir que el propio derecho fundamental a la protección de datos personales, la vamos a echar de menos en breve. La vieja Directiva fue sabia en una muy concreta previsión: o usted tiene DPO o tiene registro. En España, como buen país latino, la burocracia del registro ha sido determinante para el cumplimiento y a para el impulso de una figura de DPO patria generalmente denominada como consultor. Esa idea se abandona, alguien parece creer que con nuestra cultura de LOPD ni hace falta registro, ni el DPO debería ser obligatorio. Permítanme decirlo de modo muy directo: se equivocan.

Con las incertidumbres de la Propuesta de Reglamento no sé muy bien si estamos en un cumpleaños o en velatorio anticipado. No obstante debemos rendir homenaje a una norma cuyo ADN está en la Propuesta de Reglamento y cuya trasposición y desarrollo quiero pensar que hizo de nosotros una sociedad mejor desde un punto de vista ciudadano, pero también desde la exigencia de rigor en el tratamiento de datos personales por las organizaciones.

No deberíamos echar de menos la Directiva, pero quienes pilotamos la aplicación de la LORTAD y la LOPD, tenemos el inexcusable deber de ser agradecidos a los hombres y mujeres que avizoraron los peligros y necesidades en los años 70 construyendo leyes avanzadas, convenios internacionales y consensos constitucionales. Debemos gratitud a quienes dotaron a Europa de un modelo con el que el convenio del 81 alcanzó su plenitud. Y a todos ellos les debemos un reto generacional y profesional, tenemos el inexcusable deber de integrar el derecho fundamental a la protección de datos personales, la ciencia y el desarrollo tecnológico en un futuro en el que la llamada economía digital nos hagas mejores pero nunca al precio de ser menos libres.

Gracias.