El futuro de la protección de datos en Europa.

Artículo publicado en la Revista SIC. Núm. 99 abril 2012.

El pasado 25 de enero la Comisión Europea anunciaba su Propuesta de Reglamento de protección de datos con el objetivo de sustituir, aunque sería más preciso decir implementar y mejorar, el marco regulador definido por la Directiva 95/46/CE. Ésta ha agotado su potencial regulador y, en cierta medida, comienza a ser disfuncional.

Dos son los grandes males que la aquejan. En primer lugar, la naturaleza jurídica de la norma que exige una trasposición por parte de los Estados Miembros. La acción legislativa que en otros sectores en muchas ocasiones se limita a “copiar-pegar”, aquí ha conducido a la disparidad normativa. Las normas nacionales han debido regular un derecho fundamental que por su naturaleza permea todos los sectores del Ordenamiento Jurídico. Además, la trasposición lo ha sido también del Convenio 108, y ha atendido los requerimientos de privacidad necesarios para poder ratificar Schengen. Por otra parte,  el carácter instrumental del derecho fundamental a la protección de datos obligaba a desarrollar normas válidas para todos los sectores, y no sólo para aquellos de competencia comunitaria. Y, cuando se trata del desarrollo de un derecho fundamental la aparición de garantías administrativas o penales particularmente contundentes, como en el caso español, marca diferencias.

Tampoco ha contribuido en nada la sucesión de normas comunitarias sectoriales, desde la Directiva 2000/31/CE, y su impacto en el tratamiento de datos para el envío de publicidad por medios electrónicos, la Directiva 2002/58/CE en materia de privacidad en las telecomunicaciones, y su familia de sucesoras que han ido regulando la conservación de datos con fines policiales y culminan con la regulación del consentimiento para las cookies y la notificación de quiebras de seguridad por el paquete Telecom. Añádanse las exigencias asociadas a la cooperación policial y judicial penal y la complejidad de las relaciones trasatlánticas, -Swift, Sarbanes Oxley Act, Passenger Names Record, Patriot Act, Foreign Corrupt Practices Act, Passenger Names Record, procedimientos de discovery…-, -, y se dibujará un complejo normativo que, multiplicado por veintisiete Estados, conduce a un maremágnum jurídico de difícil comprensión. Esta dispersión genera diferencias de tratreglamentoUEo que afectan a los flujos internacionales de datos personales y operan como barrera al establecimiento en determinados países, como España, ofreciendo ventajas competitivas a aquellos que cuentan con un marco regulador más flexible y sanciones menos contundentes. Con ello, se rompe un principio básico en el Derecho Originario: la uniformidad.

En segundo lugar, si bien los principios de la Directiva siguen siendo eficaces la realidad hace necesario abordar nuevos retos. Así, la Web 2.0 ha puesto de manifiesto la ineficacia de un ámbito de aplicación basado en el establecimiento que no incorpora el principio rector que toma en cuenta la oferta de servicios a ciudadanos europeos, la necesaria regulación de los derechos de los menores, el llamado derecho al olvido, y la incorporación de principios de diseño basado en la privacidad.

Una reforma profunda. 

Tras dos años de intenso trabajo y la realización de distintas consultas, tanto públicas como a las autoridades de protección de datos personales y los estados, la Comisión ha apostado por una profundización en el marco regulador mediante una norma de aplicación directa que no necesitará de trasposición. Si bien los principios fundamentales se mantienen, la intensidad de los cambios generará una situación de incertidumbre y determina el fijar un periodo transitorio de adaptación de dos años. La doble reforma planteada, puesto que viene acompañada de una Propuesta de Directiva que regirá el ámbito policial y judicial, debe todavía superar el procedimiento legislativo ordinario y ser objeto de examen tanto por el Parlamento, como por los Estados en el Consejo. Por tanto, no va ser una norma que de modo inmediato deba ser aplicada, y los expertos deberán seguir el procedimiento legislativo con el horizonte fijado en el mejor de los casos en el segundo semestre de 2013, salvo que se consiga un consenso general y rápido.

Por otra parte, será necesario un esfuerzo de ajuste y coherencia del sistema normativo interno con el objetivo de depurarlo precisando qué aspectos de la LOPD y su reglamento de desarrollo, así como qué previsiones específicas en otros ámbitos deberían ser derogadas para dotar de seguridad jurídica al sistema. Por tanto, en este momento preliminar, puede que lo más relevante sea situarse en algunos de los aspectos que en el medio y largo plazo requieran implementar los sistemas de tratamiento de datos personales y/o rediseñar los procesos de gestión y, particularmente los que atañen a la seguridad.

Menores

El primer cambio sustancial operado es la rebaja en la edad legal a los 13 años para consentir en una oferta directa de servicios de la sociedad de la información que comporte tratar datos, en sintonía con la legislación de Estados Unidos, salvo supuestos específicamente regulados donde la exigencia afecte a mayores de 13 años. Por debajo de esa edad se requerirá autorización de padre, madre o tutor.  

La Propuesta impone a las organizaciones el deber de verificar la edad pero limitando su responsabilidad a la realización de «esfuerzos razonables para obtener un consentimiento verificable, teniendo en cuenta la tecnología disponible». Se trata de un concepto jurídico indeterminado y sujeto a la posición que en su caso adopten la Comisión y las autoridades de protección de datos. Además, de difícil cumplimiento ya que, como se ha constatado en el marco de Safer Internet, la mayor parte de procedimientos de verificación presenta algún problema[1].  Por otra parte, la implementación de los Safer Social Networking Principles for the EU[2] ha demostrado que no existen métodos plenamente confiables[3].  Probablemente por ello, la Comisión podrá establecer formularios normalizados con métodos específicos de obtención del consentimiento verificable, lo que sin duda nos sitúa en un contexto muy similar al que afronta la Federal Trade Commision en la aplicación de COPPA y convierte a los trabajos de esta agencia en relación con el Sliding Scale Mechanism en un referente de primer nivel[4].

Derecho al olvido.

Sucintamente descrito éste no es más que el derecho a la supresión de los datos, a instancias del afectado, así como la obligación de no darles más difusión. La realidad de las redes sociales, y el impacto de los buscadores han puesto sobre la mesa la capacidad de control que las personas tienen sobre su información y la repercusión que en un futuro puede tener aquello que, con la imprudencia de la adolescencia, compartimos en internet. El ejercicio de este derecho también cabrá frente a la conservación de los datos que ya no son necesarios en relación con los fines para los que fueron recogidos, cuando el interesado retire el consentimiento en que se base el tratamiento dándose el conjunto de circunstancias reguladas, cuando se ejerza un derecho de oposición o cuando se contravenga la norma.

No se trata de un derecho absoluto, cederá ante la libertad de expresión, cuando concurran  motivos de interés público en el ámbito de la salud pública, cuando los datos se traten con fines de investigación histórica, estadística y científica o para el cumplimiento de una obligación legal de conservarlos. En casos concretos se procederá a limitar el tratamiento.

Desde un punto de vista técnico debe tenerse en cuenta que quien haya hecho públicos los datos personales, adoptará todas las medidas razonables, con miras a informar a los terceros que estén tratando dichos datos sobre el hecho de que un interesado les solicita que supriman cualquier enlace, o cualquier copia o réplica de los mismos. Además, si se ha autorizado a un tercero a publicarlos, se tendrá la consideración de responsable. Por tanto, será necesario tomar decisiones respecto de qué datos resultan accesibles en internet a los buscadores, en qué casos se conceden permisos para su publicación por terceros y qué grado de trazabilidad permiten los sistemas de información.

Portabilidad.

La portabilidad pasa de ser una consecuencia natural de la contratación de servicios entre empresas a ser un derecho del afectado que podrá obtener una copia de los datos en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos, y en los casos en los que el tratamiento derive del consentimiento o se establezca en un contrato, tendrá derecho a transmitir los datos y cualquier otra información que se conserve de un sistema a otro en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento. Por tanto, la portabilidad, y queda por ver si la interoperabilidad, se convertirán en un requisito también para sistemas de información cuyo destinatario final sea el usuario común.

Accountability.

La Propuesta rebaja considerablemente el número de trámites burocráticos pero, como contrapartida, contiene previsiones que suponen responsabilidad si no se es diligente en implementar condiciones de cumplimiento normativo. Ello comporta obligaciones de documentación de los procesos, de seguridad, desarrollar evaluaciones de impacto cuando sean pertinentes, implementar mecanismos de verificación del cumplimiento, obtener autorizaciones previas de la autoridad de control o el nombramiento de un delegado de protección de datos, (el llamado data protection officer o DPO).

Privacy by design.

La Comisión apuesta claramente por la evaluación de impacto en la privacidad e incluso podrá definir normas técnicas para el desarrollo de estas evaluaciones. El “data protection impact assesment” respecto de las operaciones de tratamiento se impone cuando entrañen riesgos específicos para los derechos y libertades de los interesados en razón de su naturaleza, alcance o fines. Ello afecta particularmente al tratamiento de datos que revelen aspectos de la personalidad, salud o comportamiento del que se deriven efectos para el titular; al tratamiento a gran escala de información sobre la vida sexual, la salud, la raza y el origen étnico o destinada a la prestación de atención sanitaria, investigaciones epidemiológicas o estudios relativos a enfermedades mentales o infecciosas; cuando los datos sean tratados con el fin de tomar medidas o decisiones sobre personas concretas; en  la videovigilancia a gran escala y sistemas equivalentes de seguridad; en el tratamiento de datos relativos a niños, o datos genéticos o biométricos; y en aquellos casos en los que conforme a la norma sea necesaria la consulta de la autoridad de control.

La evaluación, señala la Propuesta, deberá incluir, como mínimo, una descripción general de las operaciones de tratamiento previstas, una evaluación de los riesgos para los derechos y libertades de los interesados, las medidas contempladas para hacer frente a los riesgos, y las garantías, medidas de seguridad y mecanismos destinados a garantizar la protección de datos personales y a probar la conformidad con el Reglamento, teniendo en cuenta los derechos e intereses legítimos de los interesados y de otras personas afectadas.

Seguridad del tratamiento

La regulación en esta materia es perfectamente coherente con la cultura de seguridad de la normativa española. Presupone el desarrollo de análisis de riesgos y la implementación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado. Se refiere de modo específico a la destrucción accidental o ilícita de los datos o su pérdida, a impedir cualquier forma de tratamiento ilícito y en particular la comunicación, la difusión o el acceso no autorizados o la alteración de los datos personales. No se indica qué ocurrirá con la legislación prexistente y se faculta a la Comisión para dictar normas de ejecución. Por otra parte, se consolida el procedimiento de notificación de quiebras de seguridad a la autoridad de control en un plazo de veinticuatro horas y sin demora al propio interesado cuando sea probable que afecten negativamente a la privacidad.

El Delegado de protección de datos (DPO).

La norma propone la designación de una persona a cargo de labores de asesoramiento y cumplimiento normativo para el caso de administraciones u organismos públicos,  en empresas que empleen a doscientas cincuenta personas o más, o finalmente, en caso de que las actividades principales del responsable o del encargado del tratamiento consistan en operaciones de tratamiento que exijan un seguimiento periódico y sistemático. Expresión que debe clarificarse si podría abarcar el tratamiento de datos sensibles o seguramente las categorías de datos que exigen el desarrollo de análisis previos de impacto en la privacidad.

El DPO puede ser una persona en plantilla o un servicio externalizado, y la normativa permite inferir la posibilidad de nombrarlo para atender a organizaciones relacionadas entre si, como una diputación respecto de sus municipios, o un grupo de empresas. El desempeño de esta tarea sólo podrá ser realizado por personas cualificadas con conocimientos especializados de la legislación y de las prácticas en materia de protección de datos adecuados para el tratamiento concreto. No queda claro si ello comportaría además tener que contar con conocimientos específicos sobre cuestiones adicionales propias del sector de la organización (por ejemplo, blanqueo de capitales, seguros, legislación sobre salud o seguridad privada). La Propuesta define de modo amplio funciones y tareas que van desde la relación con la autoridad de control, a las evaluaciones de impacto, pasando por todas y cada una las cuestiones relacionadas con el cumplimiento del Reglamento. Finalmente se dota a la figura de un estatus de independencia tanto por su inserción funcional en la organización, como por su relación con el público y la autoridad de control, blindándose la duración de su mandato por un periodo de dos años.

Los retos del Reglamento.

La tramitación legislativa de la Propuesta obliga necesariamente a un seguimiento constante ya que el texto no tiene porqué ser el definitivo. Por otra parte muchos aspectos del mismo ofrecen dudas de interpretación, e incluso pueden resultar cuando menos discutibles. Basta con citar un ejemplo. Cualquier profesional de la privacidad sabe que una empresa, por ejemplo del sector de los servicios de limpieza, puede tener 250 trabajadores y no tratar otros datos que los relativos a las nóminas, y sin embargo una PYME podría estar tratando datos altamente sensibles. Por ello, la presencia de asesoramiento especializado debería abordarse de modo cualitativo, e incluso limitada en el ámbito de las microempresas a momentos puntuales relacionados con el inicio de actividades y el diseño e implementación de procedimientos de cumplimiento normativo. Por otra parte, sin dejar el ejemplo, en el plano interno el cumplimiento de la Propuesta obligará a precisar jurídicamente cuando un profesional se encuentra cualificado de modo que se impida el intrusismo profesional y se evite prácticas indeseables como las correspondientes al llamado Coste 0. La industria, y la administración pública, necesitarán de un marco normativo interno seguro, y de una masa crítica de profesionales capacitados y confiables y para ello resulta indispensable que los agentes implicados mantengan una actitud proactiva durante el proceso de aprobación de la Propuesta.

Desde la Asociación Profesional Española de Privacidad (APEP), conscientes de nuestra responsabilidad con los profesionales de la privacidad y con la sociedad, se ha trabajado en el plano internacional desde la “Confederation of European Data Protection Organisations (CEDPO)”, elaborando un marco comparativo sobre la figura del DPO y una toma de posición respecto de la propuesta reglamentaria que se notificará a las autoridades de la Unión Europea. En el ámbito nacional se han mantenido contactos con las autoridades de control, los principales Grupos Parlamentarios y representantes de los Ministerios de Justicia, y de Industria, Comercio y Turismo, poniendo a su disposición nuestro conocimiento y colaboración.   

Pese a sus debilidades, la LOPD ha generado en España un modelo de protección de datos que nos permite contar con un sector empresarial bastante receptivo, una Administración Pública que debería madurar aceleradamente de la mano de la administración electrónica y del Esquema Nacional de Seguridad, y una masa crítica de profesionales con formación universitaria de calidad y certificaciones acreditativas. El desarrollo de la Propuesta de Reglamento implica profundizar en un modelo de cultura de protección de datos que exigirá disponer de un mercado de profesionales altamente cualificados reconocibles y confiables, comportará el rediseño de la planificación e implementación de los sistemas de información y de muchos modelos de negocio, y obligará a estar en disposición de competir en un mercado abierto y uniforme para el conjunto de la Unión Europea en 2014-16. No podemos

perder la oportunidad y, por ello, industria, profesionales, legislador y Gobierno debemos empezar a trabajar en ello desde ahora.