El nuevo marco europeo de protección de datos.

Publicado originalmente en Revista SIC. Núm. 115 (junio 2015)

Resumen: El largo proceso de gestación de la Propuesta de Reglamento General de Protección de Datos mantiene en vilo a los sectores de la privacidad y la seguridad. El contenido de la norma orientará por completo la evolución del sector y las exigencias empresariales en esta materia. La implementación de procedimientos y la adquisición de competencias constituyen un reto estratégico inmediato que requiere de una previsibilidad que las diferencias de criterio entre Comisión, Parlamento Europeo y Consejo y la lentitud en la aprobación de la Propuesta, pueden poner en peligro.

 En estos días el sector profesional se pregunta un tanto preocupado cuando culminará el largo proceso de gestación de una nueva norma europea de protección de datos personales: el Reglamento General de Protección de datos. Año tras año desde 2012 se ha repetido cual mantra milenario aquello de “el próximo año…”. Esperemos que como no haya que esperar un lustro para lograr el objetivo. Esta inquietud no es en absoluto banal por muy distintas razones.

En primer lugar, el Reglamento constituye una apuesta de consolidación de un modelo europeo de protección de datos. Esto planteará sin duda un primer efecto beneficioso para la libre circulación de información en el contexto del Mercado Interior sin las disfunciones propias de 28 legislaciones diferentes. Por otra parte, facilitará enormemente la labor de los profesionales de la privacidad y la seguridad al ofrecer un marco compartido y transnacional.

Sin embargo, la esperanza convive en este caso con la inquietud. No se trata únicamente de que exista un marco sino también de la calidad del mismo, de su planteamiento ideológico, de su coherencia sistémica, y de su engarce con la realidad socioeconómica y nacional. La primera apuesta de la Comisión, seguramente acrecentada después en la versión del Parlamento, no fue otra que definir una privacidad europea, y si se me permite un tanto españolizada. Nuestra experiencia patria, y sin duda la alemana, han sido dos de los pilares que sustentan la Propuesta. Ello no impide a la futura norma a incorporar elementos significativos de otras culturas de privacidad como el concepto de accountability, y las nociones de privacy by design y privacy impact assesments, convenientemente europeizadas en su denominación. Pero de otro lado, las exigencias burocráticas y el régimen sancionador se endurecen significativamente.

Otra cuestión que preocupa, y no sólo a la industria, es la interacción entre la regulación y la innovación. En esta materia, las universidades europeas han estudiado el impacto de la norma por ejemplo en la investigación en salud. Pero tomando un ejemplo actual puede apreciarse como las posiciones del Working Party sobre anonimización se centran más en la preservación a ultranza de la privacidad, y de modo indirecto en demostrar que anonimizar es imposible, que en definir un marco de juego viable y confiable. Esto tendrá una consecuencia inmediata para la industria europea del Big Data erigiéndose en un obstáculo esperemos que no insalvable Por tanto, el futuro Reglamento puede o definir escenarios hostiles al desarrollo tecnológico basado en el tratamiento de información, o bien generar un campo de juego con reglas claras y soluciones viables que alumbre una marca “European Privacy Guaranteed” como ventaja competitiva.

Por último, y no es una cuestión en absoluto menor, la lentitud en la tramitación juega en contra de las estrategias de adaptación de las organizaciones y repercute directamente en su estructura de costes. Así, a día de hoy formarse sobre el “nuevo Reglamento” se parece más a una apuesta que a una decisión racional. ¿Cómo calificar como “nuevo” y como “Reglamento” a algo que es un mero proyecto que podría cambiar significativamente? Ello sin contar con la lentitud en la publicación en las fuentes oficiales. Es más, incluso un texto como el que se pone a disposición del lector se basa en documentos cambiantes y localizables de fuentes muy diversas[1]. Por todo ello, y sin perjuicio de ofrecer una reflexión global sobre la Propuesta, se hace indispensable diferenciar entre aquellos aspectos que a juicio del autor poseen un carácter estratégico, esto es que deberían ser tenidos en cuenta incluso en caso de no haber sido incorporados a una norma, y otros de carácter accesorio o contingente. Y en todo caso, a beneficio de inventario y a la espera de textos más definitivos.

El diseño de la privacidad.

Desde la exposición de motivos de la Propuesta inicial de la Comisión se ha propuesto la adopción de técnicas de “data protection by design and data protection by default”. El Parlamento introdujo en el considerando número 61 un matiz filosófico relevante al exigir que esta sea una metodología emebebida en el ciclo de vida de la tecnología tanto en productos como en servicios, desde los estadios más primarios de diseño, y como un compromiso que obliga a responsable y encargado.

En la versión del Consejo podría desaparecer esta referencia temporal y se traduce el significado conceptual de este deber en la adopción de estrategias ordenadas a procurar la minimización de los datos, la anonimización o pseudonimización, y la transparencia respecto del tratamiento apoderando al afectado para ejercer un verdadero control. Por otra parte se apostaría por “estimular” a la industria para tener en cuenta los principios de protección de datos asegurando que responsables y encargados puedan cumplir con sus obligaciones teniendo en cuenta el estado de la técnica. En esta línea el artículo 23, propuesto por el Consejo, apuntaría al establecimiento de este deber como un deber de carácter general que a las premisas citadas añadiría la consideración de las finalidades del tratamiento, el grado de riesgo que se deriva para los derechos y libertades, y la necesidad de adoptar las medidas necesarias, para cumplir los objetivos de la norma, incluidas la anonimización y la pseudonimización.

En esta materia, por tanto, las pretensiones del Consejo no pasarían tanto por eliminar estos deberes, como por perfilarlos como principios y objetivos, restando rigidez procedimental y optando por una norma de geometría variable en función de las necesidades del tratamiento y del estado de la tecnología. En cualquier caso, cabe extraer como conclusión relevante la asunción definitiva de la privacidad en el diseño aunque, como más adelante se verá, sin una necesaria participación del delegado de protección de datos.

Complementario del diseño basado en la privacidad es sin duda el análisis de impacto en esta (PIA). El Consejo parece situar esta tarea en el contexto de aquellos tratamientos que puedan generar un alto riesgo para los derechos y libertades de las personas así como en los que impliquen nuevos procesos o tecnologías. Por otra parte, se mantendrían como criterios decisivos para implementar una PIA el tratamiento de un amplio volumen de datos o que impliquen a un gran número de personas y la sensibilidad de la información en relación con los llamados datos especialmente protegidos. A ellos cabe añadir el impacto de la tecnología, los procesos de decisión y profiling, la biometría o el uso masivo de dispositivos optoelectrónicos. Asimismo se mantendrían las previsiones relativas a tratamientos en los que confluyen varios responsables públicos o privados en una plataforma o cuando actúan de modo horizontal en un determinado sector a través de aplicaciones comunes.

En tales casos los PIA evaluarían el origen, la naturaleza, la particularidad y la gravedad de los riesgos. El resultado de la evaluación debería repercutir en el establecimiento de medidas que aseguren el cumplimiento del Reglamento. Sin embargo, no sería obligatorio desarrollar estos procedimientos cuando los tratamientos se realicen por profesionales vinculados por el deber de secreto como en el caso de médicos, profesionales de la salud, o abogados, respecto de sus clientes.

Si el resultado del PIA acreditase dificultad para mitigar el riesgo teniendo en cuenta la tecnología disponible y los costes, debería consultarse a la autoridad de protección de datos (DPA) que juega un papel determinante en el control a posteriori de los riesgos, en la determinación de la necesidad de haber desarrollado un PIA y en la autorización de determinados tratamientos. Para finalizar, es importante subrayar que el Consejo apostaría por un deber de colaboración del encargado en el desarrollo de estos procedimientos a requerimiento del responsable y/o en procesos de consulta previa con la DPA.

La seguridad.

En materia de seguridad se mantendría la filosofía general de la Propuesta si bien restando poderes a la Comisión, tendencia que sucede en otros ámbitos de la futura norma. En cierto sentido la norma ganaría mayor claridad en su exposición de motivos al subrayar la necesidad de evaluar el riesgo de pérdida, destrucción, divulgación o alteración de datos personales, tanto ilícita como accidental, o el acceso no autorizado a los datos transmitidos, almacenados o en tratamiento que pudieran causar daños materiales o morales. Se completan estos objetivos con la referencia al desarrollo de una PIA de la que debe derivar la adopción de medidas concretas cuando de los tratamientos pueda derivar un riesgo alto para los derechos fundamentales.

La regulación propuesta por el Consejo se presenta como un tanto contradictoria. Puede afirmarse que desde el punto de vista de la definición de un marco general parece mucho mejor planteada que las versiones de Comisión y Parlamento, en la medida en que la enmarca como un proceso dinámico que depende de la relación funcional entre la tecnología disponible, los costes, la naturaleza, alcance, fines y contexto de los tratamientos en relación con la probabilidad y gravedad del riesgo para los derechos y libertades de las personas. Pero, en sentido contrario los objetivos específicos establecidos por la Cámara desaparecen.

Por otra parte, la versión del Consejo es particularmente precisa a la hora de identificar los supuestos en los que notificar una brecha de seguridad, ya que incluye riesgos para los derechos fundamentales, robo de identidad, fraude, pérdidas financieras, reidentificación, daños al honor, brechas en sistemas regidos por el deber de secreto profesional y casos que supongan graves daños económicos o sociales. Además la redacción apunta a un numerus clausus. Adicionalmente, se ampliaría el plazo de notificación a la DPA a 72 horas, eximiendo de ella cuando no se deba notificar al propio afectado. Respecto de este último, se exime de este deber cuando se apliquen medidas adecuadas a los datos personales afectados y en particular cuando los conviertan en ininteligibles a terceros no autorizados, -por ejemplo mediante encriptación-, cuando el responsable adopte medidas que aseguren que el riesgo no se materializará de nuevo, cuando el número de casos sea tan amplio que notificar individualmente suponga un esfuerzo desproporcionado en cuyo caso se sustituirá por una comunicación pública o medio similar, y cuando ello afecte de modo adverso a un interés público esencial.

Finalmente, la referencia a códigos de conducta y a los mecanismos de certificación del artículo 39 parece definir un ambiente flexible en la adopción de estrategias de seguridad que contrastaría con la rigidez de la normativa española.

 La figura del DPO

De versión en versión, el delegado de protección de datos ha ido adelgazando hasta prácticamente perder su perfil. En el planteamiento del Consejo esta figura sólo será obligatoria cuando así lo establezca la ley nacional o una norma de la Unión Europea. Por otra parte, pasaría de ser instrumento de garantía de cumplimiento a personal de soporte para éste, desapareciendo la obligación expresa de proveerle de medios. Por otra parte, en el marco de sus funciones se relajaría el deber de documentar su actividad, desparecerían sus funciones de control de cumplimiento normativo y en particular en relación con los procesos de diseño basado en la privacidad y desarrollo de los Privacy Impact Assessment.

Esta práctica desaparición del DPO, junto con la supresión del deber de inscripción apunta a un escenario patrio particularmente complicado. En España el deber de inscripción ha sido el principal motor de cumplimiento, si este desaparece deberemos confiar en que la cultura de privacidad haya calado lo suficiente como para mantener un nivel de cumplimiento adecuado.

Si bien nos hemos centrado en tres temas, por su directa relación con los objetivos e intereses de nuestros lectores, no van a ser los únicos elementos relevantes. Los problemas de determinación del organismo competente para la tramitación de autorizaciones o denuncias en el sistema de ventanilla única, así como la tramitación de recursos judiciales; la configuración final del régimen sancionador o la reducción de las cargas burocráticas, preocupan y mucho, a todos los sectores.

De alguna manera, el proceso decisorio de la Unión comporta que la Propuesta sea un cuerpo normativo que alberga distintas almas y voluntades. No se ha apostado por una norma de principios, pero tampoco se quiere burocratizar el sistema. No se impone el delegado de protección de datos pero las exigencias en documentación, PIA o seguridad hacen imposible un cumplimiento sin asistencia experta. Se pretende unificar la regulación y disponer de un sistema de ventanilla única cuando los ordenamientos procesales y administrativos pueden ser netamente diferentes.

La Propuesta de Reglamento nació de una necesidad normativa unificadora, se configuró como una apuesta de configuración de un modelo europeo de privacidad. La propuesta inicial en si misma era altamente garantista, pero el espíritu del Parlamento y la coincidencia en el tiempo del caso Snowden incrementaron el valor y la presión política. Ahora, de alguna manera llega el tiempo de la poda y quien sabe si del desacuerdo.

Europa continúa en uno de sus eternos debates en los que se eterniza la tramitación de una norma crucial no sólo para los derechos fundamentales, sino también para el futuro de la economía digital. Mientras, la Administración Obama, -con su propuesta de “Consumers Privacy Bill of Rights Act”-, apunta a un modelo basado en principios muy flexibles que proclama como objetivo básico promover la confianza de los individuos en que los datos personales estarán protegidos apropiadamente, pero con un apoyo declarado al libre flujo de la información como motor de promoción de un proceso de innovación continua y del crecimiento de la economía de internet.

[1] En concreto la principal aportación para este trabajo procede del documento «Council’s consolidated version of March 2015 – Statewatch», proporcionado por la organización State Watch en http://www.statewatch.org/news/2015/apr/eu-council-dp-reg-4column-2015.pdf.