La aplicación de las normas de protección de datos personales. Lecciones aprendidas para los profesionales de la privacidad.

En los últimos años se ha producido un intenso despliegue y desarrollo de la legislación sobre protección de datos personales en los países de América Latina. Uruguay, Colombia o México son algunos de los estados que se han provisto de normas. En todos ellos se ha producido en el periodo legislativo una tensión, por otro lado natural, entre el modelo norteamericano, o si se prefiere Asia-Pacífico, y el propio del Consejo de Europa y, con mayor precisión, el de la Unión Europea.

La progresiva obtención de la condición de país seguro demuestra la pujanza de la influencia europea quiero pensar que no sólo por razones puramente económicas sino también de política legislativa.  Esta apuesta supone varios efectos cuyas consecuencias para el desarrollo e implantación de las normas sobre privacidad resultan particularmente relevantes:

● Frente a modelos en los que la tutela administrativa del derecho fundamental a la protección de datos se basa en la garantía de los derechos del consumidor, o a modelos judicializantes de habeas data, el modelo europeo apuesta por autoridades de protección de datos personales  con una intensa capacidad de enforcement.

● El derecho fundamental a la protección de datos es un derecho instrumental que se proyecta sobre el conjunto del ordenamiento jurídico. Por tanto, la norma nunca agota su aplicación mediante una mecánica solipsista. El silogismo básico de identificar la presencia de datos personales, de tratamientos o ficheros, y proceder a una implementación formal de la Ley simplemente constituye una soberana estupidez.  Es fundamental conectar la legislación sobre privacidad con el conjunto del Ordenamiento Jurídico Nacional desde un conocimiento profundo de este. El desconocimiento de esa regla elemental ha conducido a sonados fracasos como el relativo al concepto de interés legítimo.

● El derecho fundamental a la protección de datos no es un derecho reactivo, es un derecho de naturaleza prestacional, es un derecho propositivo, es un derecho proactivo. Por ello, cuando significa mera formalidad la palabra “implementación” debe ser desacralizada si no directamente erradicada de nuestro vocabulario.

Aplicar la Ley es fácil!!!! Con tres simples clics, conviértase en experto.

Tras una etapa de inseguridad inicial, y de la mano de la necesidad urgente de las empresas por adaptarse a las exigencias legales en España hemos podido asistir al nacimiento de un “LOPD-fácil” que se presenta como oportunidad de negocio.  La existencia de un programa de autodeclaración de ficheros y las necesidades asociadas a la seguridad ha facilitado la proliferación de recursos informáticos vinculados al cumplimiento normativo.

 En muchos casos la estrategia comercial de distribución ha sido sencilla: con nuestro producto Vd. sólo necesita conocer dónde hacer clic. Ello comporta un modelo de asistencia con un riesgo gravísimo para quien la contrate y ello con independencia de  quien la contrate porque lo relevante no es el software sino el conocimiento de quien lo maneja.

¿El uso de software de contabilidad le convierte a Vd. en economista? ¿Es posible que Vd. crea que por usar Analytics y dos redes sociales se ha convertido en social media manager? Si Vd. respondió no a estas preguntas habrá comprendido que lo relevante es quién se encuentra detrás, cuál es su conocimiento sobre la materia y cómo de funcionales son las soluciones que le ofrece. Las máquinas, al menos por ahora carecen de inteligencia emocional y son incapaces de manejar variables tanto subjetivas, como de negocio, como aquellas relativas a Ordenamientos complejos caracterizados por la superproducción normativa. Pues bien, si detrás de un software sólo existe una persona que sabe manejar el programa mecánicamente las soluciones que le ofrezca serán planas, sin alma.

La ley en un archivador

El resultado práctico de esta terrible combinación, -un software que promete la excelencia servido por un profesional sin las debidas capacidades-, será un cumplimiento formal del Derecho sin garantía alguna. En España no es nada infrecuente, más bien al contrario, descubrir que el cumplimiento de la norma nacional es referido a un archivador. Así, cuando por ejemplo un auditor de calidad requiere acreditar que se cumple la norma se busca “el archivador” que, solitario y cubierto de polvo esperaba como el arpa de Bécquer la voz que le pidiese levantarse y andar. Pero desde que se recibió tan eficaz asesoramiento sólo se habrá hecho una cosa en protección de datos: nada.

El miedo como argumento

Existe una combinación adicional, de la mano de los registros públicos de ficheros, que es necesario referir: la amenaza del enforcement. “Querido amigo ya vimos que Vd. no registró sus ficheros, que no incluyó una informativa y claro… ¿sabe Vd. que se expone a multas de …? Es más, nostros mismos nos vemos en la obligación de denunciar cuando…».

Sí, nuestro prestigio y formación es nulo, es el propio de un aventurero, pero tenemos la herramienta existe un método muy sencillo que consiste en verificar si la organización cumple y amenazarla sutil o groseramente con todos los males del infierno. Tomen buena nota reguladores y autoridades responsables del orden público de los países emergentes, o cortan esas prácticas de raíz o les garantizo que su tarea de garantía del dato personal despertará un odio enfermizo en los responsables del tratamiento.

El Data Protection Officer

No es por tanto en absoluto anecdótico, sino muy atinado, que la Propuesta de Reglamento General de Protección de Datos de la Comisión se refiera al delegado de protección de datos como a una persona altamente cualificada con un profundo conocimiento de la legalidad. En la misma línea apuntan conceptos como el de responsabilidad (accountability), protección de datos basada en el diseño y/o por defecto, o la evaluación de impacto en el derecho fundamental a la protección de datos.

La mayor lección aprendida en una larga trayectoria reside en la importancia en la calidad del profesional que nos ayude en protección de datos personales. Desconfíe del milagro tecnológico de la solución robotizada sin más, desconfíe de quien le infunda temor, y apueste por profesionales de la privacidad formados, con un conocimiento sólido de su entorno de negocio que sean capaces de ofrecerle soluciones personales, eficientes, productivas y respetuosas con el Derecho.

Véase también:

La necesidad de incorporar principios morales de funcionamiento en el sector TIC

Protección de datos: un ejercicio de responsabilidad.