Día Internacional de la Protección de Datos: expectativas en materia de privacidad

En colaboración con Jorge Camba Martín. Publicado en la Revista Latinoamericana de Protección de Datos, 28 de enero de 2015.

El 28 de enero se celebra una nueva edición del Día de la Protección de Datos, una celebración que actualmente, además de en Europa, se lleva a cabo en muchos países no pertenecientes a dicha región, y tiene cada vez edición un carácter más internacional.

Fecha conmemorativa

En 2006 el Comité de Ministros del Consejo de Europa estableció el 28 de enero como Día de la Protección de Datos en Europa, conmemorando el aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal (28 de enero de 1981).

El Convenio 108 nace con la finalidad de proteger a las personas contra las intromisiones en su vida privada, el uso incorrecto de sus datos personales, garantizando el derecho al honor, la intimidad y su privacidad.

El texto busca ampliar la protección de los derechos y las libertades de los ciudadanos, en una sociedad globalizada donde los datos y la información son tratados más allá de las fronteras. De sus principios se sustentan las normas de los diferentes países europeos, así como otros, que han adaptado sus normas internas para adherirse al Convenio, caso de Uruguay, Argentina, Canadá,  entre otros.

La celebración del Día de la Protección de Datos tiene como finalidad impulsar el conocimiento de los derechos y obligaciones en materia de protección de datos por parte de las personas y las entidades que tratan sus datos.

2015, un año crucial para la protección de datos personales

En un momento crucial para el desarrollo normativo en materia de protección de datos personales, ésta celebración adquiere una relevancia especial. No cabe duda de que 2015 será, sin duda, un año cargado de expectativas y novedades tanto a nivel europeo, como en los países de Iberoamérica.

En el plano legislativo, en Europa continua la larga andadura del controvertido Reglamento de protección de datos personales, comenzando el año como terminamos el anterior, con la vista en un horizonte cada vez más cercano y la esperanza de que vea la luz la esperada normativa.

A lo largo del presente año, previsiblemente se producirán importantes avances normativos en Iberoamérica. En este sentido, ya en el segundo semestre del año pasado era sometido a consulta pública el Anteproyecto de Ley de Protección de las Personas en el Tratamiento de sus Datos Personales en Chile, una norma que, de ser aprobada, derogaría las actuales Ley 19.628 y Ley 20.575 del ordenamiento chileno.

Por otro lado, el Instituto Federal de Acceso a la Información y Protección de Datos, presidido por Ximena Puente, aprobaba la Propuesta de Ley General de Protección de Datos Personales en posesión de sujetos obligados en México, que durante este año seguirá  su curso hasta su definitiva aprobación. Asimismo, Honduras se encuentra en la fase socialización y modificación de su Anteproyecto de Ley de Protección de Datos Personales y Acción Hábeas Data, una prioridad del Instituto de Acceso a la Información Pública con la finalidad de  desarrollar la garantía constitucional del habeas data y proteger la intimidad, el honor y la privacidad del pueblo catracho.

A los tres proyectos normativos identificados anteriormente, previsiblemente se unirán otros países como Ecuador que recientemente anunciaba el inicio de la tramitación de su Proyecto de Ley. Todo ello, sin perjuicio del desarrollo reglamentario y la aplicación efectiva de otras normas análogas en otros países de Centroamérica.

Por último y ya en el plano meramente intencional sería deseable que, durante el 2015, finalizaran satisfactoriamente las negociaciones entre Estados Unidos y la Unión Europea, tendentes a la generación de un nuevo marco regulador del sistema del Safe Harbor(Puerto Seguro).

Actualidad, nuevas tecnologías y nuevos modelos de negocio

Los diferentes acontecimientos en materia de ciberseguridad  que han ocupado las páginas en diferentes medios de comunicación , el anuncio realizado por el Presidente Obama sobre la necesidad de fortalecer el marco regulatorio estadounidense en materia de privacidad, la creciente necesidad de equilibrar privacidad y seguridad, unido a las nuevas formas de comunicación que permiten la interacción entre usuarios con independencia de su nacionalidad o del lugar en que se encuentren, el Big Data,  las redes sociales y la aparición de aplicaciones móviles, la geolocalización, el fenómeno de la m-health (mobile health), el tratamiento de datos biométricos, el internet de las cosas (IoT), códigos BIDI, y otras tecnologías, así como el tratamiento global de la información por parte de empresas e instituciones, son algunos de los indicadores que ponen de manifiesto la acuciante necesidad de establecer un marco normativo internacional que establezca un clima de seguridad jurídica en el tratamiento de  datos de carácter personal.

En este sentido, debe tenerse en cuenta que nuevos modelos de negocio, en los que la privacidad cobra un papel destacado, tales como la economía colaborativa o la innovación tecnológica que jugarán un papel de especial importancia durante este año (prueba de ello es la consolidación y proliferación de start-ups que recurren a la recogida y tratamiento de datos de carácter personal para la prestación de sus servicios a través de soluciones tecnológicas innovadoras) . Por ello, la información de los usuarios necesaria para verificar los servicios ofrecidos y quien los ofrece, la necesidad de llevar a cabo las transacciones entre los mismos, la confluencia de diferentes responsables del tratamiento y escenarios, el flujo de datos entre plataforma y usuarios, entre otros factores y circunstancias, hacen que deban perfilarse nuevos e innovadores procedimientos y criterios en materia de protección de datos que garanticen, entre otros, los principios de información, calidad, consentimiento, confidencialidad y seguridad.

No cabe duda de que la tecnología avanza a pasos agigantados, si hace poco nos familiarizábamos con las tecnologías wearables, comenzamos a hablar de earables,  eyeables, o incluso de implantable wearables. Estos nuevos dispositivos con gran capacidad para la recolección de datos, no sólo de consumo, tráfico o preferencias de sus usuarios, sino también de datos de carácter personal y de datos otros datos especialmente protegidos (como por ejemplo, datos de salud). La recolección masiva de datos y su interconexión entre las diferentes aplicaciones y/o dispositivos que el usuario utiliza, exigen nuevas soluciones en materia de privacidad.

Los avances tecnológicos y el auge del Internet of Things (IoT), hacen que la experiencia del usuario se encuentre en un proceso constante de cambio y mejora. Si bien un entorno interconectado  ofrece innumerables comodidades para la ciudadanía, el tratamiento del gran volumen de información generada conlleva claros retos en materia de seguridad y consentimiento informado. Sobre este particular, la elaboración de  Evaluaciones de Impacto en la Protección de los Datos Personales previas y la aplicación de los principios de privacidad desde el diseño y por defecto (privacy by design and privacy by default), se convertirán en procedimientos habituales que permitirán desarrollar dispositivos y/o servicios en consonancia con los principios que rigen el tratamiento de datos personales.

Por otro lado, la forma en que las personas y las empresas interactúan entre sí ha evolucionado, la multicanalidad, conlleva un tratamiento más cercano y mejorado de la experiencia de cliente. Cada vez más, los usuarios demandan soluciones y vías de contracto  rápidas y directas, por lo que con la implementación de diferentes canales y la unificación de la información generada, se consigue la total adaptación al medio usado por el usuario, eliminando las barreras y dando soluciones a las necesidades del usuario (contratación, información, dudas, quejas, reclamaciones, etc.). A fin de cuentas se trata de un cambio de modelo de comunicación y gestión de la información, no sólo a nivel organizativo y procedimental, que en determinados sectores quedó en 2014 como asignatura pendiente. Es por ello que la implementación de desarrollos, procedimientos y políticas dentro de las propias empresas será otro de los grandes retos de este año, sin olvidarnos del correspondiente tratamiento de los datos obtenidos y la adopción de garantías sobre los mismos.

Así, nos encontramos ante conceptos muy relacionados con el Big Data, tecnología que permite el análisis de grandes volúmenes de datos de diferentes fuentes de forma eficaz y rápida, y permitiendo, entre otras cuestiones, encontrar relaciones, elaborar perfiles, delimitar tendencias, predecir comportamientos, generar estudios de mercado o medir el grado de satisfacción o aceptación de un determinado producto. A este respecto, véanse las últimas innovaciones de Google que no dejan de sorprender a la ciudadanía con los resultados derivados de este tipo de tratamientos masivos de datos.

En definitiva, los datos continuarán siendo la moneda de la economía digital, constituyendo un gran activo para las empresas, por lo que en 2015, se deberá avanzar en el establecimiento de garantías para las personas, promoviendo el uso ético y responsable de los datos personales, buscando el equilibrio entre lo tecnológicamente posible y, lo social y jurídicamente aceptable. Así las cosas, deberá avanzarse en criterios que garanticen la transparencia, el consentimiento informado, la objeción al tratamiento, la inocuidad para el afectado, el principio de calidad de los datos y las responsabilidades de quienes efectúan este tipo de tratamientos.

En este sentido. todos los esfuerzos son necesarios, en aras a crear una mayor cultura de privacidad, tanto entre las entidades que tratan datos, como entre los ciudadanos. Un mayor conocimiento y una regulación más eficiente son claves para proteger la esfera más íntima de las personas. Sólo desde el compromiso de Estados, instituciones, empresas, y ciudadanos el derecho al honor, la intimidad y la privacidad puede ser salvaguardado en la era de Internet y las telecomunicaciones, donde la información es tratada en diferentes lugares con diferentes legislaciones en un corto espacio de tiempo.

Horizonte y retos en materia de privacidad

Resulta innegable que el derecho debe adaptarse a los nuevos tiempos y, sobre todo, a los nuevos avances tecnológicos. Es por ello que, durante este año, debe innovarse en la adopción de modelos y medidas revolucionarias, avanzando con antiguos debates aún pendientes de resolución, tales como es la obtención del consentimiento y el deber de información. Dos conceptos que, al igual que ha ido ocurriendo con el consentimiento y la información sobre el uso de cookies, deben adaptarse a la experiencia del usuario, avanzando en la expresividad, el lenguaje y el entendimiento fácil (privacy-friendly solutions), para que sea el usuario, el verdadero dueño y señor de su privacidad, disponiendo de toda la información necesaria que le permita consentir y legitimar el tratamiento de sus datos personales, equilibrando los intereses, derechos y obligaciones de usuarios y empresas en un sistema moderno, eficaz y transparente.

En conclusión, este año habrá que seguir avanzando y desarrollando conceptos como el privacy by design, el internet de las cosas, las Evaluaciones de Impacto, el desarrollo de  apps, el tratamiento de datos biométricos, el Fingerprinting y la geolocalización, la externalización de servicios de tecnología, o la necesaria evolución del modelo de protección de datos, dando un paso más y no quedándonos en la mera aplicación del tenor literal de la ley, automatizando su cumplimiento y fundamentándolo de modo exclusivo en la mera observación de una serie de obligaciones documentales. Debe avanzarse, en 2015, en la responsabilidad de las empresas, en la adopción de medidas eficaces de evaluación del impacto de determinados tratamientos y en  la gestión de crisis e incidencias. Así, junto al nivel de seguridad reconocido en nuestra normativa, debemos recordar que hay un nivel social de protección de datos, que no siempre se corresponde con el regulado, donde un determinado dato de nivel básico puede tener un interés vital para una persona concreta. Por ello, en 2015 debe profundizarse en la profesionalización y especialización de quienes dedican sus esfuerzos a la privacidad, en la formación y la educación de los usuarios sobre sus datos y derechos. Los principales ingredientes de esta receta están servidos, sin perjuicio de los que se vayan añadiendo según transcurran los meses, para que este año 2015 pueda consolidarse como el año de la privacidad.