‘Transparencia y protección de datos son dos conceptos que no tienen por qué encontrarse enfrentados’

Entrevista publicada en El Derecho el 30 de abril de 2015.

Entrevistamos a Daniel López Carballo sobre privacidad y protección de datos con motivo del premio que acaba de recibir de manos de la AEPD (Agencia Española de Protección de Datos) en la XVIII Edición de los Premios de Protección de Datos Personales como coordinador y coautor del estudio:«Protección de datos y habeas data:una visión desde Iberoamérica».

–  ¿Qué se siente al haber sido premiado por la AEPD en la XVIII Edición de los Premios de Protección de Datos Personales? Para un abogado especialista en privacidad ¿este premio supone el máximo reconocimiento a su labor?

Sin duda, que la propia Agencia Española de Protección de Datos reconozca el trabajo realizado es un motivo de orgullo y satisfacción, más teniendo en cuenta que es la primera vez que la propia Agencia va a editar en formato digital los Accésit de Investigación, por su trascendencia e importancia.

Este galardón tiene aún más relevancia teniendo en cuenta el prestigio internacional que tiene la propia Agencia, como referente, tanto en la aplicación del derecho, como en el avance y adaptación de la normativa a las nuevas realidades (ejemplo de ellos son sus diferentes Guías sobre evaluación de impacto, reutilización de la información, cookies, etc.). A este sentimiento se une un profundo agradecimiento al resto de autores del Estudio, a familiares, amigos y compañeros del despacho, de los que cada día sigo aprendiendo y me permiten seguir avanzado en el conocimiento y la práctica de esta rama del derecho.

Para todos los autores del Estudio, que he tenido el honor de coordinar, este premio es un impulso para seguir investigando, innovando y aportando nuestro granito de arena a la socialización y conocimiento de esta rama de derecho, tan necesaria y en ocasiones desconocida.

Internet ha cambiado la forma en que nos relacionamos (personal y empresarialmente), ha cambiado la forma en que transmitimos la información y en que los datos son tratados, por eso, solo desde un conocimiento global, pueden establecerse las garantías necesarias que aporten seguridad jurídica a la recolección y tratamiento de los datos personales. En este punto espero que la obra premiada consiga acercar este conocimiento a los ciudadanos, empresas e instituciones.

– Desde su conocimiento de los diferentes ordenamientos jurídicos iberoamericanos ¿cómo ve la situación normativa Iberoamericana en materia de protección de datos?

Iberoamérica avanza; a los países que cuentan actualmente con normativa específica en materia de protección de datos (Colombia, Perú, Costa Rica, México, Nicaragua, República Dominicana, Argentina, Uruguay o Chile), previsiblemente se unirán otros como Honduras, Brasil o Ecuador, que se encuentran tramitando (en diferentes fases) proyectos normativos.

En la mayor parte de las Constituciones Nacionales encontramos reconocida la garantía constitucional del Habeas Data, es decir el derecho que tienen las personas contra la información abusiva, inexacta o perjudicial para las personas, que  permite el acceso registros y ficheros de datos, públicos y privados, con la finalidad de adecuar, actualizar, rectificar, cancelar o mantener en reserva la información del ciudadano afectado. Una cuestión reconocida en la Declaración de Principios de la Comisión Interamericana de Derechos Humanos o por la propia Convención Americana.

Por último, debemos reconocer el esfuerzo de la propia Red Iberoamericana de Protección de Datos, la Instituciones Nacionales (IFAI, Autoridad Nacional de Perú, Superintendencia de Protección de Datos de Colombia, IAIP de Honduras, la Dirección de Protección de Datos de la Defensoría del Pueblo de la Ciudad Autónoma de Buenos Aires, la Agencia de Protección de los Datos de los Habitantes de Costa Rica, entre otros), así como la propia Organización de Estados Americanos que, recientemente a través del Comité Jurídico Interamericano, presentaba su Informe sobre Privacidad y Protección de Datos Personales para sentar las bases de futuras normas y seguir avanzando hacían una Ley Marco, en aras a que los sujetos titulares del dato logren el cuidado de su información en cuanto a la ‘recopilación, el uso, la retención y la divulgación ilícitos o innecesarios de datos personales’.

– Un empresario recientemente me comentaba que había tenido problemas al intentar crear una base de datos de altos cargos de la Administración para ofrecer este servicio a empresas de comunicación y marketing. En este sentido, ¿qué problemas plantea actualmente la LOPD en cuanto al acceso a la información pública relativa a la identificación de los altos cargos? Podría comentarnos la dificultad que implica el inciso ‘interés legítimo del interesado’ citado en el apartado 2 del artículo 6 de la LOPD y, además, ¿considera que existe contradicción entre lo preceptuado por la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, cuando regula el derecho de acceso a la información pública por parte de los ciudadanos (véase en su artículo 12 cuando establece que: ‘todas las personas tienen derecho a acceder a la información pública, en los términos previstos en el artículo 105.b) de la Constitución Española, desarrollados por esta Ley’) con las restricciones que a ese derecho al acceso a la información pública marca la LOPD?

La clave nos la aporta nuestra Constitución (ex artículo 105.b): ‘El acceso de los ciudadanos a los archivos y registros administrativos, salvo en lo que afecte a la seguridad y defensa del Estado, la averiguación de los delitos y la intimidad de las personas’ estableciendo los límites aplicables.

Transparencia y protección de datos son dos conceptos que no tienen por qué encontrarse enfrentados, de hecho en un muchos países encontramos Organismos públicos con competencia en ambas materias (véase el ejemplo del IFAI en México).

En relación al tratamiento de los datos referenciados debemos atender a la finalidad del mismo, la Ley persigue incrementar y reforzar la transparencia en la actividad pública, reconocer y garantizar el acceso a la información y establecer las obligaciones que deben cumplir los responsables públicos así como las consecuencias jurídicas derivadas de su incumplimiento, dentro del concepto del buen gobierno.

En este sentido el artículo 14 de la Ley de Transparencia establece los límites en relación al acceso a la información y el artículo 15 establece las cuestiones a tener en cuenta en materia de protección de datos, en concreto introduce el concepto de ‘ponderación suficientemente razonada del interés público en la divulgación de la información y los derechos de los afectados cuyos datos aparezcan en la información solicitada, en particular su derecho fundamental a la protección de datos de carácter personal’.

Esta ponderación en relación con la protección de los datos personales, la encontramos en el desarrollo de otros derechos como la libertad de información. Entre las cuestiones que deberemos valorar, como ya anticipábamos, es la finalidad del tratamiento de los datos por parte de quien accede a los mismos, y si en este sentido, la captación de datos de altos cargos de la Administración para ofrecer este servicio a empresas de comunicación y marketing, se encuentra dentro del espíritu de la norma, fundado en un interés legítimo, una cuestión que no es baladí ya que podría abrir la puerta a que la información sobre sus ingresos sea tratada comercialmente por determinadas entidades financieras que quisieran realizar acciones de marketing sobre ellos. Debe además valorarse si las fuentes de las que es tomada esa información tendrían esa consideración de fuente accesible al público conforme a los supuestos tasados por la propia LOPD.

Por último, la propia Ley 19/2013, de 9 e diciembre, especifica que ‘la normativa de protección de datos personales será de aplicación al tratamiento posterior de los obtenidos a través del ejercicio del derecho de acceso‘. Debemos tener en cuenta que una cosa es que la información sea pública y otra bien distinta que pueda realizarse un tratamiento sobre ella que en todo caso deberá ajustarse al deber de información (ex artículo 5) y a la obtención del consentimiento conforme (ex artículo 6) a la LOPD.

– Desde la perspectiva de la protección jurídica de la privacidad y el habeas data ¿podría señalarnos cuáles son los principales retos jurídicos que deparará la conjunción Internet de las cosas/Big Data?

El fenómeno creciente de Internet de las cosas (Internet of things o IoT) se encuentra ligado a la integración de las últimas tecnologías (Cloud Copmputing o Big Data, entre otras) en el almacenamiento y tratamiento de información. Dicho tratamiento implica que resulta necesario recabar, tratar, almacenar, combinar, analizar y transferir gran cantidad datos e información que, en último término, pueden hacer referencia a una persona, identificada o identificable (a mayor información sobre una persona, más probabilidades de identificarla).

En este contexto debemos tener en cuenta la opinión del propio Grupo del Artículo 29 (Opinion 8/2014 on the on Recent Developments on the Internet of Things), en que define los principales retos a los que debería hacerse frente, tales como la pérdida de control sobre la información personal, la necesidad de regular la prestación servicios tecnológicos asociados a estos fenómenos por parte de terceros, las limitaciones a la posibilidad de que el usuario del servicio no resulte identificado o identificable, la posible monitorización intrusiva y profiling, así como la calidad del consentimiento del afectado y las medidas de seguridad encaminadas a evitar la alteración, pérdida, tratamiento o acceso no autorizado de la información personal.

Las empresas deben avanzar en la innovación en materia de privacidad, en la adopción de medidas que garanticen un correcto uso de la información generada, en la clarificación del deber de información y el consentimiento detallando qué información va a ser tratada, con qué finalidad y por quién. La elaboración de Evaluaciones de Impacto en la Protección de los Datos Personales previas, la aplicación de los principios de Privacidad desde el diseño y por defecto (Privacy by design y Privacy by default), así como la implementación de sistemas que permitan la obtención del consentimiento informado a través del propio dispositivo tales como los denominados Privacy Proxies y las Sticky Policies, son parte de los retos que deberán afrontarse, junto con la definición del propio sistema de tratamiento, posibles transferencias internacionales de datos y cesiones que pudieran producirse, así como la anonimización efectiva de los datos o la reutilización de la información generada. El círculo quedaría cerrado con el principio de la Accountability mediante el cual, no sólo se deben adoptar políticas e implantar medidas técnicas y organizativas adecuadas y verificables, sino que además éstas deben ser documentadas, posibilitando su demostración.

Por último, debemos recordar que junto al nivel de seguridad reconocido por nuestra normativa de protección de datos, existe un nivel social, no recogido en la norma, por el que el impacto de un dato de nivel básico puede ser mayor que el de otro nivel de seguridad, así como la repercusión que el tratamiento del mismo puede tener para el propio titular de los datos o la sociedad.

¿Qué opina sobre el que se ha dado en llamar ‘Derecho al Olvido’ y como jurista experto en privacidad, cuál es su postura ante este planteamiento de derecho a la autodeterminación informativa con respecto a nuestra huella digital en Internet?

Nuestra normativa reconoce a las personas el derecho de acceder a los datos, rectificarlos, cancelarlos u oponerse al tratamiento de los mismos, por ello nos encontramos ante un derecho ya existente. A mayor abundamiento, el principio de calidad de los datos, reconocido en la LOPD, establece que los datos deberán ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido, que no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos, reconociendo al Responsable del Fichero la capacidad de rectificar o cancelar los datos de oficio si resultasen inexactos, en todo o en parte, o incompletos.

Si bien es cierto que en determinados casos podemos encontrarnos con la confluencia de diferentes derechos como son la protección de datos y el derecho a la información, una cuestión tratada por el Tribunal de Justicia de la Unión Europea (Sentencia de 13 de mayo de 2014 del TJUE, Asunto C-131/2012) y el propio Grupo de Trabajo del Artículo 29, estableciéndose unos criterios de ponderación para la resolución de posibles controversias, y evitar que sea un derecho invocado en casos en que no procediera por la trascendencia del hecho noticiable o de la información aparecida.

El Derecho al Olvido, entiendo, soluciona una parte del problema, que los motores de búsqueda eliminen resultados de las consultas, pero lo cierto es que la información sigue estando en el sitio web donde fue facilitada, por lo que esta medida sólo dificultaría el acceso a la misma, pero no lo imposibilitaría del todo. Por otro lado, nos encontramos con la problemática relativa a la aplicabilidad de la citada Sentencia y el acceso a la información a través de otros buscadores o localizaciones.

El derecho a la protección de datos, debe ser entendido como un derecho fundamental, erga omnes, que precisa, cada vez más, de instrumentos basados en la cooperación internacional y en la unificación de criterios normativos para conseguir su plena efectividad.

– ¿Compartir en redes sociales una foto que hemos hecho en la calle a un vehículo mal aparcado, en la que sale la matrícula de dicho vehículo, vulnera la LOPD?

Si bien la Agencia Española de Protección de Datos tradicionalmente ha entendido la matrícula como un dato de carácter personal (Informe 425/2006 sobre Matrículas de vehículos y concepto de dato de carácter personal), la Audiencia Nacional, en su Sentencia de 26 de diciembre de 2013, entiende que la matrícula no tendría esa consideración de dato personal, ‘pues en definitiva un número o placa de matrícula, si bien identifica un vehículo, en ningún caso identifica una persona, ya que el conductor del vehículo ni siquiera tiene porqué ser el titular del mismo, es decir, aquel a cuyo nombre figura dicho vehículo en la Dirección General de Tráfico’. 

En base al criterio de la Audiencia Nacional, en el caso planteado en el que fotografiamos la matrícula de un vehículo aparcado en la vía pública, al no tener la consideración de dato de carácter personal, no podría entenderse vulnerada la LOPD.

– Hace unos días me mostraron las imágenes captadas por el servicio gratuito de Google Maps, Street View, de un familiar ya fallecido. ¿Qué establece la LOPD y resto de nuestro ordenamiento jurídico para la gestión y salvaguarda de los derechos en materia de privacidad de las personas ya fallecidas?

En materia de protección de datos debemos tener en cuenta que el derecho fundamental, entendido como derecho personalísimo a decidir sobre sobre el tratamiento de los datos, íntimamente ligado al ejercicio de derechos de acceso, rectificación, cancelación y oposición, se extingue con el fallecimiento de la persona (titular de sus datos), por lo que entiendo que el tratamiento de los datos de personas fallecidas no se encontraría comprendido en el ámbito de aplicación de la LOPD. En el mismo sentido, nuestro Código Civil establece que ‘la personalidad civil se extingue por la muerte de las personas’.

En relación a la esfera personal de los derechos a la propia imagen e intimidad, en tanto la personalidad se extingue con la muerte, en principio no serían reclamables por los familiares. No obstante, en lo que se refiere al derecho a la intimidad, en caso de que existiera alguna circunstancia que afectará a la esfera familiar de la persona en cuestión y, por tanto, a la intimidad de los herederos, estos sí podrían accionar por la vulneración de su propio derecho a la intimidad familiar.

En cuanto al aspecto patrimonial del derecho a la propia imagen, esto es, la posibilidad de los herederos de participar en los beneficios por la explotación de la imagen de la persona fallecida, al encontrarnos ante un servicio gratuito (al no haber un lucro directo por la utilización de la imagen de la persona fallecida) y ser el  tratamiento de la imagen en todo caso incidental o secundario, las probabilidades de que prosperara una acción de esta naturaleza serían mínimas.

No obstante, en este caso, en aras a una mayor protección de la privacidad de las personas, el propio Google ha establecido la opción de ‘informar de un error’ en el servicio Google Maps, Street View, mediante la cual podemos solicitar que se difumine una cara u otra información.  La utilización de esta opción sería la solución más rápida y eficiente para conseguir la anonimización de la imagen de la persona fallecida.

– ¿Qué opinión le merece la cuestión de la admisibilidad en Derecho de la renuncia a la privacidad por defecto en la instalación de las apps, cuando decidimos aceptar la descarga de las mismas en nuestros smartphones o tablets?

Invertir en privacidad debe ser un valor para las propias empresas, un concepto que redunda en la generación de confianza de los usuarios en relación al tratamiento de su información personal y que a la larga acaba influyendo positivamente en los beneficios obtenidos.

Ante la aparición de nuevos sistemas de tratamiento (wearables, smartphones o tablets), junto con la aparición de nuevas categorías de datos (geolocalización o datos biométricos, entre otros), implica que deben diseñarse desde el inicio sistemas que permitan proteger el derecho a la privacidad y la intimidad de las personas. Con la adopción de estas medidas (Privacy by design), junto con la evaluación de riesgo en el momento del diseño de los sistemas, evitamos brechas de seguridad, vulneraciones o tratamientos no autorizados de la información.

En materia de protección de datos existen tres principios fundamentales: deber de información, consentimiento y finalidad de tratamiento. En este sentido la información que se facilita debe de ser clara, entendible por el propio usuario (tendencia avalada por el proyecto de Reglamento Europeo), que debe ser en todo momento, como dueño de sus datos, quien autorice conscientemente en los tratamientos de datos.

El deber de información no puede constituirse, únicamente, en un descargo de responsabilidad por parte del Responsable del Fichero. La sencillez y transparencia no tienen que conllevar que el usuario no se instale la app, al contrario puede implicar que le genere una mayor confianza conocer que sus datos van a ser protegidos, que sólo serán cedidos a quién él autorice, y que sólo serán tratados con las finalidades acordadas.

– Por último, en relación a la aparición de nuevos modelos de negocio como la economía colaborativa ¿qué retos cree que pueden afrontarse en materia de protección de datos? 

El auge de la llamada economía colaborativa ha puesto de manifiesto que deben redefinirse determinadas reglas que hasta ahora se estaban aplicando, si entendemos este nuevo modelo como el ‘intercambio entre particulares de bienes y servicios que permanecían ociosos o infrautilizados a cambio de una compensación pactada entre las partes’ (definición facilitada por la Comisión Nacional de los Mercados y la Competencia), a priori, este concepto parece implicar que deben redefinirse determinadas figuras en relación con el tratamiento de datos y la propia LOPD. En primer lugar, si bien el intercambio de dichos bienes y servicios no tiene por qué implicar una actividad profesional, si parece que el tratamiento de los datos entre los particulares puede quedar fuera de la excepción doméstica de aplicación de la LOPD.

Esta cuestión puede afectar a la forma en que entendemos el Responsable del Fichero, pudiendo existir diferentes Responsables conforme al tipo de información que traten y la capacidad de decisión sobre la misma, las medidas de seguridad exigibles o la responsabilidad exigible a cada parte en el tratamiento de los datos.

Si algo se ha puesto de manifiesto con ese nuevo modelo, las nuevas formas de explotar los datos (Big Data), los nuevos sistemas de información y tipologías de datos, así como la propia localización de los Responsables del Fichero y las trasferencias de datos, entre otras cuestiones, es que el ordenamiento no puede quedarse estancado y que debe adaptarse a los nuevos tiempos, aportando seguridad jurídica a los propios ciudadanos, empresas e instituciones. Tal y como ocurriera con la LORTAD o el anterior Reglamento, derecho y tecnología deben ir de la mano, avanzar hacia conceptos como la privacidad desde el diseño, la elaboración de estudios de impacto, la responsabilidad y trasparencia sobre el tratamiento de los datos, fortaleciendo el sistema sobre la base del deber de información, el consentimiento, la finalidad y el respeto de los derechos de las personas sobre sus propios datos.

Enlace permanente a este artículo: https://dlcarballo.com/2015/04/30/transparencia-y-proteccion-de-datos-son-dos-conceptos-que-no-tienen-por-que-encontrarse-enfrentados/