Publicado en Confilegal, 21 de diciembre de 2015.
Tras un año marcado por diferentes acontecimientos en el ámbito de la protección de datos personales, casi en el tiempo de descuento, conocíamos el acuerdo que, tras más de tres años y medio, desbloqueaba la Norma que, si no hay sorpresas de última hora, regulará el tratamiento de datos personales en Europa durante los próximos años.
Las vulneraciones de datos personales, casos como Ashley Madison, las revelaciones de Snowden, o las diferentes Sentencias que hemos ido conociendo (anteriormente Derecho al Olvido, y más recientemente sobre el Safe Harbor), junto con acontecimientos como los atentados de Paris, ponen de manifiesto la necesidad de dotar de mayor protección los derechos de las personas sobre su información. Un aspecto que debe completarse con el reconocimiento de una madurez de las empresas e instituciones, avanzando en un sistema de protección efectiva de este derecho fundamental.
Un Derecho que encuentra su protección, entre otros, en el artículo 8 de la Carta de los Derechos Fundamentales de la Unión Europea, además de las diferentes Constituciones nacionales (en el caso de España, nuestra Carta Magna garantiza este derecho en su artículo 18).
El imparable avance tecnológico, la aparición de nuevos modelos de negocio y la globalización de la información, evidenciaban la necesidad de innovar también en el ámbito jurídico. Conceptos como la propia interpretación de qué es un dato personal, necesitaban una visión desde la óptica del siglo XXI. Del nombre y apellidos hemos evolucionado a otro tipo de información que, actualmente, posibilitan la plena identificación de las personas. De igual manera, el tratamiento masivo de datos, implica en muchas ocasiones que la anonimización de los datos sea una tarea prácticamente imposible.
Un paso decidido por parte de Europa de adecuarse a una nueva realidad, de aportar seguridad jurídica y transparencia en el tratamiento de los datos personales, dando soluciones a las cuestiones que, tanto los propios ciudadanos y empresas, como la actualidad, reclamaban.
El pasado 15 de diciembre, el Consejo, Parlamento y Comisión llegaban a un acuerdo, que posteriormente sería refrendado por la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (48 votos a favor, 4 en contra y 4 abstenciones), dando luz verde a la aprobación de un Reglamento que actualizará las reglas de juego marcadas por la Directiva de protección de datos de 1995.
Así las cosas, tras años de interminables debates y trámites, propuestas y modificaciones, todo hace pensar que vemos la luz al final del túnel, y que aquella norma, en la que muchos habían perdido la fe de conocer, regulara la forma en que obtenemos y tratamos los datos de las personas.
Pero ¿qué aporta el futuro Reglamento? ¿En qué se modifican las reglas de juego actuales para ciudadanos y empresas? Como punto de partida para entender la futura norma, debemos considerar como princípiales beneficiarios a las propias personas, que ven reforzados los derechos ya existentes, ampliándose los reconocidos con la incorporación de otros tales como el renombrado derecho al olvido o el derecho a la portabilidad de los datos (entendido como aquel que tienen las personas a transferir de una forma más fácil sus datos personales entre proveedores de servicios).
El refuerzo del consentimiento y el deber de información, dos conceptos fundamentales para garantizar este derecho fundamental. El deber de información debe basarse en información clara y entendible, algo que ya ponía de relieve la propia Agencia Española de Protección en relación con la información facilitada sobre la instalación y utilización de cookies en entornos web.
En este sentido, las empresas no podrán compartir los datos personales sin la autorización de los usuarios, quienes deberán dar su consentimiento explícito para llevar a cabo estos intercambios datos.
De igual manera que a las empresas se les reconoce una mayoría de edad en el tratamiento de datos personales, dando un paso más en la regulación y aseguramiento de los datos personales, así como en la adopción de garantías, el texto reconoce una madurez a las personas sobre el tratamiento de sus datos. Un concepto fundamental en un momento en el que los datos personales se consolidan como activo empresarial y motor económico, más en el desarrollo de la economía digital. En este sentido las personas deben ser libres para manifestar su consentimiento sobre el uso que de sus datos van a hacer, entre otros, empresas e instituciones, dándoles la capacidad de decidir sobre este tratamiento de datos.
Este aspecto no tiene que limitar el desarrollo económico, o imposibilitar la actividad empresarial. Al contrario, tal y como venimos observando en diferentes mercados y modelos de negocio, la generación de confianza en los usuarios, la adopción de medidas que garanticen la seguridad y confidencialidad de los datos personales, o la claridad en la información que se les facilita, genera una mayor fidelización de los clientes, y la llegada a un público mayor.
La inversión en derechos, no debe ser entendida como un gasto a perdida, difícilmente recuperable, si no como un activo empresarial. Un concepto que se une a la minimización del riesgo de sanciones, un aspecto que veníamos contemplando en las diferentes resoluciones de la Agencia Española de Protección de Datos, en los que el consentimiento para el tratamiento de los datos se erige como uno de los incumplimientos más destacados.
En la actualidad la ausencia de información, conlleva que el ciudadano desconoce a quien le está facilitando realmente sus datos, con que finalidades van a ser tratados, por quién, o ante quien ejercitar sus derechos.
La próxima norma reconoce, así mismo, el derecho de las personas a conocer sobre la seguridad de sus datos, es decir, como indicaba la propia Comisión Europea en su nota de prensa, “las empresas y organizaciones deberán informar rápidamente a las autoridades nacionales de control sobre las violaciones graves en materia de datos, para que los interesados puedan tomar las medidas apropiadas”.
Una mayor protección de los menores de edad, aunque en este punto será potestad de cada estado que deberá fijar la edad límite entre 13 y 16 años, exigiéndose la autorización de padres o tutores para poder utilizar servicios telemáticos, debiendo establecerse mecanismos para la verificación de la edad real de cada usuario. Una preocupación que hoy es una realidad. Si bien nos encontramos ante nuevas generaciones, denominadas “nativos digitales”, que se familiarizan con la tecnología en cortas edades, es necesario que junto con el conocimiento tecnológico, se avance en la formación y educación de los menores respecto del tratamiento de sus datos personales, las implicaciones de subir o compartir informaciones o fotografías en redes sociales, y como, junto con una correcta configuración de la privacidad, puede aumentarse el control sobre los datos.
El derecho a la protección de los datos personales es un derecho que se encuentra íntimamente ligado a otros, tales como el derecho al honor o la intimidad personal y familiar. En este punto diferentes noticias han puesto de manifiesto que las instituciones deben actuar en la defensa de los menores, en este sentido nos encontramos en el ámbito internacional, tristemente, fenómenos que llenan las redes sociales de fotografías de menores, que desconocen la difusión que de su información se está realizando y las finalidades con las que la misma está siendo usada.
Es importante que, para una plena efectividad, estas medidas se completen con un esfuerzo educativo, de formación y concienciación, tanto por las propias Instituciones (sírvase de ejemplo iniciativas que se están llevando a cabo en países iberoamericanos como Argentina o Colombia).
¿Cómo afectará la nueva norma a las empresas? El texto acordado desarrolla una serie de obligaciones generales que deberán cumplir los responsables de ficheros y aquellos prestadores de servicios que traten datos personales en nombre de ellos.
La futura norma viene a simplificar determinados trámites, hasta ahora las empresas debían acudir a las diferentes normativas nacionales de los países para poder llevar a cabo un tratamiento de datos. Una cuestión que en ocasiones imponían cargas administrativas, interpretaciones de la normativa u obligaciones diferenciadas. Por ejemplo en España debía proceder a inscribir todos sus ficheros, sin embargo en Portugal parte de los mismo se encontraban exceptuados de este trámite administrativo, por otro lado el Reglamento español detallaba las medidas de seguridad atendiendo al nivel de protección aplicable, mientras que el país vecino en su Ley, únicamente enunciaba la obligación de garantizar la seguridad, integridad y confidencialidad de los datos; aspectos que se hacen latentes del análisis de otras normas como la inglesa, italiana, francesa o alemana, entre otras. Una medida que sin duda facilitará y clarificará la actividad empresarial en el seno de la Unión Europea.
En este sentido se contempla la eliminación de determinados trámites de notificación a las autoridades de control, una formalidad que la Comisión Europea, cuantifica como un coste para las empresas de 130 millones euros anuales para las empresas.
En relación con la interlocución con las autoridades de control, se avanza en el concepto de la ventanilla única, las empresas tendrán como interlocutora a una sola autoridad de control. Un aspecto que la propia Comisión Europea cuantifica en un ahorro estimado de 2.300 millones de euros al año. Se confirma la obligación existente de que los Estados cuenten con una autoridad nacional de control independiente. Todo ello encaminado al establecimiento de mecanismos que faciliten una aplicación coherente de la normativa en toda la Unión Europea.
Se avanza en la idea enfoque basado en el riesgo, es decir, la normativa no obligará a una solución uniforme, tal y como venía ocurriendo en diferentes países, sino que éstas deberán adaptarse a los respectivos riesgos, es decir, implementando medidas conforme al riesgo que implican las operaciones de tratamiento de datos que realizan.
Así las cosas, la normativa establecerá que “las garantías de protección de datos se incorporen en los productos y servicios desde sus primeras fases de desarrollo”, avanzando en conceptos como “privacy by design”, evaluaciones de impacto o “accountability”. Debiendo implementarse técnicas respetuosas de la intimidad, todo ello en aras a beneficiar y permitir la innovación tecnológica y empresarial respetuosa con la intimidad de las personas. Debe por tanto avanzarse en la idea de la innovación jurídica como complemento del avance tecnológico y empresarial.
En un momento en que las transferencias internacionales de datos llenan páginas en los medios, y provocan el desvelo de las empresas, que han de proceder a regularizar aquellas derivadas de la supresión del Safe Harbor, en que el propio Grupo de Trabajo del Artículo 29 ha solicitado que se prologue el paraguas que el Safe Harbor hasta que se pueda aportar nuevos mecanismos jurídicos que regulen el flujo de datos con Estados Unidos, el próximo Reglamento, aborda las transferencias a terceros países, que podrán llevarse a cabo cuando se cumplan una serie de condiciones y garantías, existiendo un nivel adecuado de protección. Así las decisiones deberán ser revisadas, al menos cada cuatro años, permaneciendo las actuales vigentes hasta su modificación, sustitución o derogada.
En este punto, debería avanzarse en la implementación de nuevos mecanismos de control y salvaguarda del derecho de las personas. Junto con las preceptivas autorizaciones o reconocimientos que se realicen desde la Unión Europea o las autoridades de control, debería existir un feedback por parte de las autoridades nacionales de aquellos países donde el prestador de servicios, por ejemplo, trate los datos personales.
El Reglamento avanza en el establecimiento de medidas para aumentar la responsabilidad y la rendición de cuentas de los responsables de ficheros, en este sentido, se establece la obligación de notificar determinadas violaciones de datos personales, y la designación de un Data Protection Officer (el renombrado y tan esperado DPO) para las administraciones públicas y, en determinados casos, en el ámbito de las empresas y organizaciones privadas, por ejemplo aquellas que traten datos sensibles, que realicen técnicas de segmentación o profilling, lleven a cabo una monitorización periódica y sistemática de los titulares de los datos a gran escala, entre otros. Una medida que conlleva un mayor compromiso por parte de estos actores en el tratamiento de los datos personales, y el establecimiento de mayores controles y garantías en el ámbito interno de las mismas, así como una mayor profesionalización y especialización de los profesionales que ejercen en el ámbito de la protección de datos.
El texto también prevé que cuando las solicitudes de ejercicio del derecho de acceso por las personas sean manifiestamente infundadas o excesivas, podrá establecerse una tasa para otorgar dicho acceso.
El régimen sancionador también ocupa un papel importante, pudiendo enfrentarse las empresas a multas que podrían alcanzar los 20 millones de euros o el 4% de su volumen de negocios anual global, abriéndose la puerta, además, al derecho a indemnización.
El paquete normativo propuesto se completa con una “Directiva sobre protección de datos a efectos policiales y judiciales garantiza que los datos de víctimas, testigos y sospechosos de delitos estén debidamente protegidos en el marco de una investigación o de medidas de aplicación de la ley. Al mismo tiempo, unas leyes más armonizadas facilitarán también la cooperación transfronteriza de la policía o de las fiscalías para luchar más eficazmente contra la delincuencia y el terrorismo en Europa”, tal y como informa la propia Comisión.
Habrá que esperar a que el texto final sea formalmente adoptado por el Parlamento Europeo y el Consejo a principios de 2016, según fuentes oficiales marzo abril del próximo año. Una vez aprobado la nueva normativa que regulará el tratamiento de datos personales en Europa será aplicable dos años después.
A nadie escapa el calado de la próxima normativa, el cambio que deben acometer empresas y administración, y la necesidad de adoptar mecanismos y procedimientos adaptados a la misma. El avance tecnológico, como decíamos, debe completarse con el avance jurídico, con la profesionalización y especialización de aquellos que ejercen en este ámbito del derecho, con la implementación de soluciones que pongan en valor el tratamiento respetuoso de los datos personales, desde la creencia de que esta protección debe ser un valor diferencial, capacidad de generar beneficios. Protección, respeto, transparencia y seguridad, como pilares de un nuevo modelo de mercado digital, de una nueva economía y una sociedad del siglo XXI.