Entrevista en El Derecho, 8 de febrero de 2021.
Entrevistamos a Daniel López Carballo, Socio del Área de IT, Privacidad y Protección de Datos de ÉCIJA, con ocasión de la reciente celebración de la Privacy Week organizada por ÉCIJA y la Fundación PRIDAT.
1.- Daniel, para todos aquellos de nuestros lectores que aún no conocen la Fundación PRIDAT ¿podrías presentárnosla e informarnos quiénes la componen y cuáles son sus fines?
La Fundación Privacidad y Datos (PRIDAT), nace en el seno de nuestra oficina en Costa Rica, como organización sin fines de lucro, con una misión muy definida, la difusión, defensa y fortalecimiento de los derechos a la vida privada, la intimidad y la protección de datos personales como derechos fundamentales de todas las personas.
Dentro del plan de acción en el que se está trabajando, se abordan diferentes líneas de actuación, como la promoción de la aprobación de normas dotando de más seguridad jurídica a ciudadanos, empresas y administraciones (e.g. la aprobación del Proyecto de Ley No. 22063 de reforma al artículo 24 de la Constitución Política de Costa Rica, para incorporar el Derecho a la Protección de Datos Personales como un derecho autónomo, aunque complementario al de Privacidad); impulsar la homologación de normas actuales al Convenio 108 de la Unión Europea y sus Protocolos, lo que aportará un avance hacia la homogenización de los diferentes países dentro las relaciones internacionales, en una sociedad global donde personas y empresas se relacionan más allá de las fronteras; el impulso de acciones dentro de la divulgación y conocimiento del derecho a la privacidad y la protección de los datos personales.
2.- La jornada Privacy Week se ha organizado en varias sesiones que se han celebrado entre el 25 y 29 de enero. Si hubiese que ponerle un lema o título que identificase a la Privacy Week 2021 ¿cuál sería?
El necesario avance hacia una concepción global de la privacidad. Una temática que engloba los diferentes temas abordados por ponentes de primer nivel. Cada uno desde su óptica han abordado cuestiones relacionadas con los flujos de datos internacionales, la situación normativa en los diferentes países o cómo ha impactado las situaciones que vivimos en la actualidad en el concepto de privacidad y protección de los datos.
Un concepto que ha sido abordado por autoridades en la materia (el INAI en México, la Dirección Nacional de Registro de Datos Públicos de Ecuador o el Centro de Protección de Datos de la Ciudad Autónoma de Buenos Aires), el propio Supervisor Europeo y profesionales de alto nivel como María José Delegada de Protección de Datos de Presidencia del Gobierno y Ministerio de la Presidencia) y Marisa Boronat (Delegada de Protección de Datos y Jefa de la División de Gobernanza y Transparencia del Banco de España)
3.- ¿Cómo está afectando la pandemia a la protección de la privacidad? ¿Qué destacarías tanto negativa como positivamente, si cabe hacerlo?
La pandemia ha puesto en relieve el concepto de privacidad. Raro es el día en que no vemos en los medios alguna noticia sobre este aspecto.
Todos somos conscientes de que una pandemia de está magnitud no era previsible y que, en el momento en que fueron aprobadas las normas que hoy tenemos en materia de protección de datos, el legislador no tenía en mente escenarios como el que, por desgracia vivimos.
En este punto, se está avanzado en diferentes debates, tales como, si debe primar la privacidad sobre otros derechos fundamentales como la salud o, el propio concepto de privacidad global. Estos aspectos han sido abordados en momentos como la toma de temperaturas, su impacto en la normativa de prevención de riesgos laborales o, actualmente, sobre la posibilidad de llevar a cabo registros de personas vacunadas y, por tanto, los no vacunados.
Si bien, el RGPD no estaba pensado para estas situaciones, si aporta claridad sobre como actuar, sobre cómo analizar los riesgos derivados, cómo legitimar los tratamientos o, los propios datos de salud. La norma ofrece una serie de soluciones flexibles que posibilitan los tratamientos de datos. Eso sí, con determinadas restricciones.
La propia legitimación para el tratamiento de los datos personales en el marco del interés público o de la protección de un interés vital de interesado o de terceros, son formulas que ya se recogen en nuestra normativa. Cuestión diferente es que datos podemos tratar o cómo se debe contener el tratamiento en si mismos, es decir, la limitación del tratamiento (tratar los datos estrictamente necesarios para la finalidad perseguida).
El impacto de sistemas de inteligencia artificial o análisis masivos de datos pueden tener un impacto muy positivo en la predicción, reglas y seguimiento de los casos, pudiendo anticiparse a la propagación de virus. La utilización de aplicaciones que traten los datos, a priori, anonimizados, favorece el análisis de información que podría no tener la consideración de datos personales y, por tanto, la identificación o re-identificación de las personas.
Junto con estos beneficios, está el reverso, la necesaria ponderación entre derechos, es decir, que se hayan valorado todas las opciones desde el punto de vista de técnico y jurídico para descartar otros sistemas que puedan implicar una menor intromisión en la esfera íntima de las personas. Otro aspecto que puede implicar un riesgo es la falta de transparencia e información, que faciliten al ciudadano conocer qué es lo que se va a hacer o quién lo tratará. Este ejercicio, resaltado por la normativa, facilita la asimilación de que la tecnología está para ayudar y no como enemigo.
Otro riesgo es la utilización de la información con diferentes fines, es decir, tener una lista de vacunados, implica tenerla de no vacunados, aunque no fuera el fin perseguido. Por ello debe extremarse la diligencia en el diseño de los sistemas y soluciones. La protección de la confidencialidad, la no estigmatización de las personas contagiadas o en riesgo, son otros aspectos que deben ser analizados.
4.- Los pasaportes sanitarios o, incluso, la defensa de la facultad del empleador a la hora de exigir que sus empleados estén vacunados para poder realizar sus prestaciones laborales, son temas controvertidos que, entre otros, se están ahora suscitando. En ese sentido ¿deben prevalecer los derechos como el de libertad de organización y el de preservar y garantizar la integridad física de los trabajadores y salubridad en el centro de trabajo frente al derecho a la privacidad? ¿Por qué?
El derecho a la privacidad no está enfrentado con otros derechos, algo que nuestra propia Agencia Española de Protección de Datos ha manifestado en diferentes ocasiones. Estos días centra el debate público si hay una confrontación entre dichos derechos o el impacto que determinados actos pueden tener en la esfera personal o profesional. Muestra de ello es que recientemente conocíamos el primer despido en España de un empleado por llevar la mascarilla por debajo de la nariz.
Todo ello conlleva a una primera reflexión, debe existir un punto de encuentro y una necesaria ponderación de ellos. Que sean compatibles no implica que todo valga. Es algo que ya vivimos al inicio de la pandemia con las mediciones de temperatura y si tenían un impacto negativo en la intimidad de las personas o, incluso, si podían incumplir lo establecido en la normativa en materia de protección de datos.
En relación con la vacunación, partimos de un acto voluntario, tal y como han reconocido la propia Administración en sus diferentes comunicados y guía. No obstante, podría darse un escenario en el que la pandemia volviese a evolucionar o que no se llegará a los niveles necesarios para obtener la llamada inmunidad de grupo, entre otros factores. Ante esta situación podría establecerse la vacunación como obligatoria, atendiendo al interés general. Para ello, debería aprobarse una Ley que recogiera esta obligación que, podría entenderse, como una limitación de los derechos fundamentales de las personas, debiendo acogerse a la formula jurídica de Ley Orgánica.
Otro aspecto podría ser que un juez impusiera la vacunación obligatoria a una persona o grupo de personas o, que incluso, pudiera impedir el acceso a alguien que no haya sido vacunado. Cuestiones que hemos conocido en las últimas fechas, por ejemplo, en relación con personas dependientes, incapacitadas o con a la capacidad de decidir limitada, pero también en años anteriores con otros procesos de vacunación o antes determinadas enfermedades.
En este marco, el respeto a la privacidad de las personas debe imperar, es decir, la negativa a ponerse una vacuna, no puede implicar la aparición en listados bajo esta circunstancia, al igual que no puede implicar una discriminación hacia la persona. En todos los casos en los que se ha tratado por el Consejo Interterritorial, el propio Ministerio o las propias Consejerías de Sanidad, se ha planteado la posibilidad de establecer un registro que posibilite, el seguimiento del proceso de vacunación, porcentajes, la efectividad de la vacunación o, en todo caso, con fines científicos o de investigación.
Por lo que, no debería inferir en la relación que el empleado tenga con su empleador o con el resto de la sociedad, toda vez que, en caso de contagio existen unos protocolos de actuación, además de la propia normativa en materia de prevención de riesgos laborales.
No debemos obviar que el tratamiento de la información en relación con esta vacuna no debe diferir de como se tratan los datos en otros procesos de vacunación (e.g. la gripe u otras enfermedades. De igual forma, encontramos precedentes con otras patologías, diferentes de la analizada, donde los propios tribunales establecieron que debía primar el derecho al honor e intimidad de las personas, no habiendo obligación de facilitar dicha información a la empresa, como es el caso de los contagios por VIH.
Cuestión diferente es el pasaporte sanitario, entendido como una información que tiene el propio ciudadano y que puede aportar a las autoridades sanitarias u otras entidades. En este caso, el cambio sustancial es que es el propio dueño de sus datos información quien la aporta, al igual que podría ocurrir con una cartilla de vacunación o determinados certificados médicos.
Finalmente, debe regir, en cualquier caso, lo establecido en la normativa en materia de protección de datos, el derecho de información y transparencia, los derechos de las personas, el principio de minimización de los datos, la necesaria proporcionalidad del tratamiento preciso y, por ende, los necesarios análisis de riesgos, entre otras obligaciones establecidas.
5.- El Brexit también está dejando sentir su impacto en el ámbito de la privacidad en la UE. ¿Hasta qué punto el Brexit afecta al actual marco regulatorio vigentes de transferencias internacionales de datos personales?
Los últimos meses han venidos cargados de noticias que han tenido un fuerte impacto en el ámbito de la protección de los datos personales y, más concretamente, en los tratamientos de datos a nivel internacional. Una cuestión que impacta de lleno a las empresas y los propios particulares, ya que, en mayor o menor mediada, directa o indirectamente, muchos sistemas informáticos o prestaciones de servicios, en algún momento salen de la Unión Europea, realizándose su tratamiento en terceros países, no todos ellos con nivel adecuado de protección.
En este punto nos encontramos con el Brexit y los plazos que se han ido acordando. Terminábamos el año esperando un acuerdo en tiempo de descuento que posibilitará los flujos y tratamientos de datos de datos en Europa y UK de manera segura. En el mismo punto indicábamos el 2021, esta vez con la mira puesta en el verano, con nuevo plazo para que ambas partes pudieran llegar a acuerdos y adoptar medidas, encaminadas al reconocimiento del nivel adecuado de protección a UK.
Un reconocimiento que nace de la valoración de las condiciones, normativas y seguridad jurídica aportada por el tercer país, conforme a los requerimientos de la normativa europea y el propio Convenio 108. Un análisis que, a priori, no debería implicar muchas complicaciones, partiendo de la base de que la Data Protection Act se había modificado para su armonización con el Reglamento Europeo, la propia alineación de su autoridad de control (ICO) a la normativa citada y cooperación con instituciones nacionales europeas.
Pero, hasta ese momento ¿qué hacemos? Es la pregunta que las empresas tienen el horizonte más cercano. La realidad es que más allá de la moratoria comentada, los flujos de datos son considerados como transferencias internacionales de datos, que deben encontrase regularizadas en base a mecanismos tales como las clausulas contractuales tipo o las normativas corporativas vinculantes, entre otros. Por tanto, las empresas deben abordar durante estos meses un proceso de análisis e idoneidad de adherirse a estos mecanismos, anticipándose a un nuevo retraso o la perdida de tal condición (algo que parece improbable en estos momentos).
La adopción de garantías debe tenerse en cuenta, no sólo en los casos en los que se transfieran datos entre responsables o encargados del tratamiento, debe valorarse aquellos casos en los que transferencia se realiza desde el encargado a un subencargado (caso de que los datos sean tratados en Canadá, -país con nivel adecuado de protección- por ejemplo, y la entidad trabaje con otros subencargados que se encuentren en Estados Unidos, UK u otro tercer país). Todo ello redunda en un concepto que incorpora el RGPD y que debe ser una máxima, la responsabilidad proactiva.
6.- Es evidente que deberíamos avanzar hacia la definición de un único marco regulatorio global o universal de lo que se ha dado en llamar el status de protección de datos. En tu opinión ¿a quién o, mejor dicho, a qué organismo internacional debería corresponder dirigir, realizar, gestionar y mantener su regulación?
Este escenario ha sido analizado en diferentes momentos por las autoridades a nivel internacional. La propia Organización de Estados Americanos aprobaba la resolución CJI/RES. 186 (LXXX-O/12), “Propuesta de Declaración de Principios de Privacidad y Protección de Datos Personales en las Américas”, donde, entre otros asuntos, se comenzaba a hablar de una Ley Marco. Otras organizaciones como la propia Red Iberoamericana de Protección de Datos o la propia Asamblea Global de Privacidad donde se incluyen las diferentes autoridades nacionales de control, han ido avanzando en planteamientos similares. De igual manera, iniciativas como el Observatorio Iberoamericano de Protección de Datos, han presentado iniciativas como el sello iberoamericano de protección de datos.
En todo caso, hay un importante debate sobre la homologación de niveles normativos, es decir, la necesidad de equiparar conceptos, obligaciones y derechos. Aspectos que estamos viendo en las nuevas normativas que se van aprobando, en las que cuestiones como la gestión de brechas de seguridad, actuación ante transferencias internacionales, análisis enfocados a la mitigación del riesgo, comienzan a ser habituales. En todo caso, estos avances no pueden colisionar con la soberanía de los propios Estados.
Nos encontramos ante un derecho erga omnes, reconocido por el Consejo de Europa, que lo define como un derecho humano fundamental, la propia Declaración Universal de Derechos Humanos y el Pacto Internacional de las Naciones Unidas sobre los Derechos Civiles y Políticos, entre otros.
En mundo globalizado, en el que la movilidad, no sólo geográfica, si no también económica, profesional, bancaria, juega un papel tan importante, las transferencias internacionales de datos, físicamente o a través de la propia red, es una realidad cada vez más frecuente. En el ámbito financiero, la compraventa de inmuebles, la implantación de las empresas en diferentes países, así como la propia movilidad de las personas, implican un flujo constante de información, que ha de someterse a estándares internacional, en aras de proteger la intimidad de las personas, garantizando su privacidad y la protección de su información, en consonancia con las propias normas nacionales.
Un equilibrio que es posible, prueba de ellos es nuestro propio Reglamento General de Protección de Datos y la unificación normativa dentro de la propia Unión Europea, o el sistema de “homologación” de terceros países conforme al Convenio 108.
Quizás una unificación de todos los países puede ser difícil o considerarse por muchos como algo utópico o inalcanzable, pero hay pasos en los que se puede avanzar en línea con lo comentado. La formalización de organizaciones continentales que aglutinen a las autoridades de control, que sirvan como foro donde avanzar juntos y establecer criterios y pautas claras y concordantes. En la Unión Europea contamos con el Comité Europeo, en África contamos con la asamblea de influencia francófona (En la que participan la CNIL francesa, la Comisión de Senegal, entre otras), la propia Red Iberoamericana de Protección de Datos, así como los propios encuentros de autoridades.
No es la solución perfecta, pero puede ayudar a avanzar en las diferentes zonas geográficas con un mismo objetivo, bajo un mismo paraguas y una clara intención de cooperación internacional. Dado este paso, veremos como podemos seguir avanzando.
7.- En qué aspectos, consideras, que radican las principales diferencias en el enfoque que presenta la regulación de la privacidad en la UE respecto a la que aporta o muestra la de la Comunidad Iberoamericana?
Existe un punto de partida común, una raíz que nace de la regulación europea y española, donde la mayor parte de normas toman este modelo, con sus propios matices.
En España y Europa hemos madurado, nuestra normativa ha evolucionado hacia un sistema de responsabilidad, donde, junto con las obligaciones, las empresas y organizaciones deben definir su modelo, conociendo lo que hacen y quieren hacer, qué tecnología emplean, entre otros aspectos. En muchos aspectos, el legislador no dice que no se pueda, traslada al responsable el análisis la adopción de medidas y decisiones. Hemos eliminado burocracia y trámites, hay un mejor conocimiento de la realidad de cada entidad. No basta con notificar a una autoridad los datos que tratamos (antiguos ficheros), debemos tener una radiografía dinámica, actualizada que garantice en todo momento la protección de este derecho fundamental.
En Iberoamérica, nos encontramos diferentes modelos. La mayor parte de países, reconocen como garantía constitucional el habeas data o cuenta con normas especificas. En muchos casos se apuesta por autoridades específicas o conjuntas con aspectos de transparencia, dependientes de la propia administración o independientes.
Quizás ese sea el factor que puede establecer determinadas diferencias o, mejor dicho, matices, la necesidad de evolucionar el modelo, de adaptarlo a la realidad que vivimos, a los tratamientos del futuro que son ya del presente. No obstante, son cuestiones en las que se está trabajando, adecuando las nuevas normas o actualizando las existentes. El segundo paso es la implementación de estas, la concienciación y divulgación. De nada sirve tener normas muy avanzadas si su nivel de aplicación o cumplimiento es muy pequeño.
En todo caso, son más cuestiones las que nos acercan que las que nos diferencian y, compartimos algo fundamental, una misma raíz, una misma concepción del derecho a la privacidad, al honor, a la intimidad, por lo que los pasos se pueden dar de una manera más natural.
8.- Y ya para terminar, en breve estará operativa una nueva Administración Estadounidense bajo la presidencia de Joe Biden. A modo de carta a los Reyes Magos ¿qué actuaciones o medidas pedirías adoptase este nuevo gobierno norteamericano en la defensa y desarrollo del derecho de la privacidad con eficacia internacional?
Quizás sea una carta a los Reyes que se ha repetido en las diferentes Administraciones de Estados Unidos o un buen propósito de año nuevo, que debe perseguirse y no quedar en el olvido.
Tanto el gobierno de Obama como el de Trump, en distintos momentos analizaron la necesidad de contar con una normativa en materia de protección de datos. Momentos importantes como la anulación, primero del Safe Harbour y después del Privacy Shield, han puesto de manifiesto esta necesidad.
El propio mercado ha resaltado que, para ser realimente competitivos, se necesitaba adoptar un sistema que aportara garantías necesarias. Algo que hemos visto tras la Sentencia del Tribunal Europeo en relación con la anulación del citado Privacy Shield y los posicionamientos de las autoridades, organizaciones y entidades privadas. El riesgo de incurrir en una infracción sobre las transferencias internacional de datos o el resto de las obligaciones establecidas por el Reglamento Europeo puede conllevar, junto con sanciones millonarias, la posible inmovilización de los datos o un importante daño reputacional.
Cierto es que, en los últimos meses hemos visto pronunciamientos de la Federal Trade Commission, sobre la necesidad de avanzar hacia este escenario de seguridad jurídica. Por todo ello, quizás pediríamos que la nueva administración materialice los anhelos anteriores. Que pueda avanzarse en este ámbito, a sabiendas de las implicaciones para con otras normas estadounidenses, la posible colisión con las competencias federales o estatales o el posible conflicto con cuestiones relacionadas con la propia seguridad nacional o la concepción de su sistema judicial.
No obstante, el objetivo queda lejos, pero no es inalcanzable, de hecho, ya hay normas específicas o sectoriales que abordan parte de estas cuestiones, tales como la referente a los derechos de los niños.