Mirando atrás para avanzar en el futuro: cinco años de Reglamento General de Protección de Datos

Artículo publicado en El Derecho, 25 de mayo de 2023.

En la agenda de todos aparece marcado el 25 de mayo, una fecha en la que, tras la plena aplicación del esperado Reglamento General de Protección de Datos, cambiarían los sistemas de cumplimiento, las obligaciones y aparecerían nuevos retos tanto para las empresas, como para las Autoridades y los propios legisladores.

Aquella norma cambiaba la visión sobre la protección de los datos personales, de un modelo reactivo a la necesidad de establecer marcos basados en la proactividad. Aspecto que afectaría tanto a cuestiones relacionadas con la seguridad de los datos, a la consideración de las exigencias normativas (y por tanto de los derechos y obligaciones) en el diseño de los tratamientos, servicios y productos y, en el análisis de los riesgos y su mitigación.

Desaparecían obligaciones que nos habían venido acompañando años, como la notificación de los antiguos ficheros a las autoridades de control, y que, con el tiempo, se vio que no aportaban valor alguno, ni para los responsables ni a los propios ciudadanos cuyos datos e información era tratada, para aparecer otras con miras al futuro y el establecimiento de garantías en el marco de un derecho fundamental y la necesidad de aportar seguridad jurídica a las empresas e instituciones que trataban los datos personales.

Pasado aquel final del mundo del 25 de mayo de 2018, es momento de hacer balance de estos cinco años y mirar a los retos que, la propia actualidad ha puesto encima de la mesa de las propias autoridades y el legislador, con la vista puesta en el futuro, los próximos desarrollos normativos, los retos que se plantean y la posible actualización de la normativa europea.

(i) Transferencias internacionales de datos

De un tiempo a esta parte, las transferencias internacionales de datos siguen copan los grandes titulares, junto con la actividad sancionadora sobre esta cuestión de las propias autoridades de control (recientemente conocíamos la sanción a Meta de 1.200 millones de euros, en la que la Autoridad irlandesa también emitía una orden para que, en un plazo máximo de cinco meses, suspendiera las transferencias de datos desde la Unión Europea a Estados Unidos). Este aspecto ha estado presente ha estado presente en otros procedimientos sancionadores, tanto a proveedores tecnológicos, como a las propias entidades que actuaban como responsables del tratamiento.

Si la aprobación de Decisión de Ejecución (UE) 2021/914 de la Comisión de 4 de junio de 2021 relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países, parecía que venía a aportar una mayor seguridad jurídica, generando un instrumento a la realidad y exigencias del Reglamento General de Protección de Datos, con el tiempo se ha evidenciado que no es un mecanismo infalible o seguro completamente.

Ante las carencias evidenciadas por el propio TJUE y las propias sanciones que hemos venido conociendo, se han venido estableciendo garantías adicionales que debían ser adoptadas por exportadores e importadores de datos. Garantías que, en muchos casos, poco podían influir en los marcos normativos de los Estados donde iban a ser transferidos los datos personales, dentro de su soberanía nacional, tales como la evaluación del nivel de protección de estos países.

Estos aspectos ponían en jaque la utilización de proveedores provenientes de terceros países por parte de los responsables establecidos en la Unión Europea, encontrándose, junto con la potencial sanción económica, la posibilidad de que se decretase el cese del tratamiento de los datos personales, con el impacto que esta medida puede tener, tanto en el modelo de negocio, como en los servicios que son prestados a los propios usuarios.

Este aspecto se complica, aun contando con entidades que se encuentran en países donde se ha reconocido por la Unión Europea un nivel adecuado de protección de datos conforme al estándar europeo, cuando éstas cuentan con proveedores situados en terceros países sin este reconocimiento (bien por no tener una normativa homologada o carecer de ella).

Ante esta cuestión, con otras implicaciones en relación con el propio mercado internacional, la solución se antoja complicada, ya que ésta no está al alcance de las empresas o las propias autoridades, es un problema que debe ser abordado por el propio legislador y los países. La problemática estriba en que, en lo que no llega esa solución (que no vuelva a ser anulada por el TJUE), las sanciones siguen imponiéndose, las limitaciones para las empresas e instituciones y las implicaciones para los propios ciudadanos en relación con los servicios o sus relaciones, siguen copando los medios generando inseguridad jurídica para todos.

Si bien, cualquier tratamiento de datos debe ser garantista con los derechos de las personas, máxime al referirnos a un derecho fundamental, reconocido en la mayor parte de Constituciones Nacionales, la solución no puede, ni debe pasar, por la limitación de los tratamientos dentro de la Unión Europea, la imposibilidad de contratar proveedores que se encuentren fuera o los aspectos que pueden afectar a las propias entidades dentro de su estructura internacional.

Junto con dichas garantías, no puede obviarse la autonomía de la voluntad (eje fundamental de la protección del derecho de las personas sobre sus datos) o la necesaria cooperación entre las autoridades o los países. Estados Unidos acapara las transferencias internacionales en el debate jurídico y sancionatorio, pero existen otros tantos países que le seguirían.

(ii) Deber de información y legitimaciones

Relacionado con lo anterior, otra cuestión objeto que encontramos en parte de los grandes sancionadores (no sólo en España), es la necesidad de adoptar medidas en relación con el deber/derecho de información a las personas sobre los tratamientos de datos personales, siguiendo el espíritu del propio Reglamento Europeo sobre la sencillez del lenguaje y el entendimiento de las consecuencias para las personas derivado de los tratamientos pretendidos.

Este entendimiento es fundamental para proteger los derechos de las personas, por lo que deben fijarse objetivos claros, que diferencien entre la información excesivamente técnica o jurídica y la redacción comercial (que no cumple con las exigencias de la normativa europea y nacional, tal y como se evidencia de las propias resoluciones, en nuestro caso, de la Agencia Española).

Esta obligación es, además, complemento necesario con la legitimación para el tratamiento de los datos. Sobre dichas bases, si bien se ha seguido avanzando en la definición de cuestiones tales como el interés legítimo o sus límites, no está todo dicho aún no por el propio regulador o las entidades, en relación con la necesaria ponderación o aplicabilidad para tratamientos concretos pretendidos.

(iii) Necesidad de entendimiento entre tecnología y derecho

Quizás este sea uno de los mayores retos que encontramos en la agenda, en momento en que conceptos como biometría o inteligencia artificial, el avance hacia la Estrategia Europea de Datos, la inmersión de las empresas e instituciones en el metaverso, suenan continuamente,

En muchas ocasiones la tecnología, por sus propios avances, ha ido por delante de la propia regulación, teniendo en cuenta que los tiempos no son los mismos y la imposibilidad de mantener un continuo proceso legislativo que no tuviese nunca término para su aplicabilidad. En este punto, el Reglamento Europeo se presentaba como una norma de nueva generación, aplicable desde 2018 pero con vistas a su continuidad en el tiempo, sentando las bases y principios jurídicos que respetasen los derechos de las personas sobre su privacidad, honor, intimidad, propia imagen y el tratamiento de sus datos personales.

Concretamente, por resaltar un aspecto, la norma introducía nuevas tipologías de datos entre aquellos especialmente protegidos, tales como los datos genéticos o los biométricos, aun cuestión que, por falta de aplicabilidad o por la fecha de la normativa anterior, no gozaban de una regulación concreta.

Nuestra norma, como norma general prohibía su uso (al igual que sobre el resto de datos especialmente protegidos o sensibles) salvo que existiese una causa legitimadora para su tratamiento. Es en este punto, es donde las propias autoridades e instituciones, junto con los responsables, deben avanzar en un entendimiento, tanto de la propia evolución tecnológica como de sus usos (no siempre implicando consecuencias negativas para las personas).

Y es que, el avance de la tecnología no puede negarse, al igual que es necesario que se enmarque en un marco garantista con los derechos de las personas (como es el europeo), por lo que ambos deben ir de la mano. A modo de ejemplo, no todos los sistemas de identificación biométrica implican necesariamente la merma de los derechos o la discriminación de las personas, en muchas ocasiones posibilitan el cumplimiento de normativas (tal y como se deriva de la aplicabilidad de la propia normativa en materia de prevención de blanqueo de capitales y las propias Circulares que, en su momento, emitió el propio regulador), la aportación de garantías en la ejecución de las sentencias o requerimientos, atendiendo a los bienes jurídicos protegidos y las propias medidas decretadas por los órganos jurisdiccionales, la efectividad de la identificación de las personas en los procesos de contratación o en cuestiones relacionadas con la prevención de la violencia en eventos deportivos (en línea con las últimas opiniones de las autoridades de control sobre estas cuestiones).

El Reglamento facilita las herramientas para garantizar el cumplimiento, pero, al igual que ocurría con otras tecnologías que en su momento eran disruptivas con las anteriores normas (e.g. antaño el uso del correo electrónico, el inicio del uso de sistemas de videovigilancia o el almacenamiento de información en la nube), es necesario hacer una reflexión, desde el entendimiento de su uso, para poder garantizar el respeto de los derechos de las personas y propiciar el avance de las propias entidades, el cumplimiento de sus obligaciones y las propias prestaciones de servicios.

Si de una primera aproximación podrían existir medios menos invasivos, de su análisis en casuísticas concretas, en ocasiones, su uso, puede ser menos invasivo para con las personas que los sistemas tradicionales, amén de su efectividad (y por tanto del impacto en los derechos de las personas).

Si la finalidad de su uso y legitimación, junto con las consecuencias para las personas, estos aspectos tienen un mayor impacto en el debate jurídico y social que se mantiene a nivel europeo sobre el uso de sistemas basados en inteligencia artificial. Donde el resultado debe ser, desde el respeto a las personas y sus derechos, la fijación de garantías y principios para aquellos casos en los que su uso sea tolerable o aceptable, fijando conceptos que, como paso con el Reglamento General de Protección de Datos, miren al futuro.

Finalmente, en estos años hemos avanzado en la definición de brechas de las brechas de seguridad, su tratamiento y obligaciones derivadas, donde hemos encontrado importantes sentencias donde se recalcaba que las obligaciones en materia de seguridad hacían referencia a los medios y no al resultado (aspecto clave, teniendo en cuenta que resultado seguridad absoluta es imposible de garantizar). Aspecto que ponen en alza la necesidad de avanzar hacia modelo de ciberseguridad, la adopción de estándares internacionales, junto con los propios requerimientos normativos de determinados sectores, aspectos que afectan a la adopción de medidas, su definición, junto con las garantías contractuales que soporten estas cuestiones en las relaciones con terceros, dentro de las responsabilidad de los diferentes actores y la capacidad de acreditar su adecuada implementación y seguimiento.

(iv) Avances en la homogenización normativa

Desde las primeras regulaciones en materia de protección de datos, tanto a nivel nacional como europeo, siempre se ha cuidado las obligaciones y referencias, dentro de la propia jerarquía normativa (por su propia regulación como Leyes Orgánicas en el caso de España o el propio Reglamento europeo y su aplicación directa). No obstante, teniendo en cuenta que la mayor parte de normas, derechos y obligaciones, implican directa o indirectamente tratamientos de datos, la legislación en materia de protección de datos, debe ser aplicable de manera trasversal, entendida como vertebradora en la protección de los ciudadanos y generadora de seguridad jurídica para aquellos que van a tratar sus datos personales (con independencia de la base legitimadora que proceda en cada caso), es relevante que esta observancia y operatividad se aplique de manera objetiva y no genere incertidumbre o dificulte su aplicación de manera efectiva.

Sírvase a modo de ejemplo la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción y el entendimiento que la norma realiza de conceptos jurídicos que se encontraban claramente definidos, tales como el de responsable del tratamiento, donde es un órgano de la entidad quien ostenta dicho rol, en lugar de las propias entidades. Un aspecto que, si bien parece nimio, tiene más implicaciones desde la óptica de la protección de los datos personales, tales como las referidas al deber de información, a quién se dirigen y atiendo los ejercicios de derechos sobre este tratamiento concreto, quién debe designar un DPO en caso de estar obligado (órgano y empresa), quien es el responsable en relación con los encargados del tratamiento que intervengan en el canal, …  aspectos que, en lugar de aportar una mayor eficiencia y garantías, generan incertidumbre y problemas en su aplicación.

(v) Delegado de Protección de Datos

Desde hace unas semanas se está llevando a cabo una encuesta a nivel europeo, con la participación de diferentes autoridades nacionales, con la finalidad de conocer, más de cerca, el nivel de eficiencia, posición funciones y las garantías con respecto a los delegados de protección de datos en las entidades.

Esta acción, implica un punto de reflexión por parte de las entidades obligadas y las propias autoridades. De una parte, sobre el rol de la figura, la necesidad de contar con profesionales que se encuentren preparados para el desempeño de las funciones, las garantías con respecto a su independencia y su capacidad de reporte, no sólo teórica, sino en el plano práctico para garantizar el cumplimiento de la norma desde el respeto de los derechos de las personas y el avance de los modelos de negocio conforme a Derecho. De otra, el avance, tal y como se viene realizando, del acercamiento de las autoridades a esta figura, facilitando la comunicación entre ambos, tal y como viene realizando, por ejemplo, nuestra Agencia Española, una colaboración que sin duda dará frutos en todos los niveles y actores involucrados.

La profesionalización de aquellos, internos y externos, que ostenta esta competencia, junto con el establecimiento de mecanismos que garanticen su independencia, libertad y reporte a la alta dirección, siendo punto de contacto con las personas y autoridades y, argamasa entre las diferentes áreas corporativas, para lo que cuente con medios (internos y externos) para el desempeño de su trabajo.

Enlace permanente a este artículo: https://dlcarballo.com/2023/05/25/mirando-atras-para-avanzar-en-el-futuro-cinco-anos-de-reglamento-general-de-proteccion-de-datos/