Cada 28 de enero, desde hace nueve años se celebra El día de la Protección de Datos en Europa, jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de Protección de Datos de los estados miembros de la Unión Europea, con el objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos.
La creación del Día de la Protección de Datos se remonta a 2006, año en que el Comité de Ministros del Consejo de Europa estableció el 28 de enero como efeméride para festejar el Día de la Protección de Datos en Europa, en conmemoración del aniversario de la firma del Convenio 108, piedra angular de la protección de datos en Europa. En esta oportunidad, hemos pedido a Ricard Martínez, presidente de APEP, Asociación de Profesionales Expertos en Privacidad, una valoración de cuál es el contexto en el que llega esta efeméride.
Hablamos del futuro Reglamento Europeo de Protección de Datos, de algunas medidas que países como Francia toman para dar más seguridad a los ciudadanos; de una sentencia del TEDH que señala la falta de expectativa de privacidad de los trabajadores y de las redes sociales “herramientas de cambio tecnológico constante que deberían estructurarse sobre el principio de privacy by design para minimizar los problemas que generan”; apunta nuestro experto.
¿En qué momento llega este Día Europeo de Protección de Datos?
Llega en un momento muy importante por diversas razones. En primer lugar, se está culminando una espera de tres años con respecto al futuro Reglamento Europeo de Protección de Datos. Daba la sensación que se estaba eternizando y se había generado una enorme necesidad a su alrededor.
Por otro lado, hay un entorno social con cambios tecnológicos que se van asentando. Es el caso del cloud computing que se ha consolidado. Despega, con una enorme fuerza Big Data mientras que Internet de las Cosas y Smart Cities ya hacen acto de presencia.
La llegada del Reglamento desde un punto de vista social, económico y tecnológico era bastante necesario por lo que acabo de comentar.
Realmente dicho Reglamento Europeo de Protección de Datos responde a los retos que antes usted aludía...
El Reglamento tiene cuatro elementos cruciales desde esa perspectiva y desde el punto de vista de los principios. En mi opinión personal si el Reglamento pretende regular una tecnología concreta se van a equivocar.
Por otro lado, esta nueva normativa puede ser eficiente, siempre que los sectores se impliquen y entiendan la necesidad, en la llamada protección de datos desde el diseño; en protección de datos por defecto, en las PIA, análisis de impacto en la privacidad y en la llamada accountability que de algún modo filosóficamente acogería todos estos principios
Por tanto, no se trata de demonizar tecnologías ni de hablar que hemos llegado al mundo de Orwell sino de que interioricemos que todas esas tecnologías para ser correctas y positivas y no afectar a nuestras libertades tienen que ser respetuosas con la protección de datos. Para ello deben aplicar las prescripciones del Reglamento desde cero, desde su origen. Asistimos, por tanto, a un cambio de paradigma.
Este Reglamento va a tener una vacatio legis de dos años ¿Será suficiente para que los Estados miembros armonicen su legislación con esta norma europea?
Creo que el plazo es suficiente para esa armonización que usted señala. Sin embargo, hay que darse cuenta a qué velocidad va cada realidad social. Dos años es casi una generación tecnológica nueva; no sabemos qué pasará dentro de dos años desde esta perspectiva y que nuevos fenómenos tecnológicos se incorporarán.
No tendría sentido haber tenido una norma tres años de debates intensos más otros dos de vacatio sabiendo que los Estados han sido actores principales de la negociación; saben que se ha discutido y deberían estar preparados para asumir estos cambios, de hecho estuvieron negociando en el Trílogo y hay un Comité de Representantes Permanentes activo. Creo que tienen los medios e información suficiente para hacer suyo dicho Reglamento.
De ese texto ya final, ¿qué es lo que será más complicado de asumir por parte de los Estados miembros a nivel de Reglamento?
Honestamente y es una apreciación muy subjetiva para los propios Estados hay que señalar que el Reglamento mantiene ciertas llamadas abiertas a regulaciones sectoriales especificas en diferentes ámbitos que pudieran existir. Esto si es una dificultad al poder crear disfunciones importantes en desarrollos diferentes.
Otra de las cuestiones tiene que ver con algo que es muy técnico. Y es la aplicación del principio de jerarquía y primacía normativa a la hora de sistematizar los ordenamientos internos. Alguien tendrá que decir en cada Estado qué es lo que está en vigor y que no está, sobre todo en determinadas situaciones.
En el Reglamento se habla de garantizar la seguridad pero no concreta cómo. Esta tarea sobre lo que está en vigor o no es un reto estratégico para todos los Estados miembros de la UE.
Esa labor que usted apunta, ¿Podrían asumirla los reguladores de protección de datos en cada país?
Las autoridades de protección de datos pueden fijar su criterio. Sin embargo, en nuestro país la LOPD solo le da una herramienta que es la de dictar instrucciones que aclaren el sentido de la norma. En nuestro país, por tanto hay cierta base jurídica desde la cual se indica que desde una instrucción se podría hacer la tarea que usted indica.
No sabemos si sería lo más óptimo o no, también puede haber cuestiones que afecten al derecho civil. El Reglamento fija trece años para estar en redes sociales y en nuestro país s habla de catorce.
En España, esa función podría hacerla el regulador. Pero quien tiene la capacidad de realizar esos textos refundidos es el Gobierno por delegación del Parlamento, quienes tienen la potestad legislativa y reglamentaria.
Otro de los temas que coincide en esa efeméride sobre Privacidad, son las medidas tomadas por estados como Francia y Bélgica para luchar contra el terrorismo yihadista. Medidas que pueden socavar derechos fundamentales de los ciudadanos...
Es preocupante la situación que se está generando al albor de la lucha contra esta nueva amenaza para Occidente. En principio, hasta hoy, en ese balance de seguridad y libertad hay que recordar que tenemos dos sentencias, una la Digital RIghts Ireland donde se le dijo a la Comisión que la Directiva 2006/24 era contraria a los artículos 7 y 8 de la Carta Europe de los derechos fundamentales de los ciudadanos.
La otra sentencia, el caso sentencia Schrems donde literalmente de nuevo se hablaba que el sistema Safe Harbour se caía porque Comisión y reguladores no habían sido diligentes en dos aspectos; en tutelar los derechos del ciudadano que reclamaba una ayuda, cosa que no hizo la agencia irlandesa y además en verificar que las condiciones normativas internas de los EEUU eran contraria a las garantías de los derechos fundamentales de la UE en esta materia policial y de seguridad.
Son dos toques importantes de atención que revelan que cuando se regulan aspectos de este tipo no se puede utilizar sistemas de vigilancia general, indiscriminada y que genere restricciones importantes de las libertades.
La otra parte de la cuestión indica que es evidente la necesidad de contar con herramientas en redes sociales de investigación para luchar contra la radicalización del terrorismo yihadista. No solo hay que regular como se tratan esos datos sino también que garantías existen o se van a imponer.
Entiendo que la clave está en regular como se controla este tipo de actuaciones extraordinarias, en momentos específicos...
En nuestra legislación el artículo 22 de la LOPD se señala una batería de cesiones de datos a las Fuerzas de Seguridad del Estado muy generoso. La cuestión es ver cómo se controlan su actuación en estos ámbitos. Aún está por regularse bien pero sería lógico que tuvieran que rendir cuentas ante la Comisión de Interior del Parlamento y al Defensor del Pueblo, al menos una vez al año.
Si vamos a dar más facultades para proteger nuestro sistema de libertades, deberíamos, al mismo tiempo contrapesar esto con un esfuerzo de mayor control, de tal forma que quien tome esas medidas sepa que puede ser responsable si supera la delgada línea de lesionar los derechos fundamentales.
A este respecto, Interior confirma que Indra ya trabaja en un sistema de PNR de control de viajeros, ¿Es una buena o mala noticia, entonces?
No hay criterio aún para conocer las expectativas de la aplicación. Lo fundamental es que con esta herramienta o cualquiera se garanticen los derechos de los ciudadanos.
Y que si hay una decisión arbitraria contra esos derechos, alguien sea responsable de la misma y tenga su responsabilidad, podría entenderlo. Medidas como PNR no pueden ser un cheque en blanco para nadie.
Otro hecho noticiable, este de unos días, es la sentencia del TEDH donde se señala que la empresa puede controlar el correo del trabajador pese a que pueda haber datos personales del mismo...
El TEDH lo que hace es fijar una interpretación del artículo 8 de la Carta Europea. Según algunos colegas el espíritu del fallo se centra mucho en lo que es la jurisprudencia española. En ella se convierte los entornos informáticos vinculados al puesto de trabajo como herramientas de trabajo.
Desde el grupo del artículo 29 se indica que para que no haya privacidad es fundamental que no exista expectativa de privacidad. Creo que estamos ante un cambio cultural: todos hemos conocido Internet por vez primera en nuestro entorno laboral.
Ahora lo que la sentencia dice que se debe desvincular el puesto de trabajo de su vida privada. Eso significa que habrá que usar el correo privado para conversaciones privadas, por encima de cualquier otra gestión.
La sentencia lo que ha podido resolver es la expectativa de privacidad de terceros. Habla que el trabajador no tiene privacidad ni derecho al secreto a las comunicaciones en el ámbito de la empresa. Pero, ¿y el que le escribe? ¿Quién gestiona su privacidad?
Hablando de privacidad, las redes sociales siguen careciendo de un sistema de autorregulación para solventar cuestiones concretas de los usuarios...
Las redes sociales siempre van a estar en el límite. Me consta que están haciendo esfuerzos por mejorar la privacidad de sus usuarios. Creo que su reto principal debe ser el comprometerse con el privacy by design.
Estamos hablando de un entorno de innovación constante a nivel digital. Por este motivo para minimizar problemas deben tender al concepto que viene acuñado en el futuro Reglamento de Privacidad de privacy by design
Por último, le sorprende el carácter aperturista de la nueva directora de la AEPD, Mar España, pidiendo más involucración a los agentes y operadores del sector...
Los profesionales de la privacidad siempre hemos pedido una apertura de la AEPD; cuestión que ahora parece que se va concretando con la llegada de la nueva Directora. Es bueno un escenario de cumplimiento normativo compartido, interactivo y trabajado colectivamente.
A nivel personal, siempre he defendido que había que hacer un cambio de estrategias a nivel de privacidad. No se trata tanto emplear las sanciones sino buscar el convencimiento de los sectores desde el diálogo y la prevención.
No hay comentarios.