La reciente aprobación del Reglamento Europeo de Protección de Datos nos lleva de nuevo a invocar lo que puede pasar, de ser el argumento de una película (Matrix), a adoptar la vocación de “relato” en el ámbito de Internet y la innovación
Recordemos que Neo en la película lleva toda su vida intuyendo que hay algo más, que hay algo que falla, como le confirma un mensaje recibido en su ordenador: «Matrix te posee.» Neo comienza la búsqueda desesperada de esa realidad a la que únicamente puede acceder a través de un hacker llamado Morfeo Morfeo tiene la respuesta que busca. El símbolo de dicho proceso es aceptar tomar una pastilla roja. En cambio, otra pastilla, la azul, le devolvería a su mundo actual sin que, aparentemente, nada de lo que está sucediendo hubiera pasado. Neo acepta tomar la pastilla roja, olvidar su vida y todo lo que conoce para descubrir «qué es Matrix».
Pues bien, el Reglamento es un intento, un largo abrigo de cuero que trata de preparar a Europa para descubrir lo que hay más allá intentando obtener la pastilla roja que permita acceder en plenitud al opaco mundo de Internet simbolizado por el interior de GAFAM : Google, Amazon, Facebook, Apple y Microsoft. En sus procesos internos de tratamientos de datos que no vemos en su totalidad pero intuimos
Pero las iniciativas positivas para “conocer” encuentran cortapisas insuperables.
1.-El ámbito competencial: la ampliación del criterio de “medios” a oferta de bienes y servicios
Un primer elemento destacable que debe ser aplaudido es la ampliación de la previsión de que las empresas que gestionen datos de ciudadanos europeos, aunque no estén o no dispongan de establecimiento en la UE tengan que someterse al nuevo Reglamento Europeo de Protección de Datos.
Aquí está a mi juicio el inicio del camino hacia la pastilla roja.
¿Cómo se actúa frente a una empresa sin sede en el territorio de la Unión europea?
Es necesario comparar las previsiones de Directiva 95/46 y el Reglamento que el sustituye. (Que lo amplia también al encargado de tratamiento) que prevé la competencia territorial en dos supuestos:
- Si hay un establecimiento en Europa.
El Reglamento se aplica al tratamiento de datos personales “en el contexto de las actividades de un establecimiento del responsable o encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no”.
No supone sino una incorporación y aclaración de lo previsto en la sentencia del TJUE sobre derecho al olvido que dilucidó la aplicabilidad de la Directiva a pesar de la responsabilidad en exclusiva por Google INC del tratamiento que realiza el buscador, limitándose Google Spain a prestar apoyo publicitario a la actividad
52 No obstante, como subrayaron, en particular, el Gobierno español y la Comisión, el artículo 4, apartado 1, letra a), de la Directiva 95/46 no exige que el tratamiento de datos personales controvertido sea efectuado «por» el propio establecimiento en cuestión, sino que se realice «en el marco de las actividades» de éste.
No se produce en consecuencia una modificación de gran trascendencia frente a la Directiva.
- No hay establecimiento en Europa
En este caso la Directiva introducía el criterio de “utilización de medios en la UE”, como atribución competencial salvo que se utilizaran únicamente con fines de tránsito por la UE. (Un ejemplo típico de medios utilizados exclusivamente para el tránsito son las redes de telecomunicaciones como ejes centrales o cables que forman parte de Internet y por las cuales pasan las comunicaciones Internet desde el punto de expedición hasta el punto de destino).Previsión que se ha aplicado en muy contadas ocasiones. Por ejemplo a los equipos instalados en los vehículos empleados en el proyecto “Google Street View”, con el fin de captar información en nuestro territorio (Resolucion E1829/2012).
El Reglamento en este supuesto introduce una importante modificación. Sustituye el criterio de utilización de medios en la UE por los tratamientos (externos a la UE) relacionados con la oferta de bienes y servicios (incluso gratuitos) a ciudadanos de la Unión o el control de su comportamiento (artículo 3.2).
Amplísima facultad que encuentra su precedente parcial en la atribución competencial en materia de comercio electrónico que según la interpretación del TJUE que alcanzara a la venta electrónica dirigida a consumidores de la Unión, de artículos de marca destinados por su titular a la venta en terceros Estados (como era el caso LÓreal en Ebay)
Previsión que introduce el Reglamento con una amplitud omnicomprensiva que supera incluso el concepto de servicios del artículo 57 del Tratado de la UE que lo contempla únicamente como servicios remunerados.
Así, todo tipo de web situada en Estados Unidos u otro tercer Estado ofreciendo cualquier tipo de servicio a ciudadanos europeos que recabe datos se sometería a las previsiones del Reglamento.
2.- Los limitados instrumentos para ejercer la competencia extraterritorial
No obstante, no cabe duda de que la clave se va a encontrar en la viabilidad de la “implementación” de tales previsiones competenciales extraterritoriales
a) El “representante”
El artículo 27 del Reglamento prevé que en el caso de que no haya un establecimiento en Europa el responsable o encargado deberá designar un “representante” en lo que respecta a las obligaciones derivadas del mismo. Previsión similar a la recogida en el apartado 2 del artículo 4 de la Directiva
Obligación de designación cuyo incumplimiento se contempla que pueda derivar en una sanción (artículo 83.4). Previsiblemente de difícil implementación …
b) la nueva estructura de relación y actuación entre las autoridades de control. En especial las “operaciones conjuntas”.
Recordemos que en una de las limitadas incursiones en Matrix-GAFAM que pudieron realizar las Agencias de Protección de Datos éstas constataron que los coches de Google utilizados en Google street, además de hacer fotografías, captaban –y transferían a Estados Unidos- datos a través de las redes WIFI abiertas, datos de localización e identificación de las redes inalámbricas como los SSID, las direcciones MAC y la posición geográfica en la que éstas fueron captadas .
La tramitación por las autoridades europeas del citado expediente relativo a Google Street exteriorizó los problemas de coordinación y coherencia derivados del haz de resoluciones de las autoridades nacionales sobre una misma materia que el nuevo Reglamento presumiblemente paliara
Así, la CNIL francesa impuso una multa de 100.00 euros, el Garante italiano un millón de euros, la Agencia alemana 145.000 euros, Austria prohibió de forma cautelar la circulación de sus automóviles por violar la privacidad. El ICO británico se limitó a ordenar la supresión de los datos evitando la imposición de multa alguna y en España nos embarcamos, tras una denuncia en vía penal, en un farragoso proceso que derivó cinco años después en un auto en el que se determinó el sobreseimiento y archivo de las actuaciones argumentando que, a pesar de que Google admitió que captaba datos en redes wifi abiertas, ello se debió a un error técnico de la compañía. Vía penal que todavía no ha concluido pues se ha presentado recurso frente al Auto que condiciona el procedimiento en materia de protección de datos
Las previsiones del Reglamento de coherencia, asistencia mutua, uniformidad en funciones y poderes –que requerirían un análisis detallado e independiente- intentan ir en esa línea.
Y en los casos de inexistencia de establecimiento en Europa debe darse la bienvenida al mecanismo de “operaciones conjuntas de autoridades de control” (artículo 62) que se han realizado en algún caso en el pasado y que aparentemente están previstos para estos supuestos en los casos en que no hay establecimiento en Europa: “si es probable que un número significativo de interesados en más de un Estado miembro se vean sustancialmente afectados por las operaciones de tratamiento”.
Avance que a mi juicio podría haber sido mayor -al seguir pivotando principalmente sobre las autoridades nacionales- si se hubiera dado un paso hacia una mayor “comunitarización” o centralización reforzando los poderes de una autoridad europea de protección de datos. Evitando una dicotomía entre Bruselas y las autoridades nacionales que no son una mera hipótesis. Recientemente las Agencias de Protección de Datos reunidas en el conocido como Grupo del artículo 29 emitieron un informe manifestando su preocupación ante el nuevo marco legal que regulara los intercambios de información entre Europa y Estados Unidos denominado Privacy Shield
c ) dos límites insuperables
Dos últimas limitaciones quedan en el aire, no obstante, como clave de bóveda: la ejecución de las decisiones sancionadoras en el exterior del territorio de la Unión y la posibilidad de realizar inspecciones en responsables instalados fuera de la UE.
Esto es, habrán designado un representante (o no), y éste según el artículo 58.1 a) deberá suministrar la información solicitada por la autoridad de control. Pero queda sin resolver la cuestión clave: la forma mediante la cual una autoridad va a poder ejecutar una multa impuesta a una empresa no radicada en Europa. Así, en el citado caso de empresas que actúan en el mercado electrónico vulnerando marcas el TJUE emplazaba a la actuación de los tribunales nacionales en materia de protección de derechos de propiedad intelectual.
Y -centrándonos en el segundo aspecto que es el vinculado al “conocimiento”- como es lógico la inexistencia de poderes de investigación fuera del ámbito de la UE limitara sobremanera la certidumbre de las labores inspectoras
Recordemos que los expedientes sobre la captación de información por los vehículos de Google Street view se produjeron al poder realizar inspecciones a los mismos por las diferentes Agencias al circular por los diversos territorios nacionales.También se han podido inspeccionar los tratamientos de Facebook al disponer de una sede en Irlanda
Tal circunstancia es difícil en muchas de las instalaciones de GAFA que realizan tratamientos extraeuropeos en un entramado que únicamente podemos intuir. Porque el itinerario hacia la pastilla roja nos enfrenta con difícilmente resolubles dilemas acerca de la gobernanza en internet, pilotada por Estados Unidos que Geert Lovink, teórico e investigador de los medios e Internet definía como el campo de batalla del siglo XXI y sobre el que concluía sorprendentemente que "Mi consejo es quedarte fuera de este embrollo. No merece la pena enfadarse”.
Eso sí, no nos engañemos. En algún momento se desvelaran claves que nos sorprenderán y probablemente nos disgustaran (¿Qué ocurre si descubrimos que nuestras búsquedas no se borran?). Presumiblemente traficantes de pastillas rojas en forma de whistleblowers (en la línea Snowden) nos harán descubrir la realidad del mundo paralelo en el que se tratan nuestros datos. Y entonces nos encontraremos frente al espejo.Frente a un conflicto de intereses interno entre nuestra privacidad y los enormes servicios y beneficios que nos ofrece la red.
Entre la silenciosa demanda tácita que trasladamos a GAFAM- Matrix y la invocación de nuestra sacrosanta privacidad y control sobre nuestros datos.
Y entonces habrá que tomar decisiones.Previsiblemente cada nueva información sobre nuestra privacidad nos abrirá un nuevo mundo en cuya supervivencia tendremos que replantearnos o mutar radicalmente nuestros principios en un ejercicio de transexualidad parecido al de los directores de Matrix: l@s herman@s Wachovski.
Y más que probablemente muchos se limitaran a decir, –mientras escuchan las noticias en la radio conduciendo o dejándose conducir- conscientes de las enormes ventajas derivadas y suministradas por GAFAM: “Nadie es perfecto” pasando a engullir la pastilla azul
No hay comentarios.