¿Están protegidos nuestros datos personales mientras hacemos uso del Internet? ‘Saluda a la nueva Era Digital’

En  la  actualidad,  el  uso  abusivo de  la  tecnología y la transformación de la Web 2.0, ha llevado consigo a la trasmisión de nuestros datos personales con mayor frecuencia, y lo más grave es que no somos consciente de que está ocurriendo. Actualmente, las redes sociales son las plataformas virtuales de mayor transferencia de datos personales. La Comisión Europea ha venido recibiendo numerosas denuncias durante años de personas que no han podido recuperar sus datos personales, ni siquiera una foto. Las autoridades responsables de la protección de datos, organizaciones profesionales y asociaciones de consumidores coinciden en que: “los riesgos para la protección de la intimidad y los datos personales están aumentando con las actividades en línea”.

En 2012, la Comisión Europea propuso una gran reforma de la legislación con dos propuestas de textos normativos. Ambos han sido analizados por el Parlamento  Europeo y el Consejo de la Unión Europea durante años aunque bien es cierto que se trataba de una prioridad para el año 2015.

El Reglamento General de Protección de Datos ya entró en vigor el 25 de mayo de 2016 aunque pocos se hayan enterado. Y esto es debido a que no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

Ahora bien, que no se tenga que aplicar en los Estados miembros no quiere decir que se tenga que obviar, pues el objetivo de dicho plazo es permitir a los que tratan nuestros datos a prepararse y adaptarse para el momento en que el Reglamento sea aplicable. No dejes para mañana lo que puedas hacer hoy. Y es que ya se está viendo venir. Llegará el 2018 y a prisas empezarán a trabajar. En estos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento.

Ahora, hablaremos de cuáles son los objetivos de la Comisión desde el 2012, para actualizar la Directiva y así lograr una protección efectiva. En primer lugar, Europa tiene dos grandes objetivos, o más bien ambiciones, por una parte, la efectiva protección de los derechos y  libertades fundamentales de las personas, en este caso, el derecho a la protección de datos, y, por otra  parte,  la  consagración  del  Mercado  Interior  Único,  entre otros,  la  libre  circulación  de  datos personales. Hoy en día las intenciones de Europa son las mismas que cuando se redactó la primera y única Directiva de Protección de Datos, sin embargo, el avance tecnológico ha hecho surgir nuevos retos.

PRIMERO.- Se pretendía reforzar  los  derechos  de  los  individuos,  y  al  mismo  tiempo,  reducir  las  formalidades administrativas, un protocolo burocrático, afín de asegurar una libre circulación de datos personales en la UE y demás países. Reducir la carga administrativa. La igualdad de condiciones reducirá el coste soportado  por  el  responsable  del  tratamiento.  Otra  manera  de  reducir  cargas  administrativas  sería cambiar el sistema de notificación. Los usuales responsables de tratamiento de datos reconocen que el sistema actual de notificación es pesado, e incluso, innecesario, ya que no supone ningún valor añadido desde el punto de vista de la protección de datos.

SEGUNDO.- Reforzar el Mercado Único Interior, aumentando la seguridad jurídica y garantizar condiciones iguales para todos los responsables del tratamiento. Consideramos una ambición de Europa, pero para que  resulte  este  mercado  interior  será  necesaria  la  armonización  completa  de  las  legislaciones nacionales. Ocurre porque la propia Directiva reconoce un margen de maniobra a los Estados que la transponen. Esta diferencia entre estados miembros genera un coste importante y, sobre todo, una inseguridad jurídica para los responsables del tratamiento e interesados.

TERCERO.- LO MÁS IMPORTANTE, EL CONSENTIMIENTO. Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.

¡NOVEDAD! Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.

Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles (origen étnico o racial, ideología, creencias, tendencia sexual). Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.

La carga de la prueba recaerá sobre el responsable, como podría ser, la empresa. Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

TERCERO BIS.- DERECHO A LA INFORMACIÓN. Hay que darlo mascado, dejarlo claro desde el principio, a partir de ahora no hay espacio para la duda. Esto me suena a las cláusulas suelo, cuando ocurra algún incidente, fijo que nadie sabrá nada, y para mayor inri, recordar que la carga de la prueba recae en el responsable, es decir, su palabra contra la tuya, lucha de versiones.

El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos. Si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

CUARTO.- Mayor protección a los datos sensibles. En este caso, la protección es por regla general, es  decir, no se especifican los datos que son considerados sensibles, puesto que los avances tecnológicos nos llevan a dudar sobre la consideración de algunos que son recientes,  como,  por  ejemplo,  datos  genéticos,  que  actualmente  no  son  considerados  como  tal. Entonces, la Comisión deberá determinar si otras categorías de datos deberían recibir tal consideración y, precisar aún más y armonizar las condiciones que deben cumplirse para el tratamiento de dichos datos sensibles.

QUINTO.-  Reforzar el marco institucional para una mejor aplicación de  las  normas  de  protección  de  datos. Así  se  puede  apreciar  en  la  jurisprudencia  del Tribunal  de Justicia de la UE, que las Autoridades Estatales de protección de datos deben de contar con los poderes  y  recursos  necesarios  para  realizar  correctamente  sus  tareas. Asimismo,  las Autoridades deberán cooperar entre sí y coordinar sus actividades. Es necesario, por tanto, revisar los Estatutos de dichas  autoridades para su armonización, garantizando una aplicación más coherente de las normas comunitarias,  y  reforzando  el  papel  de  los  supervisores  nacionales  de  protección  de  datos  y, finalmente, coordinando mejor su trabajo a través del Grupo de Trabajo del artículo 29 (GT29).

SEXTO.- El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.

El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos. Esto afecta sobre todo a los motores de búsqueda, es decir, al Dios 2.0, GOOGLE.

Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

SÉPTIMO.- El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Esta aplicación extensiva supone una garantía adicional a los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física sobre un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de internet.

Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las Autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades.

OCTAVO.- Habrá ‘mayor protección para nuestros menores’; se establece que la edad en la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Pero no entiendo porque da la posibilidad de rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores. Tendremos que esperar para comprobar si realmente esta novedad supone una real protección al menor.

Ahora bien, en el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

NOVENO.- ¿Qué es la responsabilidad activa que trae como novedad este Reglamento? Las empresas deberán adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. ¿Os suena los novedosos compliance program? Pues resulta algo parecido. El hecho de que una empresa dedique un sector de profesionales a la protección de datos podría considerarse una exención en la responsabilidad de éstas.

Es decir, el Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora. En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a Autoridades de supervisión.

Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.

En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.

Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.

¿Tienen las empresas que empezar a aplicar ya las medidas contempladas en el Reglamento? NO. El Reglamento está en vigor, pero no será aplicable hasta 2018.

Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España. Es decir, que no se puede esperar al último día.

Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las Autoridades de protección de datos.

Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquiera otra de las medidas previstas.

Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las Autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.

En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de facilitar pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.

DÉCIMO.- En qué consiste el sistema de ‘ventanilla única’? Este sistema está pensado para que los responsables establecidos en varios. Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única Autoridad de protección de datos como interlocutora y ésta analizará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las Autoridades de protección de datos de la Unión. Ese Comité resolverá la controversia mediante decisiones vinculantes para las Autoridades implicadas. Obviamente, se está pidiendo cooperación entre administraciones de distintos Estados. Esto será el actuar más común del S.XXI.

Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias Autoridades o con Autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia Autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa Autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia.

 

En estos renglones podemos observar cómo se manifiesta la intención de reforzar la confianza de los consumidores y esto se debe a que en los últimos años se ha experimentado una desconfianza en el mundo digital. Así lo transmite el Euro barómetro, concretamente, los resultados del 24 de junio de 2015: el 67% de los encuestados estaban preocupados por no tener control sobre la información proporcionada en línea. Desconfianza por desconocimiento, los ciudadanos no saben dónde van a parar sus datos o de qué manera serán estos tratados. En el mundo empresarial,  el  63%  de  los  consumidores  tiene miedo  a  ser  estafado,  no  confían  en  los  negocios.

Finalmente,  lo  que  si  resulta  casi  unánime  fue  la  expresión  de  los  ciudadanos,  reclamando  una  protección global, es decir, la misma protección independientemente del país.

La protección de datos y la privacidad se sitúan en todas las encuestas entre las preocupaciones destacadas de los ciudadanos. Teniendo en cuenta que los europeos hemos otorgado a la protección de datos el rango de  Derecho Fundamental y que por tanto se debe difundir el derecho y proteger a los  ciudadanos  como  velar  por  el  cumplimiento  de  la  legislación  española,  se  trata  de  algo imprescindible escuchar atentamente las necesidades que plantean todos los implicados y articular los mecanismos  necesarios  para  fomentar  las  garantías  necesarias.  La  protección  de  datos  vive  un momento  determinante,  por  un  lado,  con  continuos  cambios  tecnológicos  que  imponen  un  ritmo trepidante y que pueden tener un fuerte impacto en la vida privada de las personas y, por otro, con la próxima aprobación de un nuevo Reglamento General de Protección de Datos aplicable de forma directa en todos los países de la UE.

Para concluir, decir que la nueva era digital ha llegado, que tenemos dos años para ponernos al día, y hay una cosa que me inquieta. No todo el mundo sabe manejar los ordenadores, menos aún, saben manejar correctamente las redes sociales, por ende, no han oído hablar en su vida de la Web 2.0, ni están hechos para esta nueva era digital. Nunca es tarde para aprender, es por ello que desde hoy aviso. Tenemos que ponernos las pilas con las TIC’s porque son el futuro. Ya han dicho que algunas tareas profesionales desaparecerán con el surgir de las nuevas tecnologías, sin embargo, otras aparecerán. En lo que mi gremio respecta, abogados que hayan desarrollado habilidades en el derecho a las nuevas tecnologías, como a mí me gusta llamarlo. Abogados 2.0.

Oscar J. Labella

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s