La LOPD y el Reglamento Comunitario: de la incertidumbre jurídica a la innovación
Nos hacemos eco de un interesante artículo de D. Javier Puyol en el confilegal.com.
Cualquier modificación legislativa, especialmente en aquellos sectores especialmente regulados, siempre es objeto de especial preocupación, ante la necesidad de adaptarse a los cambios producidos. Máxime cuando normalmente la nueva normativa lleva aparejada importantes sanciones pecuniarias, y que aunque sea sólo debido a la voluntad de evitarlas, determina la necesidad de proceder a realizar la adaptación.
Esto, en la actualidad está empezando a suceder en materia de protección de datos de carácter personal.
En este momento, se tiene la sensación de que estamos ante los momentos postreros de la Ley Orgánica 15/1.999, de 13 de diciembre, (LOPD), ante la próxima venida de un nuevo Reglamento Comunitario, que discipline la materia de una manera uniforme y homogénea desde el punto de vista de todos los países que componen la Unión Europea.
El problema que se avecina no tiene exclusivamente un componente estrictamente normativo, sino que en el mismo confluyen múltiples acontecimientos que van desde los estrictamente de naturaleza política, pasando por los avances técnicos, y nuevas prácticas y costumbres sociales, que desembocan todos ellos, ya no en la defensa de la privacidad o incluso de la intimidad, como derecho fundamental, sino que van más allá, en la necesaria protección de la confianza en los mercados, y en toda clase de relaciones jurídicas vinculadas a los datos de carácter personal.
POSIBLES NOVEDADES
Al hilo de ello, en un reciente artículo Miguel Recio reflexionaba sobre las principales novedades del futuro Reglamento Comunitario de Protección de Datos de Carácter Personal, y el modo en el que el mismo debería ser implementado en las legislaciones nacionales de los países de la Unión a juicio del Grupo de Trabajo del artículo 29, de la Directiva 95/46/CE.
En este sentido, Recio señalaba que algunas de estas novedades, según se indica en la declaración del GT 29 sobre el plan de acción, serían las de establecer la estructura administrativa del conocido como European Data Protection Board (EDPB), que a falta de traducción al castellano viene a denominarse como la “Junta Europea de Protección de Datos”; “la ventanilla única” (en inglés, “one stop shop”) y el llamado “mecanismo de consistencia”; guías para responsables y encargados del tratamiento así como un plan de comunicación en relación con el propio RGPD.
Sin perjuicio de la importancia de poder contar con instrumentos que permitan conocer qué criterios se seguirán, por ejemplo, para designar a la autoridad de protección de datos líder en el caso de la ventanilla única, podría ser muy positivo contar con guías para responsables y encargados del tratamiento ya que ello puede aportar un alto nivel de seguridad jurídica para quienes tratan datos personales lo que, sin duda, servirá para poder conseguir una protección efectiva del titular de los datos personales.
CUATRO MATERIAS
Las cuatro materias anunciadas que con toda probabilidad serán objeto de guías y recomendaciones tienen una especial relevancia, dadas sus implicaciones en la práctica.
Es así que habrá que ver qué consecuencias tiene el nuevo derecho a la portabilidad y, sobre todo, cómo se materializa y hace efectivo en la práctica, siendo además un derecho que tiene su origen en cuestiones de Derecho de la competencia, más que en protección de datos personales.
En cuanto a la noción de riesgo elevado y la evaluación del impacto sobre la protección de datos, es una cuestión que podrá seguirse también considerando la Guía publicada por la Agencia Española de Protección de Datos (AEPD) en 2014.
Las certificaciones son otra de las cuestiones a las que se atenderá, siendo deseable que se expliquen con un lenguaje sencillo y práctico, poniendo también la atención en la robustez y confiabilidad de certificaciones emitidas por terceros independientes de reconocido prestigio.
Y la cuarta cuestión, según indica Recio, es quizás una de las cuestiones más relevantes, pero que, incomprensiblemente, ha sido en cierta medida tratada con indiferencia, y que es la relativa al llamado “Delegado de Protección de Datos” (en inglés, “Data Protection Officer”).
Esta figura, que en la práctica puede ser considerada también como la conciencia de la organización, pública o privada, en materia de protección de datos, será una de las claves de la evolución futura de la protección de datos.
Es así que el hecho de poder contar con una guía, además de ser ya parte del Plan Estratégico de la AEPD, debe ser para nuestro país una oportunidad de impulso y profesionalización de dicha figura.
Estas cuestiones, unidas a otras muchas, hoy por hoy, pero sobre todo en un futuro muy cercano, van a ser el centro de atención en esta materia, porque ciertamente serán cuestiones que a la postre van estar necesitadas de un desarrollo jurídico nacional.
María Álvarez Caro señalaba, igualmente, la existencia de algunas cuestiones trascendentes que en la actualidad se están produciendo con relación a la protección de datos de carácter personal, al afirmar que no cabe duda de que la adaptación a las novedades del Reglamento es prioritaria en este año.
No comenzará a aplicarse hasta 2018, momento a partir del cual sustituirá a la Direcitva 95/46/CE ahora vigente, pero los deberes hay que prepararlos con antelación. Y estos deberes no son pocos: privacidad desde el diseño y por defecto (“Privacy by Design” y “Privacy by Default”), evaluaciones de impacto (PIA, “Privacy Impact Assesments”), notificación de brechas de seguridad, derecho al olvido o derecho a la portabilidad, etc., son algunas de las novedades del Reglamento.
CASO SCHREMS
Así debe tenerse en cuenta, por ejemplo, que el pasado 6 de octubre de 2015 el TJUE, en el marco del caso Schrems, invalidaba la Decisión 520/2000/CE que declaraba el nivel adecuado de protección del régimen de Puerto Seguro entre la UE y EEUU conforme a la Directiva 95/46/CE.
Con este fallo del TJUE, se ha generado una situación de inseguridad jurídica notable, con respecto a los mecanismos alternativos a Safe Harbour para las transferencias internacionales de datos. No obstante, todo parece que pronto las dudas se despejarán con reglas claras, con un nuevo acuerdo renovado entre EEUU y la UE.
También debe ponderarse que una parte relevante de la Estrategia de Mercado Único Digital, anunciada el pasado 6 de mayo por la Comisión Europa, se centra en ámbitos que afectan a la protección de datos, como es la “Free Data Flow Initiative”, analizando aspectos como la propiedad de los datos (“Data Ownership”) y estándares. Durante el mes de enero de 2.016, la Comisión de Interior del Parlamento Europeo respaldaba la Directiva de Ciberseguridad (Directiva NIS), que debe ser respaldada ahora por el Pleno del Parlamento Europeo y Consejo Europeo.
Esta norma traerá como consecuencia una serie de obligaciones para las empresas de sectores críticos que provean servicios esenciales, quienes tendrán que tomar medidas preventivas contra ciberataques y reportar brechas de seguridad.
COLABORACIÓN PÚBLICO-PRIVADA
La colaboración público-privada, asimismo, es una de las vertientes contempladas. Entre otras, afecta a empresas como buscadores y servicios basados en el Cloud Computing, si bien las redes sociales no están sujetas a la norma.
También la Comisión Europa ha anunciado que ahora toca revisar la Directiva de cookies (Directiva 2002/58/CE modificada por la Directiva 2009/136/CE conocida como Directiva de e-Privacidad), tras aprobarse el Reglamento europeo de Protección de Datos.
Todos estos avatares, y otros muchos que se van sucediendo en el día a día, ponen de manifiesto el gran número de cuestiones que en la actualidad están afectando a la regulación sobre privacidad, con independencia de la sucesión normativa que se avecina.
Por ello, debe reflexionarse sobre el modelo jurídico que efectivamente se hace necesario instaurar sobre la bases de tantos acontecimiento que están condicionando la actualidad, mediante una limitación de los derechos de los ciudadanos, y que establecen grandes incertidumbres sobre cuál es el camino que ha de seguirse para garantizar dichos derechos, y al mismo tiempo consolidar y favorecer el desarrollo tecnológico en el que estamos inmersos.
El éxito indiscutible del Mobile World Congress lo ha puesto de manifiesto una vez más.
COORDINACIÓN
Por ello, y como un elemento que se augura imprescindible, se hace necesario poner especial atención a la necesidad de coordinar adecuadamente la sucesión regulatoria que se va a producir entre la vigente Ley Orgánica 15/1.999, de 13 de diciembre, y el futuro Reglamento Comunitario de Protección de Datos. Debe partirse derecho de que la Directiva 95/46/CE constituye el texto de referencia, a escala europea, en materia de protección de datos personales.
Por el legislador comunitario se ha pretendido establecer un marco regulador destinado a establecer un equilibrio entre un sólido nivel de protección de los datos que afectan a la vida privada de las personas, y la libre circulación de datos personales dentro del ámbito territorial de la Unión Europea (UE), con independencia de las circunstancias que afecten al operador que lleva a cabo dichos tratamientos.
Con ese objeto, la Directiva pretendió fijar límites estrictos para la recogida y utilización de los datos personales y solicitar la creación, en cada Estado miembro, de un organismo nacional independiente encargado de la supervisión de cualquier actividad relacionada con el tratamiento de los datos personales.
Esto se ha reflejado en una desigual transposición de la citada Directiva en el ordenamiento jurídico interno de cada uno de los países de la Unión.
De tal modo, que el régimen jurídico de la protección de datos ha sido manifiestamente diverso con relación a la trasposición legislativa que se ha producido de la misma en cada Estado de la Unión, pese a que los principios que se establecían como punto de partida, eran los mismos e iguales para todos sus miembros.
Un ejemplo muy claro de ello se refleja en el ámbito del derecho sancionador, encontrado muy serio diferencias entre unos países y otros como consecuencia de dichos procesos legislativos.
Decía en una reciente publicación Cassagne que en el derecho público y particularmente, el derecho administrativo, constituyen categorías históricas que se nutren con elementos y circunstancias de cada país, y no le falta razón.
Desde un punto de vista interno del derecho español, han sido muy numerosas las críticas que se han efectuado a la redacción de la LOPD.
Así cabe señalar con Helguero, que la LOPD carecía de una exposición de motivos, motivado ello como consecuencia de la producción de más de cien modificaciones sufridas por el proyecto original en el ámbito parlamentario y la urgencia por adoptar las disposiciones de la Directiva 95/46/CE dentro del plazo establecido por la misma, la Ley carece de la necesaria Exposición de Motivos que toda Ley Orgánica debería tener, impidiendo de tal forma zanjar dificultades provenientes de las distintas interpretaciones que pueden realizarse a partir del texto legal; o no se contemplaba específicamente el tratamiento de datos personales con fines periodísticos o de expresión artística o literaria. Del mismo modo se puede afirmar la existencia de un amplio, tal vez excesivo, régimen de excepciones y de desarrollo reglamentario.
TRATAMIENTO
Al mismo tiempo, con relación al concepto del término “tratamiento”, ya que la temperatura es eso lo que mira que el hecho La Ley, en su artículo 3 donde se contemplan las definiciones, describe en términos amplios el concepto de tratamiento, incluyendo en el mismo tanto la recogida de datos, como su grabación, conservación, elaboración, modificación, bloqueo, cancelación y cesión.
A pesar que dentro del mismo concepto se incluyen distintas fases de lo que en términos coloquiales podemos denominar gestión de los datos en un fichero, a lo largo de la redacción de la ley se emplea el término tratamiento con significados concretos que se corresponden con los distintos conceptos que se encuadran en la definición de tratamiento, requiriendo incluso distintos requisitos en cada caso.
Así, se regula el consentimiento de manera diferenciada para la fase de recogida de datos o para la fase de cesión de los mismos, estando tanto la recogida como la cesión integrados en el mimo concepto de tratamiento.
Del mismo modo, se ha argüido la existencia de unas excesivas facultades de las Administraciones Públicas para ceder sus datos entre sí; una vaga y confusa expresión de interés público; o la existencia de una confusa utilización de los términos cesión y comunicación de datos, entre otras muchas cuestiones.
Todo ello conduce a la reflexión de que, si al final lo va a ocurrir lo mismo con el nuevo Reglamento Comunitario de Protección de Datos de Carácter Personal, al tener que ser los legisladores nacionales, los que terminen finalmente regulando múltiples aspectos que la futura norma, en aquellos aspectos que la misma quede sin concretar al ser aprobada, o precisamente, en función del margen de maniobra y de discrecionalidad que dicha norma comunitaria conceda al legislador interno, o a las autoridades nacionales de protección de datos.
Esta situación, da pie de nuevo la existencia de una amplia inseguridad jurídica, al caber la posibilidad de que se produzcan sean tantos desarrollos legislativos, como países integran la Unión.
¿SE DEROGARÁ LA LOPD POR ENTERO?
De nuevo en el ámbito interno español, cabe preguntarse si la LOPD será derogada por entero, o por el contrario se mantendrán vigentes aquellos aspectos normativos que no sean incompatibles con el nuevo Reglamento, o aquellos en los que éste no extienda su ámbito de regulación, o que, en su caso, guarde silencio, o permita a las autoridades nacionales, bien sean legislativas o meramente regulatorias, que ejerzan con cierta libertad su potestad reglamentaria dentro de las nuevas atribuciones legales que les sean reconocidas o atribuidas al efecto.
Incertidumbre juridica vs innovacion
Estas incertidumbres, como antes se apuntó, crean una notable inseguridad jurídica, teniendo en cuenta además, que en algunos casos, dicha adaptación conlleva grandes inversiones económicas, y un más que notable consumo de recursos materiales, humanos y organizativos para las empresas, que no se pueden improvisar, y que es necesaria ordenar y adscribir con tiempo, a los efectos de un mejor cumplimento normativo.
También es sin duda un momento excepcionalmente oportuno, para dar un nuevo impulso al derecho de la privacidad, si entre todos los afectados por dicha nueva regulación: legislador, autoridad nacional, expertos en protección de datos, empresas y responsables de ficheros, y afectados, se consiguen mayores cotas en la defensa de los derechos de los titulares de los datos, y al mismo tiempo, una mayor versatilidad en la libre circulación de los mismos, y en su tratamiento, de modo y manera que la industria sea vea notablemente favorecida por los cambios normativos que vamos a atravesar.
Todo ello constituye un llamamiento a la previsión, obviamente también a la ponderación y a la prudencia, pero es el momento de la innovación, del cambio y del avance en una materia que ha sufrido ostensibles modificaciones desde aquellas previsiones constitucionales establecidas en el artículo 18.4 de nuestra Constitución, que si bien es un punto de partida, desde luego hoy no constituye hoy en día, un punto de llegada.
Javier Puyol. Via: confilegal.com