Resumen Jornada de la Cámara de Comercio de EEUU en España sobre la Legislación Europea sobre protección de datos y su impacto en España.
Jornada de la Cámara de Comercio de EEUU en España sobre la Legislación Europea sobre protección de datos y su impacto en España.
Resumen elaborado por Jesús Fernández Acevedo, asociado de APEP.
El 18 de Abril se ha organizado por la Cámara de Comercio de EEUU en España (AmChamSpain) y más concretamente por el grupo de trabajo de Privacidad y Protección de Datos perteneciente al Comité de economía Digital de dicha Cámara, una jornada sobre el impacto en España de la (próxima) legislación europea sobre protección de datos, en donde la mayoría de los ponentes han resaltado dos temas pioneros que se hacen necesarios enfocar adecuadamente en la nueva regulación: la portabilidad de los datos y el controvertido “derecho al olvido”.
Tras la presentación del propio Comité de Economía Digital, precedida del correspondiente discurso de apertura por el presidente de AmCham así como del embajador de EEUU en España, el primer panel contó con la excelente labor de Martí Saballs, Subdirector de Espansión, como moderador, cediendo la palabra en primer lugar a Giovanni Buttarelli, Adjunto al Supervisor Europeo de Protección de Datos, que aunque no pudo responder a la pregunta del millón acerca de cuando se podría aprobar y publicar el nuevo Reglamento Europeo de Protección de Datos, alegando que Europa se está jugando demasiado en la confección de la nueva legislación (“Estamos en el momento más importante de la protección de datos. No podemos cometer errores”, señaló), ya que dicha regulación regirá la privacidad de los ciudadanos europeos durante un considerable periodo de tiempo en los años venideros, apoyando la propuesta al reforzar derechos, clarificar el consentimiento y mejorar el enforcement, sí se centró en la acuciante necesidad de mejorar los derechos de los interesados especialmente en lo relativo a los tratamientos de datos online o los de menores, evitando “data breaches” similares a los que sufrió el año pasado la red Sony Playstation y fijando los pilares básicos de los que debe ser una adecuada “accountability”.
Pablo García, Letrado en Cortes y Profesor de Derecho Europeo en Internet, se centró en el contexto del Big Data, la posibilidad inmediata de googlear a cualquier persona por la calle y la dificultad de implementar el derecho al olvido especialmente por el conflicto constante entre privacidad y el uso económico del dato, alegando a la necesidad de volver al concepto original de la privacidad como el derecho a ser dejado en paz como si fuera un chip que se pudiera activar y que permitiese a los ciudadanos desconectar cuando ellos quisieran de la vida social.
Rafael García, Coordinador del Departamento Internacional de la Agencia Española de Protección de Datos (AEPD), señaló que España es un buen ejemplo en el tema de protección de datos ya que las personas son verdaderamente dueños de sus datos y reafirmó la función de dicha entidad ya que la AEPD se dedica a aplicar la norma pero no a crearla. Su visión de la Directiva Europea 95/46 ha conseguido muchos de los objetivos que planteaba pero con bastante dispersión entre los distintos Estados Miembros, pero era una Directiva que utilizaba requisitos territoriales que eran los más adecuados para la era pre-internet pero no para la actual, quedando por ello alguno de los requerimientos más útiles, tales como la inscripción de ficheros, bastante superados, haciéndose necesaria la simplificación de la burocracia pero garantizando en todo momento el nivel de protección. Respecto al derecho al olvido, la AEPD se muestra muy reivindicativa en la necesidad del mismo. Pero sobre todo, la AEPD se posiciona de forma muy activa respecto a la “accountability” para superar las dificultades de control posterior, y considerando que el concepto “accountability” no goza todavía de una correcta traducción al español y en demasiadas ocasiones se confunde con una mera “rendición de cuentas”.
Ya entrados en el Segundo Panel, el cual se enfocó en la revisión de la Directiva 95/46 y las actuales propuestas publicadas por el sector de la Industria, Sarah Lambert, Directora Adjunta de la Comisión Europea, reafirmó la necesidad de que la gente pueda confiar en Internet y para que ello sea posible se necesita transparencia, privacidad, y que el consentimiento de los ciudadanos sea siempre específico para el tratamiento concreto, y especialmente, poder saber exactamente cuál es la autoridad a la que se pueden dirigir para hacer valer sus derechos (especialmente en el ámbito online) corrigiendo para ello el fraccionamiento regional y apostando por nuevos puntos de contacto con el fin de que sea posible aplicar una única norma en el ámbito europeo y ayudar a las PYMES a la hora de poder garantizar los derechos de los interesados, especialmente con el derecho al olvido que no hay que confundirlo con la censura. Su conclusión es que el nuevo marco verdaderamente está a la altura del nuevo entorno digital.
Por su parte, Julio Fuentes, del Ministerio de Justicia, subrayó la necesidad de que la regulación sea plana al existir tantos problemas sectoriales específicos, haciéndose necesario un sistema más flexible, una norma sencilla y clara que reduzca la litigiosidad; los elementos esenciales deben de estar siempre claros, como la transparencia o el consentimiento que debe de ser siempre específico y nunca debe de traducirse como consentimiento válido la inacción del interesado, e incluso la utilización de códigos de autorregulación o la necesidad de un acercamiento legislativo europeo y americano con el fin conseguir sistemas jurídicos más integrados que permitan que los datos puedan circular libremente siempre que se encuentren debidamente protegidos.
Joana Marí, del Máster IP&IT de Esade, replanteó el derecho a la protección de datos, ya que ahora es el momento perfecto para analizar el futuro, cuestionándose el significado del control de los mismos, señalando que obligaciones como la de inscribir ficheros están agotadas en sí mismas, o la necesidad de que los titulares de los datos puedan ser proactivos y gocen de auténticas garantías que sean fácilmente accesibles. Concluyó afirmando en la necesidad no de generar nuevos derechos sino en centrarnos en soluciones para los ya existentes, porque ahora mismo somos incapaces de imaginarnos que va a ocurrir dentro de 10 años con la información personal que estamos divulgando en Internet ahora mismo.
Jean Gonie, Privacy EMEA Director de Microsoft, declara que es un momento clave en la regulación normativa ya que ésta materia afectará económicamente a todos los sectores y mientras en EEUU tienen una única visión de la privacidad, en Europa existen 27 opiniones distintas. Por ello, se hace necesario reforzar el principio de neutralidad en la industria con el fin de que la armonización sea fundamental y el diálogo con la UE sea constructivo con las empresas teniendo en cuenta que nos encontramos en una nueva realidad, especialmente en el facto “cloud”, con conceptos novedosos como la privacidad por diseño o la privacidad por defecto. Asimila la privacidad a la posibilidad de colocar en la puerta el cartel de “No molestar”.
Dovie Holland, de la embajada de EEUU, reafirma la necesidad que tienen los consumidores de gozar de buenas prácticas en privacidad y la importancia de que las organizaciones empiecen a utilizar códigos de conducta propios y que sea la Cámara de Comercio la que lo revise en caso de que no se cumplan.
Bárbara Olagaray, Legal & Corporate Affairs Director de Microsoft, mostró la satisfacción de Microsoft con la nueva regulación, reafirmando que la Industria debe de ser crítica con la misma. Los clientes
de la industria deben de tomar decisiones debidamente informados, para que la portabilidad de los datos pueda ser realmente efectiva, saber cuáles son sus datos, y sobre todo que exista un formato único de portabilidad porque esto podría suponer restricciones para la industria. Igualmente los Data Breach deberían ser supuestos específicos y no tan generales como están proyectados ahora. Igualmente el rol del responsable y el del encargado deben de delimitarse de forma adecuada ahora más que nunca, especialmente para poder ejercitar adecuadamente el derecho al olvido especialmente en los datos que tratan terceros.
En representación de APEP, su Presidente, Ricard Martínez habló de la privacidad como un valor universal muy ligado a la tecnología desde el origen de la misma, y por ello, el valor que pueden añadir los profesionales de la privacidad en este momento es más que esencial, debido a que aunque en la actualidad la ciudadanía empieza a tomar bastantes precauciones en temas relacionados con la privacidad, será dentro de 15 años cuando la actual generación “Tuenti” sea la que tome más precauciones porque habrán sido los más vulnerados. Se hace necesario que quede bastante claro que la privacidad forma parte del negocio y en ningún caso está en contra del negocio, porque a ella le sigue la seguridad y por ende la confianza de los clientes, la cual sirve para fidelizar los mismos. Por ello, la figura del Data Privacy Officer (DPO) se va a configurar como esencial en el negocio y por ello va a necesitar un estatuto estable para el DPO dentro de la organización: en ningún caso el DPO no tiene que ser la persona última a la que se recurre porque siempre pone pegas, no es la persona que dice que “NO” a todo sino la persona que aporta un valor añadido de seguridad, control de procesos y confianza.
Bárbara Navarro, Directora de Políticas Públicas de Google, apoya la portabilidad pero enfocándola siempre respecto al control de los usuarios, al igual que el derecho al olvido, ya que el control significa que el usuario pueda llevarse sus datos cuando quiera y pueda llevárselos a la competencia, por ello es necesario concretar el derecho al olvido. Por último recalcó también la necesidad de diferenciar la figura del “data controller” y del “data processor” de forma adecuada.
Robert Mourik, de Telefónica, alegó que la experiencia les ha demostrado que cuando el usuario marca una casilla no implica que haya dado un consentimiento válido ya que después duda del mismo, al igual que las transferencias internacionales, ya que las mismas le generan muchísimas dudas e inseguridad jurídica.
Carlos Alonso, Presidente de la Asociación Multisectorial de la Información (ASEDIE), afirmó que la LOPD ha sido demasiado dura con las empresas españolas del sector y ha impedido el comercio en España, con casos como una empresa que está presente en cinco países distintos y cada uno de ellos con distintas formas para un mismo tratamiento. Señaló igualmente que el derecho al olvido no tiene sentido, porque en el momento en que un imputado trasciende al ámbito público dejan de regir las normas de la privacidad, ya que las mismas son perfectamente válidas mientras dichos hechos no trasciendan al ámbito privado, pero se necesitará recurrir a otras reglas en el momento en que se trascienda dicho ámbito.
Jane Reeves de Thomson Reuters, reafirmó la idoneidad de la normativa teniendo en cuenta los cambios globales que están trascendiendo la regulación de la privacidad.
Como última exposición, Flora Egea, DPO de IBM, desde el punto de vista de la normativa se han perdido la oportunidad de regular los BCI. Igualmente, recalca que el nuevo Reglamento no permite la innovación, ya que los costes suben demasiado, las sanciones económicas son terribles y la responsabilidad solidaria es un punto negativo que no ayuda en las relaciones comerciales. Es por ello que no se va a invertir en innovación a causa del miedo que va a provocar la nueva regulación.
La Jornada ha servido para dejar en evidencia que es un momento crucial y determinante de que cara a la futura regulación de la privacidad y con ella el papel que vamos a desempeñar los profesionales que nos dedicamos de lleno a reforzar la presencia de la misma como garantía de los derechos de los ciudadanos en nuestra sociedad actual.