El futuro de la privacidad
Junta de la Asociación Profesional Española de Privacidad.
Un año más APEP ofrece un dossier que incorpora opiniones de asociados y profesionales relevantes de nuestro sector que permitirá al lector entender qué ocupa y qué preocupa al sector. El año 2015 se presenta preñado de retos y oportunidades, pero también de obstáculos que superar. El derecho fundamental a la protección de datos es uno de los institutos jurídicos con mayor proyección social y normativa. El ADN de nuestra sociedad se integra por información y conocimiento, la economía en la que estamos y la economía hacía la que caminamos, la seguridad nacional o la garantía de nuestros derechos en el mundo de las redes necesitan de la protección de datos como clave de bóveda que dote de unidad al sistema y evite que este se derrumbe sobre si mismo.
Precisamente, por este carácter nuclear de nuestro derecho no podemos perder ni un segundo en celebraciones complacientes. Nuestro deber es poner sobre la mesa los retos inmediatos y los riesgos que enfrentamos. Y estos son muchos y variados, internos y externos.
Una nueva norma marco.
El largo periplo de la Propuesta de Reglamento General de Protección de Datos debe finalizar en este ejercicio, a lo sumo en los inicios de 2016. Europa necesita una única voz en materia de privacidad que facilite la aplicación del derecho y sea realmente la base del mercado interior de la información. Pero, esta norma presenta todavía sombras que deberán ser despejadas.
La primera de ellas, afecta a un modelo de tutela, el llamado one stop shop, cuya dificultad no acaba de convencer a los profesionales. En primer lugar, porque aparece en un contexto de diferencias significativas entre las distintas autoridades nacionales de protección de datos en la concepción del derecho fundamental a la protección de datos y del enforcement. Ello podría hacer evolucionar el sistema hacía estrategias de fórum shopping. En segundo lugar, porque desde el punto de vista del ciudadano, al igual que sucede en el ámbito del consumo, la autoridad más próxima a su domicilio suele ser la más accesible y de hecho la única razonable. Por último, porque la fórmula de ventanilla única coexistirá con normas administrativas y procesales no unificadas multiplicando los costes de asistencia legal de las empresas que no cuenten con establecimiento en todos los países.
La segunda, afecta a la propia conformación de la figura del DPO, o delegado de protección de datos personales. Sus capacidades y funciones nunca han estado en discusión, salvo el encaje de una figura de naturaleza independiente en el marco de relaciones laborales o mercantiles asimétricas entre empleador y DPO, en las que el primero debe poder reaccionar ante incumplimientos o negligencias del segundo. La cuestión nuclear reside aquí en el carácter obligatorio o voluntario de esta figura. Este no debería ser el debate. Un DPO obligatorio puro puede generar costes inasumibles para empresas y administraciones. Y ello explica las reticencias y rebajas que la Propuesta viene padeciendo. Sin embargo, su carácter absolutamente voluntario supondría en el caso de España una regresión si a la vez desaparece el modelo de inscripción obligatoria. Por ello la solución óptima reside en un modelo flexible que en algunos acaso determinara la existencia de DPO’s en el staff y en otros su contratación puntual para el estudio de proyectos y/o labores de asistencia y mantenimiento.
Aunque sí los principales, estos no son los únicos retos. El modelo sancionador, la notificación obligatoria de violaciones de seguridad, las autorizaciones previas y sobre todo los plazos y el modelo de despliegue de la nueva norma constituirán un reto apasionante.
El reconocimiento de los profesionales.
Un futuro sistema que recoge la figura del DPO y lo erige en garante del cumplimiento normativo, en interlocutor ante el ciudadano que ejerce sus derechos y en la clave de las relaciones entre las organizaciones y las autoridades de protección de datos personales, debe potenciar y respetar a los profesionales.
Hoy los profesionales son concebidos como un elemento necesario, pero auxiliar. En primer lugar, no cuentan con representación en el Consejo Asesor de la Agencia Española de Protección de Datos, pese a haberlo puesto de manifiesto en distintas ocasiones. Por otra parte, las líneas de diálogo abiertas por el regulador se refieren a empresas y administraciones sectorialmente relevantes, o directamente con el responsable o el ciudadano por medio de líneas telefónicas, o de consulta online o formalizada mediante procedimientos administrativos. No existe espacio para el profesional de la privacidad que debe apoyarse en un responsable que actúe como persona interpuesta si necesita de un criterio del regulador.
Este modelo es insostenible en un país con veinte años de trayectoria, con una doctrina científica reconocible a nivel global, y con profesionales formados en estudios de posgrado de calidad reconocida y curtidos en la aplicación de la Ley en el que probablemente sea el sistema más exigente del mundo. Las puertas de la Agencia Española de Protección de Datos deben abrirse a los profesionales en un modelo de integración y respeto que huya de cualquier tipo de subordinación.
Formación y certificación.
En este contexto, a los profesionales nos corresponde seguir apretando los dientes con dedicación, esfuerzo y sacrificio, como siempre hemos hecho. La Asociación Profesional Española de Privacidad apuesta por un modelo de rigor en el que la excelencia debe permear a cada uno de nuestros asociados. La formación debe ser el fluido amniótico en el que desarrollar de modo continuado nuestras vidas. El derecho fundamental a la protección de datos por su propia naturaleza evoluciona con rapidez y es altamente sensible al cambio tecnológico y jurídico. Esta naturaleza, su carácter vital para la sociedad de la información, y la variedad de entornos y disciplinas con las que interactúa obligan a definir perfiles profesionales con una formación pluridisciplinar y abierta en lo económico, lo tecnológico, lo social y lo jurídico. Debemos evitar a toda costa la visión de túnel en la que tantas veces se cae en nuestro ámbito, y para ello sólo existe una receta: formación.
Por otra parte, debemos ser reconocibles y ello define la Certificación ACP de APEP. Hemos trabajado muy duro para definir un estándar que se caracteriza por su rigor y calidad de contenidos, -acreditado por el Consejo Académico-, por la independencia en su gestión y concesión en un proceso en el los evaluadores como terceros independientes juegan un papel central, y por su apertura al entorno Europeo y el futuro Reglamento. El sector necesita verse reconocido en estándares exigentes, no se trata de certificar a muchas personas, aunque estamos seguros de que así será, se trata de garantizar la confiabilidad de todas y cada una de ellas. La certificación se acompaña de un ambicioso plan de formación en el que la selección de un profesorado de calidad y unos contenidos adecuados constituyen nuestro objetivo y marca distintiva.
Un derecho para el crecimiento económico y social.
Estas estrategias, responden sin duda a poner el derecho fundamental a la protección de datos y la aplicación de su marco normativo en el centro de un sistema que requiere de seguridad jurídica para su desarrollo. Ya pasó el tiempo en el que se aplicaba este derecho de modo reactivo, como su antecesor el derecho a la intimidad. Protección de datos personales significa proactividad. Ya pasó la época de abordar la tecnología como el enemigo, de concebir cada nuevo avance como un riesgo en sí mismo, de apuntar al caso concreto y perder de vista el horizonte.
El mejor modo, seguramente el único modo, de garantizar el derecho fundamental a la protección de datos consiste en insertarlo en los procesos de negocio como una herramienta útil y facilitadora, como un instrumento que proporciona seguridad, confiabilidad y se proyecta sobre el destinatario del servicio como una ventaja competitiva y atractiva. Dice un refrán que ۮmás moscas se cogen con miel que con hiel». Y de eso se trata, el derecho sancionador debe volver a su lugar natural de corrector de las patologías del sistema. Tras veinte años con la espada de Damocles pendiendo sobre nuestras cabezas, y con un Ordenamiento sancionador que se agravará con el Reglamento, se impone un giro de timón.
Los procedimientos sancionadores no pueden resolverse en términos de culpabilidad o inocencia y deben incorporar procesos de adaptación, de implementación de medidas de cumplimiento que favorezcan el aprendizaje. El modelo sancionador administrativo también debe tomar del artículo 25 de la Constitución la función de reinserción. Y por ello, debe reestudiarse si incluso la pena de imagen corporativa, que tan generosa es identificando a las empresas y administraciones infractoras, no debería, reservar la identificación del sancionado sólo para los casos más graves y reluctantes como sucede en otros sistemas. Un derecho sancionador que impone pavor en lugar de respeto, que actúa como un imán para dirimir conflictos que no son de protección de datos personales incrementando de modo inasumible el volumen de trabajo, y que no ofrece criterio o remedio, acabará por ser profundamente disfuncional y generador de una distancia insalvable entre los objetivos de la norma y los responsables de su cumplimiento.
Por otra parte, el regulador debe bajar a la arena, debe proveer “guidances” sectoriales de modo continuado y amplio, debemos importar del modelo anglosajón estas prácticas de ayuda al responsable. Y debe hacerlo desde una interacción profunda con quienes están a pie de obra. En muchas ocasiones se alcanzan soluciones de laboratorio, jurídicamente impecables pero de imposible aplicación. Y ello conduce a las organizaciones a una suerte de melancolía resignada y a una evaluación de riesgos que incorpora en la columna de costes el importe de las probables sanciones. Las soluciones en protección de datos requieren de diálogo sectorial, y de escuchar a los profesionales. Así lo ha entendido la Comisión, conceptos como la Privacy by design o by Default o las Privacy Impact Assessment o al establecer procedimientos como el de consulta previa. Estos objetivos se compadecen poco, y no funcionarán, en un marco relacional que hoy es profundamente vertical cuando necesariamente debería ser horizontal o transversal.
Los niños nuestro futuro.
No puede finalizarse esta reflexión sin subrayar la importancia vital de la privacidad de nuestros niños y niñas. APEP, y sus asociados, a través de la Comisión de menores, dedica y dedicará cada año esfuerzos a esta materia. El año 2015 se prevé una reforma completa de la legislación sectorial de menores. En los anteproyectos de Ley nada se dice sobre privacidad y sociedad de la información. Confiamos en que durante los trámites de enmienda parlamentaria este déficit se subsane dando lugar a una normativa más tuitiva en relación con los derechos de los menores y proactiva en el impulso de los esfuerzos de formación del profesorado, de los padres, y de los propios niños y niñas.