Boletín especial Día Europeo de la Protección de Datos. RGPD: la opinión de las instituciones
Para conmemorar el Día Europeo de la Protección de Datos 2017, la Asociación Profesional Española de Privacidad (APEP) ha elaborado un boletín informativo especial dedicado al Reglamento General de Protección de Datos, que cuenta con entrevistas con Mar España, Directora de la Agencia Española de Protección de Datos; Maria Àngels Barbarà i Fondevila, Directora de la Autoridad Catalana de Protección de Datos; y José Luis Piñar Mañas, Vocal Permanente y Presidente de la Sección Tercera, de Derecho Público, de la Comisión General de Codificación. Desde APEP queremos agradecer su valiosa aportación así como su colaboración.
Para descargar el boletín especial en PDF haga click aquí
+
+
Boletín especial
Día Europeo de la Protección de Datos 2017
Reglamento General de Protección de Datos
La opinión de las instituciones
–
El boletín incluye entrevistas con:
Mar España, Directora de la Agencia Española de Protección de Datos
Maria Àngels Barbarà i Fondevila, Directora de la Autoridad Catalana de Protección de Datos
José Luis Piñar Mañas, Vocal Permanente y Presidente de la Sección Tercera,de Derecho Público, de la Comisión General de Codificación
+
Para descargar el boletín especial en PDF haga click aquí
+
+
Carta de la presidenta
Querid@s asociad@s:
Quería dirigirme a vosotr@s con ocasión del día europeo de protección de datos. No todas las profesiones tienen la fortuna de contar con una festividad propia. Y merecemos y debemos celebrarlo porque es una profesión apasionante y que nos exige más cada día.
Nos exige, en primer lugar, porque nuestra profesión pivota en torno a un derecho que es considerado fundamental en Europa. En efecto, debemos felicitarnos porque nos hemos dotado de instrumentos que reconocen y protegen la protección de datos como elemento esencial para proteger la dignidad de la persona y es un garante para nuestra libertad. Y, como todo derecho fundamental, se trata de un derecho que no es absoluto y que debe convivir con otros derechos y libertades fundamentales e intereses legítimos, incluidos los intereses comerciales y la seguridad de nuestra sociedad. Por ello, el profesional de la privacidad tiene, entre otras, la difícil tarea de contribuir al análisis de cómo realizar un adecuado equilibrio en cada caso.
Nos exige, en segundo lugar, porque operamos en un entorno de constante cambio, tanto en el ámbito tecnológico como en el ámbito legislativo. En el ámbito tecnológico, debemos convivir con las redes sociales, con el Internet de las cosas y las comunicaciones máquina-máquina, con los desafíos de la inteligencia artificial, con lo “instantáneo” (las noticias, los mensajes, no querer leer más 3 de líneas, etc.), con los servicios en la nube, etc. En el ámbito legislativo, todas las semanas hay una “novedad” que hay que identificar, procesar y adoptar medidas: nuevas normas como el Reglamento General de Protección de Datos; guías interpretativas de las autoridades de control (e.g., anonimización y reutilización del sector público, DPO, portabilidad, autoridad líder, deber de informar); propuestas de nuevas normas, como el nuevo Reglamento de e-Privacy; sentencias del Tribunal de Justicia que reconocen el derecho al olvido o invalidan el sistema de Safe Harbor para las transferencias internacionales a los EE.UU.; nuevos sistemas de “adecuación” como el Privacy Shield; borradores de códigos de conducta (e.g., servicios cloud o aplicaciones móviles en el entorno de la salud); comunicaciones de la Comisión sobre los derechos de propiedad sobre los datos, etc. Nada que ver con la (relativa) estabilidad del derecho civil o procesal… Protección de datos es una materia en constante evolución.
Nos exige, en tercer y último lugar, porque el Reglamento General de Protección de Datos ha marcado un punto de inflexión de no retorno al crear, con fecha de entrada en vigor en mayo de 2018, una normativa compleja y con fuertes sanciones así como un mercado de servicios profesionales de la privacidad europeo. Debemos aprovechar esta oportunidad porque las organizaciones públicas y privadas necesitan diversos tipos de profesionales de la privacidad para incorporar, con el adecuado equilibrio y sentido común, una cultura de protección de datos en sus procesos de negocio y tecnología. Y, para tener “equilibrio y sentido común” hay que tener conocimiento y experiencia. En APEP, atesoramos mucho de ese conocimiento y experiencia, y hemos apostado por una rigurosa formación continua y nuestra certificación.
Os animo a que sigamos compartiendo conocimiento y experiencia en el seno de APEP y que, cada un@, en nuestra labor diaria (de asesoramiento estratégico o en materia de cumplimiento, como abogad@s, consultor@s o técnic@s o con acciones de diplomacia corporativa) contribuyamos a poner en valor una profesión valiosa para la sociedad digital y global actual: ¡la nuestra!
Cecilia Álvarez, presidenta de APEP
Entrevista con Mar España
Directora de la Agencia Española de Protección de Datos
“Estamos convencidos de que promover esquemas de certificación en este ámbito es una opción estratégica con vistas a dotar de seguridad y fiabilidad al sector”
Con motivo de la celebración del Día Europeo de Protección de Datos, ¿qué celebraría Ud. como característica o hito más relevante de la cultura en protección de datos instaurada en España?
Uno de los hechos por los debemos sentirnos más satisfechos es la creciente importancia que ido adquiriendo el derecho fundamental a la protección de datos, tanto para los ciudadanos como para las organizaciones que tratan datos personales. Buen ejemplo de ello es el incremento que año tras año presenta el número de consultas recibidas por los diversos canales de atención de los que dispone la Agencia. Recibimos al año más de 200.000 consultas, lo que supone una muestra de la importancia que los ciudadanos, y cada vez más los responsables, otorgan a la protección de datos personales.
En cualquier caso, y con la vista puesta en el futuro, hay que destacar que la Agencia se enfrenta a un reto de gran envergadura: facilitar, en la medida de lo posible, el camino para que la senda de adaptación al Reglamento General de Protección de Datos –que como saben será aplicable el 25 de mayo del año que viene- sea lo menos complicada posible para los sujetos obligados al cumplimiento.
“Cumplir con la normativa y efectuar un tratamiento adecuado respecto a los riesgos y la seguridad de las personas comporta no sólo una ventaja competitiva sino un factor de fidelización”
En la Agencia estamos trabajando duramente en ello, y vamos a seguir, por un lado, potenciando la concienciación ciudadana y, por otro, facilitando los materiales e instrumentos necesarios a las pequeñas y medianas empresas para ayudar en esta tarea de adaptación. Para esta decimoprimera edición del Día europeo de protección de datos, hemos querido centrar nuestros esfuerzos en las pymes, que constituyen el 99% del tejido empresarial español. Con motivo de esta efeméride, en la Agencia hemos presentado nuevos recursos elaborados en colaboración con la Autoridad Catalana y la Agencia Vasca de Protección de Datos. Ya está disponible en nuestra página web una nueva sección específica en la que pueden encontrarse, entre otros materiales, la ‘Guía del Reglamento para responsables de tratamiento’, unas ‘Directrices para elaborar contratos entre responsables y encargados’, y una ‘Guía para el cumplimiento del deber de informar’. Además, en esta línea, ya estamos trabajando en la próxima puesta en marcha de un test online que va a resultar muy útil para las empresas que realicen tratamientos que en principio plantean un bajo o muy bajo riesgo para los derechos de los interesados, y con la que les ofreceremos el acceso a las medidas de cumplimiento que el Reglamento Europeo exige en estos casos.
En ocasiones, desde algunos sectores, se ha querido dar la impresión de que la protección de datos frena el desarrollo tecnológico o es una carga para las empresas. En la AEPD estamos convencidos de lo contrario. No puede existir un auténtico desarrollo, con lo que ello implica de evolución, si no respeta los derechos fundamentales de las personas. Como ya he comentado en otras ocasiones, que las organizaciones cumplan con la normativa de protección de datos y efectúen un tratamiento adecuado respecto a los riesgos y la seguridad de las personas comporta no sólo una ventaja competitiva sino un factor de fidelización.
“Creemos que los profesionales son un elemento de gran importancia en el cumplimiento normativo, una importancia que se va a proyectar con la aplicación del nuevo RGPD”
¿Qué papel considera tienen actualmente los profesionales de la privacidad en España y, en su caso, cuál cree debería tener dicho colectivo? ¿Alguna recomendación/valoraciones que le gustaría hacerle llegar ahora mismo?
En la Agencia creemos que los profesionales de la privacidad son un elemento de gran importancia en el cumplimiento normativo, una importancia que se va a proyectar con la aplicación del nuevo Reglamento General de Protección de Datos. De hecho, en un dictamen que hemos publicado recientemente las autoridades europeas de protección de datos, los Delegados de Protección de Datos (DPD) aparecen definidos como un “elemento nuclear para muchas organizaciones”, y esto es una realidad innegable.
En este sentido, me gustaría hacer referencia a un punto del Reglamento que hace referencia a las certificaciones. La Agencia está trabajando en la definición de los criterios o esquemas de acreditación y certificación, tanto de organizaciones como de personas, en los términos que prevé la normativa.
En particular, aunque el Reglamento no las menciona, en esta aproximación a los esquemas de certificación se incluye el de los profesionales de la protección de datos llamados a ocupar las posiciones de Delegados de Protección de Datos en las respectivas organizaciones. La Agencia apuesta así por esta forma de establecer y demostrar la cualificación profesional de los DPD, porque estamos convencidos de que promover esquemas de certificación en este ámbito es una opción estratégica con vistas a dotar de seguridad y fiabilidad al sector. La certificación no será la única vía de acceso a la profesión, ni tampoco será obligatorio utilizar un determinado esquema de certificación. Pero la Agencia está trabajando en diseñar, en colaboración con la ENAC, unos criterios tanto de certificación, como de acreditación de entidades certificadores que garanticen un nivel adecuado de habilidades y competencias en los profesionales que se certifiquen con ellos. En este sentido, tenemos la intención de poder disponer de un primer borrador de ese esquema a finales de marzo. Está previsto que ese borrador se distribuya con posterioridad al Comité que tiene que crearse para que colabore en la revisión y futura aprobación del texto definitivo.
En cuanto al establecimiento de vínculos de colaboración, también debo mencionar el grupo de trabajo creado con representantes de las principales asociaciones de profesionales de protección de datos, entre las que se encuentra APEP, ya que desde su experiencia pueden trasladar a la Agencia los principales aspectos del Reglamento cuya aplicación plantea dudas o dificultades específicas, así como posibles soluciones.
“Nosotros entendemos que lanzar vías y tender puentes para que los ciudadanos se comuniquen con nosotros para plantearnos sus dudas es una obligación”
La AEPD ha empezado el año apostando fuertemente por acercarse al ciudadano con la presentación de un blog propio además del soporte que ofrece a menores vía Whatsapp. ¿Cuáles serían los siguientes canales digitales a los que le gustaría llegar?
La web de la Agencia ya ofrece información práctica para que los ciudadanos conozcan cómo pueden ejercer su derecho al olvido, cómo solicitar a quien está tratando sus datos que proceda a rectificarlos o cancelarlos, o qué pasos debe seguir un ciudadano para eliminar determinadas imágenes o vídeos publicados en internet, entre otros muchos contenidos. También hemos renovado nuestras preguntas frecuentes, que incluyen la respuesta a más de 200 consultas planteadas por ciudadanos y responsables. Para nosotros, afianzar una cultura de protección de datos pasa indudablemente por ofrecer la información desde todas las vías posibles, tanto a los ciudadanos para que sean más conscientes de sus derechos y cómo ejercerlos como a aquellos que tratan datos, para que conozcan cómo cumplir con sus obligaciones. El año pasado la Agencia apostó de manera prioritaria por la información a los menores y a sus padres y profesores, sin descuidar otros ámbitos en los que también tenemos que trabajar debido a la transversalidad de la materia. Así, rediseñamos la web www.tudecideseninternet.es, y pusimos en marcha un teléfono específico (901 233 144) y un servicio de Whatsapp (616 172 204) para que pudieran plantearnos allí todas las dudas relativas a estos tratamientos de datos, ampliando también las guías y los materiales disponibles. Nosotros entendemos que lanzar vías y tender puentes para que los ciudadanos se comuniquen con nosotros para plantearnos sus dudas es una obligación. Además, estamos convencidos de que el ámbito educativo es un elemento de transmisión indispensable para trabajar en la concienciación a medio y largo plazo, y por eso hemos trabajado en facilitar a las Administraciones educativas del Estado y de las Comunidades Autónomas los recursos que están disponibles en nuestra página web.
Por otra parte, y como bien dice, hemos incorporado una nueva vía de comunicación, un blog divulgativo, con el que la Agencia quiere dar a conocer tanto las nuevas iniciativas que ponga en marcha siempre teniendo en cuenta la importancia de ofrecer información práctica a los ciudadanos, para que conozcan sus derechos, y a los responsables, para facilitar el cumplimiento de sus obligaciones. Por último, no puedo dejar de referirme a las guías o estudios que tenemos previsto lanzar este año, ya que todas estas actuaciones en paralelo son esenciales para afianzar y, a la vez, fomentar una verdadera cultura de protección de datos.
¿Tienen los padres un “derecho sobre sus hijos” que les permite consentir cualquier tratamiento de los datos personales de sus hijos (en particular, en las redes sociales)?
Desde la óptica de protección de datos, el tratamiento de datos relativo a menores está recogido en el artículo 13 del Reglamento de la LOPD. La legislación española actual fija en 14 años la edad en la que una persona puede consentir por sí misma el tratamiento de sus datos personales por lo que, hasta esa edad, son sus progenitores los que deciden por ellos.
La protección de los datos personales de los menores es un tema prioritario para la Agencia, tanto cuando son ellos los que publican su propia información personal en internet como cuando son sus padres quienes lo hacen. Para que esta protección sea efectiva es necesario realizar campañas de concienciación y de sensibilización, tanto orientadas a los menores como a los padres y la ciudadanía en general, alertando de que las fotos que se publican en una red social pueden difundirse más allá de lo que se había previsto, ya sea porque no se ha configurado el perfil de forma adecuada o porque al tratarse de información digital es fácilmente copiable y reproducible.
“Los menores son un colectivo altamente vulnerable, y los padres o tutores tienen la responsabilidad de proteger”
Hay que destacar que los menores son un colectivo altamente vulnerable, y los padres o tutores tienen la responsabilidad de proteger su derecho a la protección de datos. La publicación de información o imágenes sobre ellos (algo que también sucede con los adultos) debe estar fundamentada en el sentido común. Esa información o imágenes que se publican van alimentando una biografía digital, que en ocasiones o con el paso del tiempo puede adquirir más peso que la real. Los ciudadanos deben ser conscientes de que la información que publican hoy (de ellos mismos o de sus hijos) pueden revelar detalles importantes sobre sus gustos, preferencias o hábitos. Ese riesgo se acrecienta cuando estamos hablando de información o fotografías de menores.
Por otro lado, desde una perspectiva más amplia, es importante mencionar que el Código Civil prevé que pueda existir un conflicto de intereses –ya sea entre los progenitores y el menor o entre los propios progenitores–, por lo que en esos casos habría que acudir al Derecho Civil.
Entrevista con Maria Àngels
Barbarà i Fondevila
Directora de la Autoridad Catalana de Protección de Datos
Autoritat Catalana de Protecció de Dades
“La protección de datos no debe impedir que muchos datos puedan ser reutilizables, o que las ciudades puedan incorporar mejoras en los servicios a partir del análisis de la información disponible”
¿Cuál será el papel de la Autoridad Catalana de Protección de Datos en la aplicación del Reglamento Europeo de Protección de Datos?
La Autoridad Catalana de Protección de Datos está plenamente implicada en el proceso de implementación del nuevo Reglamento Europeo de Protección de Datos. En realidad, algunas de las medidas previstas en el nuevo Reglamento ya habían sido introducidas por la Autoridad Catalana de Protección de Datos en algunos de sus dictámenes (evaluaciones de impacto sobre la privacidad, minimización de los datos, seudonimización, etc.) o a través de iniciativas específicas como los Premios de Protección de Datos en el Diseño, que en la Autoridad Catalana iniciamos en el año 2013 y de los cuales vamos a convocar en breve la quinta edición, en este caso con una novedad importante, puesto que por primera vez el Premio, y en su caso los accésits, van a contar con una dotación económica.
El nuevo Reglamento elimina algunos de los requisitos o cargas existentes hasta ahora como eran la aprobación de ficheros de carácter público y su notificación a los registros de protección de datos, con lo cual vamos a poder centrar nuestra actividad en otros aspectos que garanticen una protección efectiva del derecho.
En cualquier caso, el nuevo Reglamento refuerza el papel de las autoridades de protección de datos atribuyéndoles nuevas funciones (por ejemplo, atender las consultas previas o recibir las notificaciones de las violaciones de la seguridad de los datos) y refuerza su posición recogiendo a nivel legal las garantías de su independencia.
“El Reglamento elimina algunos de los requisitos o cargas, con lo cual vamos a poder centrar nuestra actividad en otros aspectos que garanticen una protección efectiva del derecho”
¿Qué actuaciones específicas tiene previstas la Autoridad Catalana de Protección de Datos para este 2017?
En los meses que llevamos desde la aprobación del reglamento, la Autoridad Catalana de Protección de Datos ya ha llevado a cabo una importante actividad de difusión de las novedades que el nuevo reglamento va a implicar fundamentalmente organizando jornadas dirigidas a diversos sectores incluidos en nuestro ámbito de actuación, y también facilitando materiales divulgativos en nuestra web.
Precisamente, coincidiendo con el Día Europeo de Protección de Datos, vamos a presentar algunos de estos materiales que pretenden facilitar el proceso de adaptación el Reglamento. En este sentido, la Autoridad Catalana de Protección de Datos, en colaboración con la Agencia Española de Protección de Datos y la Agencia Vasca de Protección de Datos, ha elaborado una Guía sobre el encargado del tratamiento en el RGPD, disponible en nuestra web a partir del día 26 de enero de 2017, y también en colaboración con las otras agencias se están preparando otros materiales, que estarán disponibles en breve, como pueden ser modelos de cláusulas informativas, guías para realizar las evaluaciones de impacto sobre la privacidad, herramientas para la evaluación de riesgos o guías sobre otros aspectos del Reglamento.
En particular también tenemos previstas actuaciones para analizar las repercusiones de la aplicación del nuevo Reglamento en la administración local, dar la máxima difusión a su contenido y para facilitar el proceso de adaptación.
¿Qué impacto tendrá el Reglamento Europeo de Protección de Datos en iniciativas como el Open Data y el desarrollo de las Smart Cities?
El Reglamento no aborda estas cuestiones de forma específica en su articulado. Sin embargo, es indudable que la modificaciones introducidas por el Reglamento van a afectar estas iniciativas de una manera muy especial.
La extensión del ámbito de aplicación de la normativa europea a los responsables, establecidos en la Unión o no, que realicen un tratamiento que implique el control del comportamiento de ciudadanos que se encuentren en la Unión; el principio de minimización; la seudonimización; el reforzamiento del carácter específico del consentimiento; la regulación de los límites y del deber de información para poder utilizar los datos para fines que no sean aquel para el que se recogieron; la evaluación del impacto sobre la privacidad; o la necesidad de determinar las medidas de seguridad aplicables a la vista de la evaluación de riesgos concreta que represente cada uno de estos tratamientos, son cuestiones que van a afectar de manera muy especial iniciativas como el Open Data o el desarrollo de las Smart Cities.
Precisamente, en relación con las Smart Cities, en la Autoridad Catalana de Protección de datos ya elaboramos el documento “La protección de datos de carácter personal en las ciudades inteligentes (Smart Cities), disponible en nuestra web, donde se analizaban muchas de estas implicaciones.
En definitiva, la protección de datos no debe impedir de manera sistemática que muchos datos puedan ser reutilizables, o que las ciudades puedan incorporar mejoras en los servicios a partir del análisis de la información disponible, pero sí que debe velar para que dichas iniciativas se lleven a cabo de una forma respetuosa con los derechos de las personas.
Entrevista con José Luis Piñar Mañas
Vocal Permanente y Presidente de la Sección Tercera, de Derecho
Público, de la Comisión General de Codificación. Catedrático de
Derecho Administrativo. Abogado
“Las modificaciones (de la LOPD) van a ser muchas y de gran calado, lo que se pone en marcha a partir de enero de 2018 es un nuevo modelo de protección de datos”
De cara a mayo de 2018, cuando el Reglamento Europeo de Protección de Datos sea de plena aplicación, se esperan novedades e interpretaciones de la norma que permitan un adecuado conocimiento para su aplicación. Una de ellas, por supuesto, tiene que ver con la vigencia y aplicación de la LOPD y su Reglamento de desarrollo a partir de 2018. ¿Cuándo se estima que se lleve a cabo la modificación? ¿Qué cambios se pueden esperar en cuanto a la normativa nacional? ¿Será sometido el borrador a consulta pública?
Las preguntas no son fáciles de responder. En base a lo que el propio Reglamento dispone, el próximo día 25 de mayo de 2018 debe estar todo en marcha. No se trata de una fecha para empezar a tomar las medidas necesarias para la plena aplicación del Reglamento, sino de la fecha en que tales medidas ya deben estar tomadas. Por tanto, para entonces la nueva Ley Orgánica de Protección de Datos, de adaptación de nuestro ordenamiento al Reglamento, deberá ya estar aprobada y en vigor; pero de igual modo, con o sin ley, los Responsables y Encargados deben haber ya adaptado sus tratamientos al Reglamento, para cumplir plenamente lo que en él se establece y -lo que es de enorme importancia- poder demostrar que las medidas tomadas permiten afirmar que los tratamientos de datos son conformes con el Reglamento (art. 24).
En ese sentido, como ya es sabido, el Ministro de Justicia ha encargado a la Comisión General de Codificación, y en particular a la Sección de Derecho Público que tengo el honor de presidir, la elaboración de una propuesta de norma para la adaptación de la legislación española al RGPD. A tal efecto se ha constituido una Ponencia integrada por vocales de la Comisión y por representantes de la Agencia Española de Protección de Datos, entre ellos su Directora (que además es vocal nato de la Comisión), que estamos trabajando ya desde hace meses para poder presentar a tiempo un texto en forma de borrador de anteproyecto para que, una vez que supere todos los trámites prelegislativos necesarios, pueda ser en su caso remitido por el Gobierno a las Cortes para su debate parlamentario y posterior aprobación como Ley Orgánica. El trabajo no es nada fácil porque los cambios que deben producirse en la normativa nacional son muchos y de gran calado.
“La evaluación del riesgo y la responsabilidad activa van a cambiar radicalmente no sólo el modo de actuar de los responsables y encargados, sino su relación con las autoridades, en la que la capital figura del DPD va a ocupar un papel central”
Hay que decir no obstante que la relación entre la legislación nacional y la europea va a ser ahora diferente a como lo es en el escenario actual de relaciones Directiva-LOPD. Al hablar de un Reglamento que como todos los Reglamentos de la UE tiene un alcance general y es obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro (art. 288 del Tratado de Funcionamiento de la Unión Europea), no podemos hablar ya de la trasposición de una norma comunitaria al ordenamiento español, sino de la adaptación de éste al Reglamento. De modo que convivirán y se aplicarán directa y plenamente el Reglamento y la nueva Ley Orgánica al mismo tiempo, sin que la nueva Ley pueda ni deba ser una mera transcripción del Reglamento.
Sin perjuicio de lo que establece el considerando 8 del Reglamento, lo cierto es que la Ley va a ser necesariamente una norma con apariencia de ser incompleta y fragmentaria, a veces incluso difícil de comprender. Pero ello se debe, como digo, a que lo que ha de hacerse es “sólo” adaptar nuestro ordenamiento, en lo que sea necesario, al Reglamento. Dicho esto las modificaciones van a ser muchas y de gran calado, pues en definitiva, como ya he tenido ocasión de señalar en varias ocasiones (últimamente en el libro que he dirigido sobre El Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad, en el que participan más de 35 autores y que acaba de publicar la editorial REUS), lo que se pone en marcha a partir de enero de 2018 es en efecto un nuevo modelo de protección de datos. Como señala Giovanni Buttarelli en el prólogo al libro citado, el Reglamento abre un nuevo capítulo en la historia y constante evolución del derecho a la protección de datos. Por ello intentar tan sólo una mera enumeración de los principales cambios y novedades que traerá consigo la nueva normativa española es aventurado e imposible de llevar a cabo en el marco de esta breve entrevista. En cualquier caso me atrevería a señalar la nueva perspectiva de la evaluación del riesgo y la llamada responsabilidad activa. Ya solo estos dos elementos van a cambiar radicalmente no sólo el modo de actuar de los responsables y encargados, sino su relación con las autoridades de protección de datos, en la que la capital figura del Delegado de Protección de Datos (obligatorio o voluntario) va a ocupar un papel central. Sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, y, lo que es de enorme importancia, su capacidad para desempeñar sus funciones (como exige el art. 37.5 del Reglamento) van a ser claves en el nuevo modelo de protección de datos. Pero los cambios son muchos más. De entre ellos también es de destacar la nueva configuración del consentimiento, que en mi opinión va a plantear no pocos problemas (luego me refiero a ello), y, muy destacadamente, la regulación de los procedimientos de infracción derivados del sistema de cooperación y coherencia, lo que se ha venido en llamar one stop shop. La nueva regulación en este punto va a tener que ser necesariamente compleja, a primera vista, pues complejo es el propio sistema que diseña el Reglamento.
Pero los cambios van a ser muchos más, si bien, como digo, no es posible referirlos todos en este momento: la aplicación territorial del Reglamento y por tanto también de la nueva Ley, la obligación de tener en cuenta los principios de privacidad desde el diseño y por defecto, los nuevos derechos de los afectados, sobre todo el derecho a la portabilidad, la nueva configuración de las medidas de seguridad, el reconocimiento de las normas corporativas vinculantes a efectos de las transferencias internacionales, y un largo etcétera que hará que quienes nos ocupamos de temas relacionados con la protección de datos debamos estar muy pendientes de las novedades que vayan produciéndose y de los textos legales que finalmente se aprueben. En este marco, por cierto, la labor proactiva y orientadora del Comité Europeo de Protección de Datos y de las Agencias va a ser (ya empieza a serlo) de gran importancia. Y me consta los esfuerzos que ya se están haciendo en la Agencia Española para orientar al máximo a los responsables y encargados en el paso al nuevo modelo que trae consigo el Reglamento.
“La licitud de tratamientos sin consentimiento hoy arraigados deberá reconducirse al concepto de interés legítimo”
El Reglamento Europeo de Protección de Datos regula minuciosamente obligaciones y derechos en materia de protección de datos con el fin de establecer un régimen uniforme y homogéneo en la UE. Sin embargo, el Reglamento guarda silencio respecto de tratamientos especiales como los “ficheros de morosos” o conceptos arraigados en nuestra normativa como las “fuentes accesibles al público”. ¿Qué futuro prevé para ellos?
Este es un tema de enorme importancia. Para comprenderlo hay que partir de la base de que el Reglamento recoge en el artículo 6 los supuestos de licitud del tratamiento. Y entre tales supuestos no encontramos una cláusula genérica de remisión a la ley para determinar otros casos de licitud (semejantes a los que ahora establecen los artículos 6 y 11 de la LOPD al prever que la Ley puede fijar casos que legitimen el tratamiento sin consentimiento de los titulares de los datos). De modo que al no poder ampararnos en una ley para entender que un tratamiento es lícito (más allá de los supuestos previstos en el citado artículo 6 del Reglamento) hemos de buscar otro título que permita considerar lícito dicho tratamiento, y ese título van a ser fundamentalmente los intereses legítimos perseguidos por el responsable del tratamiento o por un tercero (art. 6.1.f del Reglamento). Esto significa que la licitud de tratamientos sin consentimiento hoy arraigados, como dice la pregunta, deberá reconducirse al concepto de interés legítimo. Debo decir, por cierto, que esto tampoco es del todo nuevo, pues ya la Agencia Española de Protección de Datos, sobre todo a partir del Real Decreto 1720/2007 y de la Sentencia del Tribunal de Justicia de 24 de noviembre de 2011, ASNEF, en los asuntos acumulados C-468/10 y C-469/10 sobre el efecto directo del artículo 7.f de la Directiva 95/46/CE, la Agencia, digo, viene considerando que no pocos de los supuestos de licitud del tratamiento previstos en leyes son en realidad manifestaciones de tratamientos legítimos en base al interés legítimo del responsable; interés legítimo que precisamente se define o concreta en lo que la ley establezca. Pues bien, esto es lo que a partir de ahora tendremos que considerar: que los tratamientos a que se refiere la pregunta (y otros muchos más) han de considerarse lícitos por los intereses legítimos del responsable o de un tercero, sin necesidad de contar con el consentimiento del titular de los datos. Y ello incluso aunque no estén expresamente regulados en una norma, si bien en mi opinión sería bueno que de alguna manera se indicase por ley algo así como que se considera que los responsables tienen interés legítimo en el tratamiento de datos para fines de solvencia patrimonial y crédito o cuando los datos se hayan obtenido de fuentes accesibles al público (indicando cuáles son) y se destinen a fines de prospección comercial. En cualquier caso, la cuestión tiene mucho que ver con la nueva configuración del consentimiento, que debe ser explícito (y el considerando 32 del Reglamento es en este punto esencial). Lo que sin duda va a otorgar al interés legítimo, como título legitimador del tratamiento, un protagonismo que no sé si debe alcanzar en la medida en que sin duda va a tener.
“La formación y/o la capacitación me parecen esenciales. Teniendo en cuenta además los retos y oportunidades que para los profesionales trae consigo la figura del DPD”
El día europeo de protección de datos es una fecha en la que poder reflexionar sobre el futuro de la profesión. ¿Qué recomendaciones destacaría de cara a los retos para el futuro de los profesionales?
Los retos son muchos. Y apasionantes. El primero, sin duda, el de conocer a fondo la nueva regulación. Y prepararse para un nuevo escenario que dista mucho de ser el mismo que ahora tenemos. El guion cambia y hay que estar preparado para afrontar los nuevos retos que se nos vienen encima. Con la perspectiva, siempre, del respeto al derecho fundamental a la protección de datos, pero conociendo lo mejor posible las nuevas reglas del juego. En este sentido la formación y/o la capacitación me parecen esenciales. Teniendo en cuenta además los retos y oportunidades que para los profesionales trae consigo la figura del Delegado de Protección de Datos, que va a pasar a ser una de las piezas clave en todo el nuevo sistema.
Los profesionales deberán formarse aún más, especializarse en el derecho y la práctica de la protección de datos y prepararse para ello con la mirada puesta en mayo de 2018. Que está, ya, a la vuelta de la esquina.