Entrevista Ana Marzo – día europeo Protección de datos 2014
Ana Marzo Portera
Socia EQUIPO MARZO
Pregunta: El año 2013 ha sido intenso en noticias sobre privacidad, ¿Cuál destacaría de ellas y por qué?:
En mi opinión las noticias más relevantes sobre privacidad han sido las relacionadas con los pronunciamientos de las autoridades sobre protección de datos europeas contra Google así como las recomendaciones del abogado general del Tribunal de Justicia de la Unión Europea en su dictamen referente a la “cuestión prejudicial de interpretación” planteada por la Audiencia Nacional sobre la protección de datos de un particular frente a Google.
El motivo por el cual me resultan de especial interés las noticias relacionadas con la privacidad de Google, es que en Europa ya se ha puesto de manifiesto hace algunos años que nuestra legislación común no afronta ni resuelve plenamente algunos de los problemas de privacidad que generan determinados modelos de negocio en internet. Pero en mi opinión, lejos de tomar medidas, las autoridades de control han pasado mucho tiempo con una actitud pasiva en este punto y ciertamente, poco defensora de los derechos de los ciudadanos europeos. No se trata sólo de Google, también están las redes sociales o los modelos de cloud.
¿Cuestión de estrategia o dificultad para mover los burocráticos “hilos” de nuestros políticos y representantes en Europa?. No podría dar una respuesta en este punto pero, esta situación ha ido acompañada -particularmente en España- del detrimento de competitividad de las empresas españolas sujetas a nuestra ley orgánica de protección de datos, cuya estricta aplicación, en ocasiones, ha propiciado la toma de “estratégicas decisiones” de no crear o ampliar el negocio dentro de nuestras fronteras llevándolo a otros países de Europa o incluso a los llamados terceros países (fuera del control de las autoridades de protección de datos).
Ello sólo ha propiciado ampliar las diferencias de trato y desventajas competitivas de las empresas europeas frente a las empresas ubicadas en los terceros países, las cuales estas últimas hasta ahora han contado con una “bula administrativa” para dirigir sus negocios a los ciudadanos europeos sin garantizar su derecho fundamental a la protección de datos.
Ya en el año 2003 el Tribunal de Justicia de la Unión Europea, en su sentencia para resolver la decisión prejudicial del caso de “Bodil Lindqvist”, pone de manifiesto “las graves carencias que tiene la Directiva 95/46/CE cuando se trata de regular el tratamiento de datos personales en internet, a la vista de un lado, del estado de desarrollo de Internet en el momento de la elaboración de la citada directiva, y de otro, de la inexistencia en su capítulo IV de criterios aplicables al uso de Internet”.
Y pese a ello, desde entonces a hoy, no hemos avanzado nada.
Pregunta: Cloud, Big data, Internet of thinks, coches automatizados. Desde el punto de vista de la privacidad qué óptica debemos adoptar frente a la evolución tecnológica.
Yo creo que está claro. Los derechos de los ciudadanos están en grave riesgo. Hay que modificar la normativa. Todos los nuevos avances tecnológicos son, por descontado, herramientas y medios que mejoran la calidad de vida de la ciudadanía en todas sus facetas. La incorporación de Internet tanto en el ámbito privado como en público (administración electrónica) ha proporcionado innumerables ventajas y en definitiva un gran cambio social y económico.
Pero si somos realistas la evolución tecnológica tanto en el sector privado como en el público está tropezando con serias incertidumbres y lagunas jurídicas, las cuáles progresivamente aumentan en detrimento de los derechos de los ciudadanos. A ello hay que añadir que el momento económico en que nos encontramos no permite en muchos casos hacer la inversión económica necesaria para establecer una buena política de privacidad, ni en el caso de las administraciones públicas ni en el caso de las empresas privadas.
Luego en definitiva, creo que la óptica que debemos afrontar frente a los avances tecnológicos es, desde el punto de vista de la ciudadanía, de exigencia de garantía de nuestros derechos (lo cual incluye la exigencia de la adaptación de la normativa a la situación actual); Y desde el punto de vista político, las instituciones deberían analizar los posibles cambios legislativos de forma más acorde a la situación actual y futura y a la evolución tecnológica y de negocio, con mayor rigor empírico, para formular leyes cuyo cumplimiento sea factible y no queden obsoletas desde su nacimiento.
Pregunta: Si en 2014 la Unión Europea no contara con un Reglamento General de protección de datos, ¿tenemos más que ganar o que perder como ciudadanos UE? ¿Y cómo profesionales?
No es sencillo dar una respuesta. Creo que sin una norma actualizada y armonizada para Europa en materia de protección de datos tenemos mucho que perder, o más bien, estamos perdiendo mucho, fundamentalmente como ciudadanos, por supuesto. Sin ella, Europa no avanza al mismo nivel ni a la misma velocidad. ¿En qué medida perdemos los profesionales?, creo que sobre todo, en poder proporcionar una consultoría o asesoría con seguridad jurídica.
Es una obviedad que necesitamos una norma de armonización que, en el caso de España, termine con algunas reglas que se han adoptado en nuestro derecho al margen de la normativa europea. Afortunadamente en algunos casos nuestros tribunales han anulado algunas disposiciones de nuestro reglamento interno de protección de datos que se alejaban de la vigente Directiva europea de protección de datos. Pero mantenemos dicotomías (como por ejemplo la distinción de la figura del responsable del fichero y responsable del tratamiento) que en la Directiva europea no tienen cobertura. Esto no debería ocurrir.
Ahora bien, la actual propuesta de Reglamento europeo de protección de datos, a mi criterio, contraviene la posición y doctrina administrativa que las autoridades de protección de datos europeas han mantenido en algunos puntos de la regulación, elimina algunas obligaciones administrativas contenidas en nuestra normativa interna que considero “sanas” para mantener un cierto nivel de compromiso por parte de los responsables del tratamiento (como son las obligaciones de inscripción de ficheros) y limita la obligación de la designación del “delegado de protección de datos” a determinados supuestos (que han variado desde los primeros de borradores de la propuesta de reglamento hasta los últimos) lo cual yo creo que, relaja el deber de diligencia en el cumplimiento de la normativa por parte de los responsables a pesar de introducir el principio anglosajón de “accountability”.
Pero creo que hay dos temas fundamentales que deben ser resueltos con rigor y garantías: el de las transferencias internacionales y el de las vías de reclamación de los ciudadanos.
En materia de transferencias internacionales tengo muy poca fe en los borradores planteados por la Unión Europea; básicamente no se innova sino que se refunde en un único texto las normas actualmente vigentes e incluso, la nueva redacción restringe mucho más la transferencia internacional de datos en algunos supuestos. Esto me parece un grave error porque entonces lo único que ganaremos con ello es mantener los mismos problemas que ya tenemos actualmente con las transferencias internacionales de datos y además aumentar las desventajas competitivas de las empresas europeas.
Respecto de las vías de reclamación de los ciudadanos, la Unión Europea debe establecer mecanismos sencillos para que los ciudadanos tengan plena confianza en el sistema y no vías de reclamación donde el ciudadano requiera la asistencia casi inevitable de profesionales, puesto que esto provocará un efecto disuasorio a la hora de plantear una reclamación de sus derechos, fundamentalmente en los casos en que se produzcan tratamientos que afecten a ciudadanos de varios países de la Unión.
Soy consciente de que elaborar una norma “al gusto de todos” es complicado, pero entiendo sinceramente que el borrador debería ser mejorado en algunas cuestiones. Y dando una respuesta concreta a la pregunta, sin un reglamento general pierden los ciudadanos y perdemos los profesionales.
Pregunta: ¿Qué rol social están llamados a jugar los profesionales de la privacidad?
En línea con la respuesta anterior, yo creo que nuestro rol es doble porque estamos llamados a defender tanto los derechos de los ciudadanos como las garantías de los responsables y encargados del tratamiento, por supuesto, con el mismo rigor y ética profesional en ambos casos.
La ciudadanía está tomando conciencia de sus derechos cada vez más rápido y ello consecuentemente genera un aumento en las reclamaciones de derechos que se efectúan frente a los órganos de control y frente los responsables del tratamiento, tanto públicos como privados. Esta situación deriva en la necesidad de que el mercado proporcione profesionales formados para atender los intereses de unos y otros colectivos.
Pero más allá de defender los intereses de las partes, creo que uno de nuestros mayores valores es el de poder ayudar a responsables del tratamiento del sector público y privado a entender y trabajar en los procesos internos de la organización el “derecho a la privacidad”, como una parte imprescindible y estructural de su actividad, como una materia tanto o más relevante que otras áreas del derecho, como el laboral o fiscal.
Lejos de entender esto como una oportunidad de incremento de nuestra relevancia, que de hecho lo es, prefiero entenderlo como una oportunidad de mejorar la calidad tanto de la ciudadanía como de las organizaciones en la vida pública, la vida laboral, las relaciones sociales y por supuesto, en la vida privada.