Entrevista Mónica Arenas – día europeo Protección de datos 2014
1. El año 2013 ha sido intenso en noticias sobre privacidad, ¿Cuál destacaría de ellas y por qué?
Al margen de las sanciones a Google por parte de diferentes Agencias de protección de datos europeas, entre ellas la Agencia Española Protección de Datos, o del caso abierto por la misma contra Google ante el Tribunal de Justicia de la Unión Europea sobre el conocido “derecho al olvido”, en el 2013 hubo muchas noticas que pusieron en evidencia la falta de respeto por el derecho a la protección de datos personales.
Pero creo que la noticia de las prácticas de espionaje americanas sobre suelo y ciudadanos europeos fue una de las noticias que más ha afectado a la imagen que sobre la garantía de la privacidad tienen los ciudadanos. Y creo que el impacto no se debió tanto a la ilegalidad del hecho en sí, sino a la percepción de lo que un mal uso de las tecnologías puede provocar para nuestras vidas privadas y las desastrosas consecuencias que para un correcto funcionamiento de un Estado democrático ello puede conllevar.
La creencia de que gracias a las nuevas tecnologías y a su capacidad de procesamiento de la información, sector público y privado pueden entrar en nuestra vida privada y los ciudadanos no podemos hacer nada para luchar contra ello porque este es el futuro, es una creencia errónea. Entre el poder y el deber hay una línea que no se debería superar. Debemos hacer ver a los ciudadanos que este tipo de prácticas representa un mal uso de la tecnología y una total falta de respeto por los derechos humanos.
2. Cloud, Big data, Internet of thinks, coches automatizados. Desde el punto de vista de la privacidad qué óptica debemos adoptar frente a la evolución tecnológica
Como se puede ver por todos los fenómenos citados, los mismos son una muestra del imparable avance tecnológico y del proceso de globalización en el que estamos inmersos. La globalización es un fenómeno que no sólo afecta al terreno económico, a los negocios, sino que debe entenderse vinculada a la tecnología, a la posición que actualmente ocupa el titular de los datos -especialmente en el entorno on line-, a las obligaciones del responsable del tratamiento de los datos personales, y a la legislación aplicable.
Los beneficios de las nuevas tecnologías deben ir de la mano del necesario respeto al derecho fundamental a la protección de datos personales, en tanto que dicho derecho es absolutamente capital en nuestra sociedad, y así, todos los datos personales deben ser protegidos de manera eficaz frente a cualquier lesión que se produzca, independientemente de la tecnología utilizada, independientemente del lugar desde el que se procesen o traten los datos, pues vivimos en un mundo globalizado. Y este es un gran reto.
Podemos reforzar, profundizar, revisar, promover, concretar, flexibilizar, crear nuevos conceptos…, pero debemos dar un paso más. No podemos negar los avances tecnológicos a los que estamos asistiendo, pero lo relevante es que la protección de datos personales ha sido reconocida como un derecho fundamental autónomo y con carácter vinculante en todos los ámbitos de la Unión Europea, y esto tiene una clara consecuencia: el enfoque desde el que se elabore una nueva normativa europea sobre protección de datos (o desde el que se modifique la normativa vigente) debe tener como punto de partida y como fundamento último que estamos en presencia de un derecho fundamental, y que como tal, debe protegerse.
No debemos ver los avances tecnológicos como un peligro para las sociedades modernas, sino como una herramienta que si se utiliza con las garantías adecuadas (y con sus correspondientes sanciones en caso de un mal uso) puede llegar a construir un mejor futuro para los ciudadanos que las integran.
Por este motivo debemos adaptar la normativa que tenemos sobre protección de datos, para construir un mejor futuro para los ciudadanos europeos en el terreno de la privacidad, alejado de todo temor ante las múltiples posibilidades que nos ofrecen las nuevas tecnologías.
3. Si en 2014 la Unión Europea no contara con una Reglamento General de Protección de Datos, ¿tenemos más que ganar o que perder como ciudadanos UE? ¿Y como profesionales?
La ausencia de una normativa europea que adaptara la legislación de protección de datos existentes a los cambios que se han venido produciendo a nivel social y tecnológico supondría un claro perjuicio y un retroceso en la garantía de los derechos fundamentales de los ciudadanos europeos. Tendríamos mucho que perder.
Quizá esto de más trabajo a los profesionales en este terreno, pues los problemas seguirán produciéndose y cada vez en mayor medida. Pero creo que en un Estado moderno, no podemos hacer prevalecer los intereses económicos sobre los derechos de los ciudadanos que lo integran. Más aún, creo que los mejores profesionales en este terreno no nacerán fruto de “las desgracias ajenas”, sino que los mejores profesionales serán aquéllos que se preocupen por hacer efectivo el derecho fundamental a la protección de datos personales, adaptándolo a las necesidades sociales que así lo demandan; aquéllos que prediquen y conciencien a los ciudadanos (responsables o no de tratamientos de datos personales), de la necesidad de respetar la privacidad, contribuyendo a fomentar una “cultura del dato”, un respeto hacia los demás y, en último término, a crear una sociedad más democrática. La sociedad en la que vivimos no es más que un reflejo de la forma en la que respetamos y garantizamos nuestros derechos fundamentales.
La falta de consenso para aprobar una normativa que reforzaría los derechos de los ciudadanos para controlar el uso de sus datos personales supondría un enorme fracaso por parte de nuestros representantes, de nuestros legisladores, además de un claro sometimiento a los intereses del mercado.
Ante la falta de respeto de los derechos fundamentales (y más de un derecho tan personalísimo como es el derecho a la protección de datos personales), todos salimos perdiendo.
4. ¿Qué rol social están llamados a jugar los profesionales de la privacidad?
Antes de dar una respuesta, demos analizar brevemente el entorno en el que nos movemos: hemos visto cómo en el marco europeo, aunque los principios establecidos por la Directiva 95/46/CE sobre Protección de Datos siguen siendo válidos para garantizar un correcto tratamiento de los datos personales, necesitan ser revisados. Pero el motivo del cambio no es sólo fruto de la adaptación a los cambios tecnológicos, sino que tenemos que recordar aquí que el hecho de que la entrada en vigor del Tratado de Lisboa reconociera el derecho a la protección de datos personales como un derecho fundamental, lo hace vinculante en todos los sectores de la Unión Europea, y esto tiene que tener su reflejo en un adecuado desarrollo legislativo. Asimismo, debemos ser conscientes de que el tratamiento de datos personales no se produce en un entorno aislado, sino en un mundo globalizado, de ahí la necesidad de unos principios universales y estándares internacionales de protección de datos personales, tal y como se acordara en el año 2009 en la Resolución Madrid, aprobada en la XXXI Conferencia Internacional de Autoridades de Protección de Datos.
Y aquí es donde se mueve el profesional de la materia: la existencia de unos principios universales sólo es una medida más que debe ir acompañada de muchas otras, lideradas por los profesionales de la privacidad.
Si bien las Autoridades de Protección de Datos contribuyen muy mucho a respetar y tutelar el derecho a la protección de datos, los profesionales y expertos en este terreno pueden colaborar en los diferentes aspectos necesarios para propiciar un cambio en la materia. Así, por ejemplo, pueden contribuir a conciencia y sensibilizar a los ciudadanos sobre las facultades que les corresponden como titulares del derecho a la protección de datos. Por otro lado, asumiendo un papel de asesores y consultores, contribuyendo a reforzar la responsabilidad de los responsables del tratamiento de datos.
Recordamos aquí que entre los principios que se propone por la nueva normativa europea destaca los conocidos como “privacy impact assessment” y “privacy by design”. Pues bien, para que estos principios puedan ser efectivos, el responsable del tratamiento de datos personales se debe convertir en un evaluador del impacto del tratamiento de datos que lleva a cabo, y debe establecer las medidas necesarias en sus productos o servicios que minimicen los peligros para el derecho a la protección de datos personales.
Creo que la nueva normativa debería potenciar y fomentar la creación de medidas de autorregulación, la promoción de códigos de conducta y de diseño de privacidad, y cómo no, de evaluación de impacto, por su mayor flexibilidad a la hora de adaptarse a los cambios.
Así las cosas, el funcionamiento de estas medidas sólo será efectivo si los responsables y los profesionales en privacidad que los asesoren, actúan de forma responsable, concienciados, y, lógicamente, sobre la base de su conocimiento en la materia.
Estas medidas de autorregulación o incluso las de diseño de privacidad o de evaluación del impacto sobre la privacidad fomentarán una actividad más correcta por parte de los responsables del tratamiento de datos y ello redundará en beneficio de la actividad de supervisión y control llevada a cabo por las Autoridades de protección de datos, y cómo no, en la percepción que tengan los ciudadanos respecto del uso de sus datos personales y en la confianza que se generará.
Tenemos que formarnos en la “cultura del dato”. Si como mantienen algunos estudios, los usuarios de Internet demuestran poseer una mayor cultura, habrá que aprovecharla, así como el aumento del grado de sociabilidad que se desprende de esta nueva generación. Hay pues que empezar educando a la sociedad. Por ello insistimos, la autorregulación podría ser un método efectivo, pero cuando todos seamos conscientes del valor de nuestra vida privada, y aquí los profesionales de la privacidad tienen mucho que decir.