Nueva normativa europea sobre protección de datos. Quien te ha visto y quien te ve

En enero de 2012 tras varios años de estudio preliminar, la Comisión Europea presentaba su flamante propuesta de Reglamento europeo de protección de datos. El nuevo sistema normativo pretendía superar a la vigente Directiva 95/46/CE cuyo marco jurídico ha quedado obsoleto con el rápido desarrollo de las nuevas tecnologías y no da soluciones eficaces para aspectos como la transnacionalidad de los tratamientos, el derecho al olvido, el uso de las TICS por menores o la manera de obtener los consentimientos y como han de ser estos con los nuevos dispositivos y servicios electrónicos.

Sobre la base de un gran consenso inicial sobre la necesidad de contar con un marco jurídico más acorde con los nuevos tiempos y sistemas tecnológicos, comenzaron los debates en el Consejo de la UE y en el Parlamento Europeo. Aunque el procedimiento de codecisión suele tardar unos dos años de media en finalizar, voces altamente cualificadas estimaban que en un año aproximadamente, la nueva normativa vería la luz.

Como todo texto o propuesta, es susceptible de mejora, máxime cuando trata temas tan complejos y con un alto contenido de transnacionalidad, de ahí la importancia que exista un debate constructivo que mejore la propuesta de la Comisión Europea y nos dote de un buen marco jurídico para los próximos años.

Pero con la entrada del 2013 hemos podido contemplar perplejos como un Lobby como nunca antes se había visto, está intentando descafeinar ciertos aspectos de la propuesta normativa o, incluso llegar a paralizar su aprobación final. Este Lobby encabezado por empresas tecnológicas de EEUU ha logrado que se presenten más de 3000 enmiendas en el Parlamento Europeo lo que ha conllevado que la votación inicial prevista para finales de mayo de 2013 se pospusiera primero para junio o julio y posteriormente para septiembre u octubre (como muy pronto). Nada tendríamos que decir ya que se entiende que el debate parlamentario va unido a la salubridad de un sistema democrático, salvo por el detalle que parlamentarios británicos se dedicaron a presentar enmiendas que no dejaban de ser un vulgar copia – pega de las cartas que el Lobby norteamericano había remitido a parlamentarios europeos. En paralelo y bajo la presidencia irlandesa del Consejo de la UE  (enero-junio 2013) un grupo de países encabezados por el Reino Unido han plantado cara a determinados aspectos de la propuesta, lo que ha provocado que esta Institución necesite más tiempo para “reflexionar”.

Con esta situación y a menos de un año para la finalización de la actual legislatura, no son pocas las alarmas que se han encendido. Unas temiendo que al final nos quedemos como estamos porque no de tiempo a aprobar la norma y otras alarmas van en la dirección de una aprobación pero con un texto totalmente descafeinado que ofrezca menor protección que la actual Directiva 95/46 y no resuelva los nuevos retos y desafíos que se plantean en relación con la defensa de la privacidad, lo que ha llevado a algunos profesionales del sector a exclamar ¡virgencita que me quede como estoy!.

Analizando donde están los puntos de colisión, vemos que son aspectos salvables y que lo que requieren es altitud de miras y responsabilidad política. Sobre si tenemos finalmente un reglamento o cambiamos a una directiva o sobre si la mayor parte de los actos delegados (de desarrollo) del reglamento corresponden a la Comisión o a los Estados Miembros, no deja de ser un debate meramente competencial al margen del meollo del asunto, que en ningún caso debe ser excusa para limitar o recortar derechos a los ciudadanos.

Tampoco parece lógico que sea excusa para paralizar el texto otros aspectos “polémicos”, como pueden ser:

• El derecho al olvido. Para algunos es imposible su cumplimiento. En nuestra opinión el texto inicial es mejorable y a la hora de instaurar el derecho se deberían establecer sus límites, procedimientos y reglas de ponderación con otros derechos como la libertad de expresión o la de prensa. O es que alguien se puede escandalizar porque una vez reconocido ese derecho sean invocado en sede judicial y se acuerde requerir a la fuente del contenido su retirada.
• El aumento de la burocracia y los costes empresariales. Las empresas con la normativa actual ya han externalizado los servicios de asesoría, consultoría y auditoría en materia de protección de datos o cuentan con personal especializado. Si bien se crean nuevas obligaciones (accountability, declaración de impacto, privacidad por diseño y por defecto, notificar incidentes de seguridad…), otras desaparecen como la obligación de inscripción de creación, modificación o supresión de tratamientos y otras podrían llegar a desaparecer, como la auditoría bienal que al estar encuadrada dentro de las medidas de seguridad necesitará que se incluya en el acto delegado (Comisión o Estado Miembro) que desarrolle las medidas de seguridad a implantar por los responsables y encargados de tratamiento.
• La figura del DPO es un claro ejemplo de la mejora que en fase legislativa se puede hacer a una propuesta. De la obligación inicial de figura para empresas de 250 empleados en adelante y para todas las administraciones públicas, se eleva la cifra a los 500 trabajadores. Y esto es así porque aquí lo importante no debe ser el tamaño de la empresa, sino los tratamientos que realiza al igual que el vigente cargo de responsable de seguridad, obligatorio para tratamientos de nivel medio o alto.
• El ámbito de aplicación del reglamento y qué debe ser entendido por tratamiento de datos actualmente es baladí, ya que el Tribunal de Justicia de la UE tiene mucho que decir en relación con la cuestión prejudicial planteada por España en el denominado caso Google. Una vez que se haya pronunciado se podrá ver si la propuesta debe ser mejorada o modificada ya que lo que aquí debe ser determinante es que ningún responsable o encargado de tratamiento pueda eludir sus responsabilidades por estar ubicado fuera del Espacio Económico Europeo.

Estos aspectos como comentábamos, no deberían ser determinantes para paralizar una propuesta legislativa, aunque corremos el riesgo de que así ocurra debido a la gran multitud de enmiendas presentadas que pueden conllevar la parálisis de los órganos legislativos comunitarios. Parálisis que provocaría la victoria de los promotores del Lobby, cuyo único fin es descafeinar en lo que realmente les importa y preocupa: los consentimientos, el deber de información y los tratamientos que se realizan sobre nuestros datos. Y claro está que muchos de sus servicios son muy baratos o totalmente gratis, y como no son “hermanitas de la caridad” y tampoco están obligados a serlo, es lógico que intenten sacar beneficio económico sobre los tratamientos de datos. Pero avisándome antes, advirtiéndome de lo que haces o pretendes hacer y pidiéndome permiso o consentimiento, es decir siendo transparente para que pueda tomar una decisión informada otorgándote por ello un consentimiento válido que otorgue seguridad jurídica a ambas partes.