«En nuestro marco actual regulatorio en materia de protección de datos personales y protección a la privacidad falta flexibilidad y sobra rigidez»

Entrevista que me realiza la sección Law&TIC de ElDerecho.com  Ediciones Francis Lefebvre en febrero de 2016.

1.- ¿Cómo surge la idea de crear Legal Tech Compliance y cuáles son sus fines?

Legal Tech Compliance nace ante la necesidad de responder a la creciente complejidad del derecho de las nuevas tecnologías, ofreciendo unos servicios personalizados de alta calidad con unos costes competitivos.

El rápido avance en el desarrollo de las nuevas tecnologías así como su generalización están generando nuevos desafíos y retos que las empresas y los especialistas debemos de abordar con nuevos modelos de negocio, flexibles y adaptables al cliente y al entorno en el que se mueve. No olvidemos que existe un fuerte componente de extraterritorialidad que obliga a tomar decisiones de forma global y no local, como lo pone de manifiesto el alcance e impacto de las sentencias del Tribunal de Justicia de la Unión Europea en los asuntos del derecho al olvido y Safe Harbor.

Finalmente debemos tener presente que nos movemos en un entorno en el que el derecho suele ir siempre por detrás del desarrollo tecnológico, lo que en más de una ocasión provoca que nos encontremos en ausencia de regulación o con una regulación desfasada o poco eficaz y eso debe ser tenido en cuenta a la hora de abordar las necesidades del cliente.

2.- ¿Qué beneficios aporta para una empresa u organización la implantación y aplicación del Compliance TIC?

Los beneficios de la instauración de esa cultura de cumplimiento pueden abordarse desde dos perspectivas, desde la de la propia empresa u organización y desde la del exterior incluyendo en esta última  a los clientes, proveedores y público en general.

Desde el punto de vista de la propia entidad los beneficios se traducen en la reducción o eliminación del riesgo de imposición de sanción penal o administrativa, al adaptarse los procesos y protocolos internos a los requerimientos legales.

Desde el punto de vista del empleado, la formación y concienciación de los mismos en esta materia mejoran la imagen y la percepción que tienen en la marca corporativa y el conocimiento de la existencia de políticas y protocolos de seguridad de la información y protección de datos les pueden disuadir de realizar determinadas prácticas desleales con la empresa.

Desde el punto de vista del público en general, de los clientes y proveedores la eliminación o mitigación del riesgo por un lado evita o reduce el daño reputacional que ocasionan noticias o hechos que vulneran la normativa vigente y crean alarma social y por el otro aumenta la confianza y la imagen de marca de cara al exterior.

Sin duda se requiere una gran labor de concienciación y difusión en la que asociaciones profesionales como Enatic o ISMS Forum Spain tienen mucho que decir.

3.- Hay quien sostiene que el ordenamiento español en materia de protección de datos peca de exceso celo regulatorio con respecto a los del resto de países de nuestro entorno, y que dicho exceso ha perjudicado y perjudica nuestro desarrollo empresarial. ¿Qué opina de este planteamiento?

Se trata de un falso mito y por supuesto no estoy de acuerdo. Nuestra Ley Orgánica 15/1999 nace de la necesidad de transponer al derecho español la Directiva 95/46/CE al igual que todos los Estados Miembros de la Unión Europea, por lo que todas las legislaciones se encuentran armonizadas en una serie de principios básicos y rectores. En todas las legislaciones rige el principio de transparencia, el deber de información y obtención del consentimiento para el tratamiento de datos, en todas se regula la figura del encargado de tratamiento y el esquema de transferencias internacionales de datos es el mismo en todos los países que forman la Unión Europea.

Otra cosa son determinados aspectos donde cada estado ha podido establecer algunas peculiaridades propias. Así por ejemplo España ha establecido un régimen de sanciones de los más elevados, Alemania ya tiene implantada la figura del Data Protection Officer que traerá el futuro Reglamento General de Protección de Datos y en Portugal la Comisión Nacional ha creado una serie de excepciones al deber de notificar los tratamientos en casos en el que la finalidad del mismo está clara y esté justificada, como puede ser el caso del fichero de empleados. Por el contrario en videovigilancia es necesario dar de alta un fichero por cada sistema o establecimiento al contrario que en España y comunicar el número de cámaras instaladas lo que afecta a posibles modificaciones y no es tema menor puesto que en Portugal sí que se pagan tasas por Registro.

4.- A su juicio en nuestro marco actual regulatorio en materia de protección de datos personales y protección a la privacidad ¿qué falta y qué sobra?

Quizás la respuesta fácil fuera que sobra la notificación de tratamientos ante la autoridad de control, puesto que desaparece esa obligación en el futuro Reglamento General de Protección de Datos al entender el legislador europeo que poco aporta a la defensa del derecho fundamental a la protección de datos.

Lo que falta es flexibilidad y lo que sobra es rigidez y esas han sido dos de las causas que han propiciado que la normativa sea poco eficaz a la hora de abordar los nuevos fenómenos tecnológicos como pueden ser el Internet de las Cosas (IoT) y el Big Data. Por poner un ejemplo, el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal a la hora de establecer las medidas de seguridad a implantar las divide en tres niveles de seguridad (básico, medio y alto) pero no tiene en cuenta las peculiaridades de las pymes, por lo que algunas de estas medidas plenamente justificadas en una gran empresa provocan excesivo gasto o burocracia en las pymes. No ocurre así en la propuesta de Reglamento General de Protección de Datos que dispone a la hora de crear Códigos de Conducta y Certificaciones se deberán tener en cuenta las peculiaridades de las pymes y micro empresas.

5.- Hace ya un año y medio el Tribunal de Justicia de la Unión Europea (TJUE) dictó la resolución conocida popularmente como “sentencia del derecho al olvido de datos personales en Internet”. Tras ese periodo transcurrido ¿cuál es la valoración que le merece la sentencia?

Como era de esperar el alarmismo que provocó en los primeros momentos en relación con la restricción de la libertad de expresión y prensa se ha demostrado infundado como lo prueba la Sentencia del Tribunal Supremo 545/2015 de 15 de octubre de 2015 relativa a hemerotecas digitales y las diferentes sentencias dictadas en aplicación del derecho al olvido por la Audiencia Nacional.

No debemos olvidar que cada resolución de la Agencia Española de Protección de Datos reconociendo individualmente este derecho o sancionando por actuaciones en contra del mismo era automáticamente recurrida, lo que hacía necesario un pronunciamiento claro que aportara seguridad jurídica.

Se trata de un derecho necesario puesto que la aparición de determinada información personal en resultados de búsqueda puede ocasionar perjuicios irreparables a esa persona pudiendo llegar incluso en determinados casos a la exclusión, discriminación y aislamiento social. Debe tenerse en cuenta que no estamos hablando de personas públicas sino de particulares y tampoco estamos hablando de información de interés público sino de información que por el paso del tiempo ha perdido ese interés.

Finalmente el fleco más importante que queda por resolver en relación con la aplicación de la sentencia sea la negativa de Google a universalizar el derecho a todos los dominios y no sólo a los europeos, aunque parece ser que a partir de este mes en parte se va a empezar a poner remedio a esa situación.

6.- Desde la perspectiva de la protección jurídica de la privacidad ¿podría señalarnos cuáles son los principales riesgos que trae consigo el Internet de las cosas?

Se pueden sintetizar en dos pilares desde los cuales se ramifican el resto de riesgos, a saber el consentimiento que posibilite al usuario el control real de sus datos y la seguridad.

Atendiendo al primero debemos tener presente los principios y deberes de información y transparencia ya que sobre estos se obtendrá un consentimiento libre e informado. Nos encontramos en multitud de ocasiones con farragosas políticas de privacidad que nadie lee ni entiende porque en estos supuestos informan sobre algoritmos, nos encontramos con avances tecnológicos que posibilitan usos no previstos en el momento de obtener el consentimiento e incluso cesiones y transferencias internacionales de datos no previstas en un primer momento, o aun estando previstas, surgen problemas en su devenir como ha pasado con el asunto de Safe Harbor. También es normal que los avances tecnológicos provoquen problemas insospechados en un primer momento, así la anonimización se consideraba una técnica segura hasta que se ha comprobado que puede ser reversible en determinados supuestos y condiciones, fusionando información anónima procedente de diversas bases de datos.

Finalmente en lo que respecta a la seguridad, hay que recordar que todo dispositivo conectado a Internet es susceptible de ser atacado. No olvidemos que puede aportar una valiosa información personal como horarios de entrada y salida del domicilio, rutas, horarios o aficiones.

7.- La importancia creciente que está cogiendo de un tiempo a esta parte el Derecho de las Nuevas Tecnologías, plantea la cuestión sobre si ello justificaría o no la creación de juzgados especializados en Derecho TIC. ¿Cuál es su opinión al respecto? Y en su opinión ¿qué nivel de conocimiento TIC encuentran ustedes los abogados en los jueces españoles?

Teniendo en cuenta que ya se han creado la Fiscalía de Delitos Informáticos, el Grupo de Delitos Telemáticos de la Guardia Civil y la Brigada de Investigación Tecnológica de la Policía Nacional, no resultaría descabellado pensar que en un futuro se puedan llegar a crear estos juzgados.

Hace ya unos años vivimos la creación de los juzgados de lo mercantil por lo que se cuenta ya con una experiencia previa. No obstante en este caso la complejidad radica en que obtendrían competencias provenientes de todas las jurisdicciones, por lo que el estudio y análisis de la implantación de estos juzgados requiere tiempo, estudio y reflexión.

En cuanto al nivel de conocimiento TIC de los jueces, al que yo añadiría también el de los letrados de la administración de justicia, varía considerablemente en función de cada individuo. Los hay con un alto conocimiento TIC y a la vez son unos apasionados de las nuevas tecnologías y hay otro grupo que al no estar tan al día en estas tecnologías requieren de una mayor y especial diligencia a la hora de razonar y fundamentar el asunto por parte del letrado.

8.- Para terminar ¿qué supuso para usted que la obra Protección de Datos y habeas data, una visión desde Iberoamérica, de la cual usted junto a Daniel López Carballo han sido coordinadores, haya resultado galardonada en la XVIII Edición del Premio Protección de Datos Personales de Investigación de la AEPD?

Desde el punto de vista profesional el reconocimiento de tu trabajo por parte de la Agencia Española de Protección de Datos supone sin duda la máxima aspiración a la que un especialista en esta materia puede aspirar.

También supone el reconocimiento de todo el sector profesional como hemos tenido la ocasión de comprobar a través de sus gestos y comentarios. Por supuesto al versar la obra sobre el derecho a la protección de datos en Iberoamérica, ese mismo reconocimiento ha llegado por parte del sector profesional de esos países y se está empezando a plasmar en la impartición de ponencias en jornadas y cursos por parte de los diferentes autores de la obra.

Desde el punto de vista personal ha supuesto tal y como lo confirma el día a día, que un grupo de profesionales de diferentes países hayamos creado una fuerte amistad.