Héctor Guzmán Rodríguez: Protección de datos: Mucho pasado, un presente incompleto y la ilusión del futuro.


 

APEP - Logo

Día Europeo de Protección de Datos 2016

Monográfico de la Asociación Profesional Española de Privacidad

+

+

Héctor Guzmán Rodríguez

Director del Área de Protección de Datos Personales y Privacidad de BGBG Abogados.

En este Día Europeo de la Protección de Datos 2016, hablar del futuro de este derecho suena tentador después de los diversos sucesos (jurídicos y no jurídicos) que hemos atestiguado, tan solo en el 2015, por no ir más lejos.

En la Unión Europea (EU), la inminente adopción del Reglamento General de Protección de Datos (RGPD), prevista para la primavera de este mismo año, ha traído consigo múltiples reacciones y opiniones que no dejan de alertar sobre los numerosos cambios y retos que esta normativa traerá consigo, tanto para los sujetos obligados como para las autoridades nacionales europeas; sin dejar de mencionar la información sobre los beneficios que dicho Reglamento traería para los ciudadanos y residentes europeos.

Al mismo tiempo, la siempre tirante relación trasatlántica entre la UE y los Estados Unidos de América, aún más comprometida tras el sentido y efectos de la sentencia emitida por el Tribunal de Justicia de la Unión Europea en el Asunto C-362/14 (Sentencia Safe Harbor), tiene a múltiples sectores a la espera de un “Safe Harbor 2” para finales de este mes de enero (un “plazo” “establecido” por el Grupo de Trabajo del Artículo 29). Al respecto, y con ánimo de animar un poco la espera, cabe mencionar que algunos han sugerido su cambio de nombre, debido a la fama que el primer Safe Harbor ahora acarrea. Podéis ver el resultado del concurso organizado al respecto, aquí.

Entonces, pues, hablar del futuro de la protección de datos se antoja muy atractivo, casi inevitable, diría yo. Sin embargo, antes de lanzarme a la aventura (y riesgo) de anunciar predicciones, mi forma de ser me impide hacerlo sin antes hacer un pequeño recuento del pasado y el balance de un presente que, se mire por donde se mire, condiciona los retos a los que nos enfrentamos. Esta es mi aportación para hablar del futuro.

El valor del pasado

Europa puede decir que lidera en el mundo la defensa de la privacidad y de la protección de datos como derechos fundamentales. Su historia así lo exige, y hoy en día es ésta la que guía sus convicciones en torno a la defensa y promoción de ambos derechos.

Antes incluso de la era digital, tal y como ahora la entendemos (o decimos entender), Europa se dio a la tarea de forjar y promover en sus instituciones y ciudadanos la conciencia y el respeto por estos derechos, justo en sentido contrario o en anticipo a lo que muchos otros países no hicieron de forma contemporánea. Esta tradición histórica, y la convicción de su defensa, es la misma que ha colocado a la actual UE bajo reflectores críticos que, con mayor o menor acierto, la han criticado por anteponer la privacidad a la “innovación” (¿el futuro?).

En este sentido, el futuro de la privacidad y de la protección de datos en la UE, y el papel que jugará el RGPD, no serán comprendidos, como ya ha sucedido con el marco normativo anterior, si no se atiende a la historia que sustentan la defensa y encumbramiento de estos derechos fundamentales en esta parte del mundo.

Los errores pasados también merecen atención. El desfase entre la tecnología y la legislación especializada han motivado numerosas críticas y la sensación de un “vacío legal” cuya inexistencia sólo ha sido comprendida en círculos jurídicos que no han cesado de negarla, pero que han sido incapaces de trasladarla de forma exitosa al mundo real, en el que existe la sensación de que los datos personales de los cibernautas no están protegidos por la normativa vigente (¡!).

Por otro lado, se critica que el RGPD nace ya con desfases frente al actual estado de las cosas, donde, por ejemplo, el avance del Internet de las Cosas (IoT) parece ajeno a una regulación que no acaba de entrar en vigor, o la defensa de los ciudadanos frente a actividades gubernamentales que vulneran su privacidad no parece contar con medios claros y a su alcance. Si consideramos que el proceso de actualización del marco normativo europeo de protección de datos inició en 2012, y no se verá concluido sino hasta 2018 (de ser ciertos todos los pronósticos), podemos entender esta sensación.

Luego entonces, el futuro de la protección de datos está sujeto al compromiso de la revisión puntual y expedita de las normas que desean asegurarla, para no volver a caer en la inadaptación de la ley con la realidad.

El presente que no cumplió expectativas (y un futuro con ilusión)

¿Quién diría, a día de hoy, que el marco normativo vigente se cumple de forma general?

¿Quién apostaría todo a favor de cualquier tipo de responsable (público o privado), en cuanto a su nivel de cumplimiento de la normativa vigente de protección de datos?

¿Cuánto apostaríamos a favor de nuestra propia capacidad para transmitir, a todos los niveles, la necesidad de cumplir con dicha normativa?

Como profesionales de la privacidad, desde la academia hasta la consultoría, sabemos que el nivel de cumplimiento no es ni remotamente el idóneo; por no hablar de la voluntad o convicción de cumplimiento existente entre los responsables y encargados. Este es el presente, y como tal representa un reto hacia el futuro.

En público y en privado, he hablado sobre el enorme reto que supondrá el cambio cultural o de paradigma, hacia el cumplimiento por convicción, principio y transparencia: el “accountability”, ya que es obvio que los numerosos cambios y mejoras que serán introducidos por el RGPD no se verán reflejados si este principio no es acogido con relativa rapidez, por todos nosotros.

Ya se discute, con muy buenos argumentos, si echaremos de menos al Registro General de Protección de Datos (RGPD); se pone a discusión si el RGPD aniquilará una de las pocas “armas” con que contamos (todavía) para “convencer” al obligado… para que cumpla.

En ello centro mi análisis del presente hacia el futuro, y en el resultado que de éste obtengo de manera general: debemos comenzar por nosotros mismos para instaurar el inevitable cambio que se avecina, debemos asumir que la madurez, mayor o menor, siempre relativa, del entorno social y jurídico europeo, requiere avanzar hacia el “accountability”.

No soy contrario a los registros como tal, y así he tenido oportunidad de decirlo; pero los estados miembros de la UE avanzan y deben avanzar hacia otro estadio de cumplimiento normativo, más propio de naciones con una historia como la que ya he referido párrafos atrás.

La transparencia, la imagen y la comunicación serán aliados, y una nueva “marca” para los responsables. Los registros deberán ser suplidos por medios de comunicación, propios o institucionales (en función del propio responsable), a través de los cuales deberán “dar la cara” frente a los interesados, con el objeto de poner a su disposición aquella información relativa al tratamiento de sus datos personales y al propio cumplimiento de los estándares que serán exigidos por el RGPD.

Es mi convicción personal que los medios electrónicos, y el minúsculo espacio dedicado en ellos al “cumplimiento” del artículo 5 LOPD, deberán dar lugar a secciones completas para la difusión de información que permita a los responsables (y encargados) difundir las medidas y procedimientos que adoptan para cumplir con el nuevo RGPD.

Esta convicción viene acompañada de cierta ilusión, para participar en el desarrollo de proyectos de compliance que se traduzcan en el cambio de imagen, estrategia de comunicación y programas de transparencia de los responsables, como resultado de sus acciones de cumplimiento del RGPD. Así lo hago en México, donde ser “accountable” es una obligación desde hace ya cinco años; y seguro estoy que será un cambio visible en la UE, dentro no poco tiempo.

Porque, para ser sinceros, sin un poco de ilusión, no debemos mirar hacia el futuro.

+

Héctor Guzmán Rodríguez

Director del Área de Protección de Datos Personales y Privacidad de BGBG Abogados.

Twitter, Linkedin

+

+

Puedes acceder al Monografíco de APEP por el Día Europeo de Protección de Datos 2016 en este enlace.