Anteproyecto de ley orgánica de protección de datos

El viernes 23 de junio el Ministerio de Justicia publicó una nota de prensa donde se afirma que el Gobierno impulsa el anteproyecto de Ley Orgánica de protección de datos para adaptar la legislación española al Reglamento 2016/679 antes de que este entre en vigor el próximo 18 de mayo de 2018.

Esperemos que este ejercicio de transposición legislativa se haga mejor que los dos anteriores, ya que tanto la antigua LORTAD, como la vigente LOPD y su Reglamento vieron cómo su articulado terminó en el Constitucional.

Es de destacar que, aunque tanto la directora de la AEPD, como el secretario general técnico del Ministerio de Justicia aseguraron que tendríamos nueva Ley, el ahora diputado socialista d. Artemi Rallo, cuestionó que fuera a aprobarse a tiempo.

La Comisaria europea de Interior de la UE, ¿corrupta o “topo” de EE.UU.?

Corrupción

El fin de semana pasado se publicó una noticia que ha pasado prácticamente desapercibida en el gremio: Cecilia Malmström, Comisaria de Interior de la U.E. en el anterior período legislativo, ha estado colaborando con los norteamericanos en intentar frenar el Reglamento europeo de protección de datos.

La información ha aparecido en el blog del grupo de defensa de los derechos digitales Access. Solicitaron en 2013 acceso a documentación tanto de la Comisión Europea como de los Departamentos de Estado, Justicia y Comercio de EE.UU. El objetivo que tenían era aclarar las presiones “useñas” a la Unión Europea para frenar la aprobación del Reglamento de protección de datos.

El correo electrónico, de 12 de enero de 2012, de un trabajador de la NTIA (National Telecommunications and Information Administration) del Departamento de Comercio, hace referencia al borrador de uno de los documentos que redactó el “lobby” de la administración Obama para influir en la redacción del Reglamento. Eso es lo de menos; lo de más es que indica que el gabinete de Malmström había estado compartiendo información con la misión de EE.UU. en la Unión Europea, incluyendo las fechas apropiadas para publicar el documento de “lobby”, información sobre políticas internas de la Comisión, y sus preocupaciones sobre cómo la propuesta podía provocar un conflicto entre la U.E. y los intereses norteamericanos en la aplicación de ésta.

La susodicha Comisaria fue la encargada de averiguar si EE.UU. había espiado a europeos que estuvieran incluidos en la base de datos de SWIFT, que contiene información sobre transacciones financieras europeas. Cerró el asunto con la afirmación de que EE.UU. le había dado “garantías por escrito” de que no lo había hecho. Como el Parlamento Europeo no quedó satisfecho con la investigación, en marzo de 2014 solicitó la suspensión de las negociaciones para cerrar el Tratado Transatlántico de Comercio e Inversiones con EE.UU. Hasta la fecha, no ha habido reacción de ningún tipo a la petición.

Por cierto, Malmström será nombrada como Comisaria de Comercio si así se aprueba en una sesión plenaria del Parlamento Europeo que se celebrará el 22 de octubre. Digo yo que el nombramiento se hará por sus “buenas relaciones” con los norteamericanos. Resulta que el lunes , en una audiencia de 3 horas previa a su posible nombramiento, se le preguntó por el “asuntillo” y respondió que rechazaba las acusaciones,  porque eran “infundadas” y estaban “basadas en malinterpretaciones y mentiras”.

La respuesta de Access no se ha hecho esperar: la fuente de la información es más que fiable, ya que se trata de un correo electrónico obtenido de forma legal del Departamento de Comercio de EE.UU., y que demuestra de modo claro su implicación.

Bochorno y vergüenza. Es lo único que se me ocurre. Este es el nivel de “nuestros” representantes europeos. Corrupción pura, y negar la mayor cuando la tienen delante.

La noticia, aquí en GigaOm. Actualización de hoy mismo, aquí en Techdirt.

Derecho a la portabilidad de datos (2ª Parte)

En el anterior post afirmé que el derecho a la portabilidad de los datos, tal y como está redactado en la propuesta, crea más problemas que soluciona. Es muy fácil que de aquí a que se apruebe como definitivo, sufra modificaciones. Veamos a continuación lo que dice:

1. Cuando se traten datos personales por vía electrónica en un formato estructurado comúnmente utilizado, el interesado tendrá derecho a obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.

2. Cuando el interesado haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales.

3. La Comisión podrá especificar el formato electrónico contemplado en el apartado 1 y las normas técnicas, modalidades y procedimientos para la transmisión de datos personales de conformidad con lo dispuesto en el apartado 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.

La primera cuestión que habrá que dilucidar es qué cabe entender por “formato estructurado comúnmente utilizado”. En ninguna parte de la propuesta de Reglamento se habla de ello, y sin embargo, es lo principal en el artículo. Se ha dejado la la Comisión la tarea de especificarlo, indicando formatos,  normas técnicas, modalidades y procedimientos para la transmisión de los datos.

Si la empresa no trabaja con un formato que sea común, no estaría obligada a cumplir con la obligación de facilitar la portabilidad, o al menos eso entiendo. Esta es la primera razón por la que la redacción del artículo es fallida. Si se condiciona este pretendido nuevo derecho a que los tratamientos se realicen con en formatos de uso común, se pierde la neutralidad tecnológica que hubiera permitido extender esta obligación a cualquier tratamiento. A mi juicio, buscar la interoperabilidad es bueno, pero una norma sobre datos personales no es el lugar más adecuado, y menos mezclándola con el ejercicio de un derecho.

Hice referencia al discurso de Almunia porque en él vemos parte del origen de este nuevo derecho: la libre  competencia. El regulador se ha dado cuenta de que los datos son la mercancía con la que se van a empezar a librar verdaderas batallas entre empresas, y espera que facilitando la portabilidad, las empresas de nueva creación puedan acceder a la información que los mismos usuarios les lleven de un modo más rápido y fácil.

En las empresas de Internet la tecnología ya no es una ventaja competitiva, sino cómo tratan la información y qué hacen con ella. Por esto me resulta curioso que este nuevo derecho sea de aplicación a cualquier empresa, independientemente de su tamaño. Pero claro, al ser un derecho no se puede acotar su aplicación a los grandes de Internet, a quienes sí que pueden alcanzar posiciones cercanas al monopolio.

Si le aplicas la medida a Facebook, por ejemplo, para colabore con los usuarios que quieran llevarse todos sus datos a una nueva red social más pequeña pero más atractiva, el esfuerzo y coste que le ha supuesto recopilar y tratar datos del usuario, terminará jugando a favor de esa nueva red social. Fastidio para Facebook, pero cumplimiento de derecho. Ahora viene la segunda parte: por pequeña que sea una empresa, también habrá de cumplir con el derecho a la portabilidad. ¿Va a resultar entonces atractiva la entrada en un tipo de negocio en el que tu esfuerzo por adquirir usuarios puede terminar en nada gracias a este derecho? Porque el usuario se lleva todos los datos.

Los grandes tienen que desarrollar mecanismos para poder llevar a cabo la portabilidad. Los nuevos, sea cual sea su tamaño, ya habrán de nacer con él, con el servicio al usuario que facilitará, en un futuro, su futura desaparición.

El artículo da al individuo el derecho a llevarse sus datos personales y cualquier otra información que haya facilitado (sic). Pienso por un momento en las fotografías, por ejemplo. O en los “check-in” de un servicio de localización,  en su perfil como consumidor de juegos de plataforma… Todo esto hay que facilitarlo para que se lo lleve a su casa, o a la competencia. ¿Por qué la propuesta no deja fuera los tratamientos que la empresa ha realizado con su “know-how”? Eso es lo que la diferencia de otras, su ventaja competitiva. Cómo trata la información para sacar ventaja económica. Una vez más, la propuesta trata asuntos que no tienen nada que ver con la protección de datos, y entra a regular asuntos de competencia.

El último problema al que quiero hacer referencia es la seguridad. El artículo está redactado pensando en las grandes empresas, o mejor dicho, a servicios que traten gran cantidad de datos (Google, Facebook y similares). La entrega de TODA la información, datos personales y otros, se tendrá que haceridentificando al individuo correctamente. ¿Cuántos servicios, la mayoría de origen norteamericano, están preparados para hacer esto?¿es la identificación del usuario su fuerte? Ni por asomo. Lo que pretende la UE que sea un derecho, más bien lo está convirtiendo en una grave amenaza para la seguridad de la información de los usuarios. Ya puestos a inventarnos nuevos derechos, podríamos haber mencionado un “derecho a la seguridad”.

Dar acceso sin demora a todos los datos personales tratados en un sistema provoca riesgos que sobrepasan con mucho lo razonable. Soy muy pesado… pero la rueda ya está inventada. En el año 2000, el Comité Asesor sobre Seguridad y Acceso Online de la FTC (EE.UU.), advirtió sobre el alto riesgo del acceso en línea a la información de los usuarios: dar acceso a la persona equivocada puede convertir una política de privacidad en una política anti-privacidad. ¿Qué hubiera costado haberse leído ese informe? ¡Que tiene 12 años ya!

En resumen, creo que la inclusión del derecho a la portabilidad, tal y como se propone, es un despropósito más de la UE, y tendrá que rehacerse, cuando no eliminarse.