Falta de iniciativa

He estado digitalizando apuntes y artículos sobre protección de datos que conservaba en papel. Entre éstos, he encontrado documentación de un seminario sobre el régimen jurídico de los datos de tráfico en Internet que se hizo en la Universitat de les Illes Balears en febrero de 2005. Andaba por aquél entonces viviendo en Palma de Mallorca, con la suerte de que existía allí el CEDIB, Centro de Estudios de Derecho e Informática de Baleares. Una de las investigadoras me invitó a asitir como oyente, y lo cierto es que fue de lo más interesante, porque entonces estaba en el candelero el asunto de la conservación de datos en telecomunicaciones.

Invito a navegar por la web, todavía activa, del CEDIB. La última actualización es del 22 de enero del 2008. Puede comprobarse lo numerosas que son los seminarios, cursos, publicaciones… Esto me ha hecho reflexionar sobre el estado no sólo de la investigación en general, sino de la referida a la privacidad. ¿Qué tenemos en España digno de mención?¿existe alguna institución, sea pública o privada, donde se investigue la materia, y lo más importante, que produzca resultados que sean útiles para el sector empresarial, profesional, o la sociedad en general?

Basta con intentar profundizar para encontrarse con que existe un vacío tremendo. Por dar un ejemplo, el reciente asociacionismo no está pasando de un ejercicio endémico de onanismo “eleopediano”. Los mismos asistentes a los mismos foros donde repiten los mismos ponentes hablando de lo mismo. Mucha teoría, muchísima, pero poca práctica y pocos resultados palpables.

Si nos vamos al mundo de la empresa, para qué hablar. España, aunque nos pese, todavía no se ha subido a lo digital nada más que como consumidora, no tiene una masa crítica de empresas cuya materia prima esencial de trabajo sean los datos de las personas. Sí, alguno estará pensando en Tuenti, pero es una rara excepción. Como muchos otros, somos un país receptor y usuario de tecnología extranjera (Facebook, Google, Apple…) que sí que tiene como centro los datos. No producimos tecnología que ponga a prueba la privacidad, y no tenemos más remedio que entretenernos filosofando con los problemas que nos aporta esa otra concepción del derecho a la privacidad. El concepto casi puramente mercantil norteamericano choca con el eterno y fracasado proteccionismo europeo. Y de ahí el único acicate que mueve los artículos, ponencias y demás en los que anda paseándose el sector profesional por aquí. Sin los retos de la tecnología foránea, no habría tertulia.

Y finalmente, ¿asociaciones civiles que defiendan y promuevan los derechos de los ciudadanos? Ni están, ni se les espera.

El panorama es bien diferente al otro lado del Atlántico. Estados Unidos inventa, tiene la iniciativa tecnológica (¿qué fue de Japón…?), y disfruta de una brillante actividad dedicada a la privacidad en todos sus ámbitos. Pueden verse multitud de empresas que han surgido de las necesidades que plantea la gestión de la privacidad (TrusteNymityAbineSafetywebMyIDPersonal…); florecen las asociaciones civiles que defienden al ciudadano (EFFACLUEPIC,CDT…); existen universidades con proyectos de investigación sólidos (el Berkman Center de Harvard, el Berkeley Center for Law & Technology, elCenter for Internet and Society de Stanford, el CUPS de la Carnegie Mellon…).

Y para qué hablar del sector profesional, donde también se han implicado las empresas en bloque. Son ellas mismas las que impulsaron y fomentaron el asociacionismo. La International Association of Privacy Professionals (IAPP)se creó en el año 2000 (¡…!), y cuenta ya con más de 10.000 miembros en 70 países. La actividad que desarrolla es muy enriquecedora: congresos, seminarios, webinars, publicaciones… Desde hace tiempo tiene ya presencia en Europa, y desde el 2011 hasta ofrece certificación profesional sobre legislación europea (CIPP/E). Y este año ha comenzado a preparar su desembarco en la zona Asia/Pacífico.

En el primer Knowledgenet de la IAPP en Madrid tuve ocasión de compartir con otro asistente cómo el “lobby” americano había logrado sus frutos en Bruselas. Basta con leer el proyecto de Reglamento europeo de protección de datos para darse cuenta de cuánta influencia han tenido. Es lo que tiene trabajar en la misma dirección, con un proyecto común y teniendo claros los objetivos.

Pienso que existe una grave falta de iniciativa. ¿Compartís esta visión? ¿Alguna opinión optimista?

No existen las políticas de privacidad… ¡qué disgusto!

PapelH¿Cuántas veces hemos oído utilizar el término “política de privacidad”? Que si una web tiene o no tiene política de privacidad, que si hay que indicar en la política de privacidad tal o cual cosa… Pues tengo una mala noticia: en la legislación española NO existen las políticas de privacidad tal y como se han venido entendiendo desde hace un tiempo en el gremio.

Suelen aparecer esas políticas después de llegar a ellas desde un enlace que en muchas ocasiones está escondido a pie de página de inicio. Cuando las tienes delante, te das cuenta de que se trata de un conjunto de largos párrafos de información inútil e innecesaria, la mayoría simple copia de artículos de la Ley y Reglamento. Cuantas más cosas se pongan, mejor. Cada vez que leo alguno de estos engendros, pienso que es una justificación de minuta frente al cliente, porque ¿cómo se le explica que con colocar pequeños avisos en los formularios oportunos, y poco más, ya sirve? Así hay más letras juntas, y da la sensación de horas de trabajo de gabinete. Los hay que venden servicios al peso de las letras.

Es un término importado e impostado. Ya que no está en las normas, vayamos al Diccionario de la RAE a ver si nos da una pista o nos ayuda. Entre las diversas acepciones encontramos que define política como las “orientaciones o directrices que rigen la actuación de una persona o entidad en un asunto determinado”. ¿Cuáles son las orientaciones y directrices que rigen la actuación del responsable, o de cualquier otro, que recoja y trate datos? Por esta definición parezca que la entidad puede optar o decidir qué hace o qué no, y de qué manera, nada más lejos de la realidad.  La Ley y el Reglamento, básicamente, son esas orientaciones y directrices. Nuestro ordenamiento es taxativo en este sentido, y permite poco margen de maniobra.

Si algo tiene nuestro cuerpo normativo sobre protección de datos, es que deja pocos puntos a merced de las decisiones de quien los trata. Nuestro sistema normativo es muy claro en qué información hay que aportar al titular de los datos, y cuándo hacerlo, porque de ello depende que tengamos el consentimiento necesario para tratar datos. Por eso la información al titular de los datos es esencial. La información que hay que dar viene marcada por varios artículos de la L.O.P.D.:

  • Artículo 5:información en la recogida de los datos
  • Artículo 11, punto 3:información mínima que hay que proporcionar sobre el cesionario si se tiene prevista o se realiza una cesión de datos
  • Artículo 27:información que hay de proporcionar el responsable de fichero cuando efectúa la primera cesión de datos
  • Artículo 30, punto 2:información al destinatario de comunicaciones comerciales cuyos datos han sido obtenidos de fuentes accesibles al público

Hemos de sumar a éstos los artículos dedicados por el Reglamento a la obtención del consentimiento, donde impone ciertos deberes formales que no hacen sino complementar al artículo 5 de la Ley. Y si abandonamos la L.O.P.D., puede añadirse la obligación de informar que impone la L.S.S.I.C.E., que no es más que una remisión a la anterior para el caso de que se recojan datos de carácter personal, y además, en el caso de instalación y uso de “cookies”, qué información previa ha de darse: información clara y completa, y los fines de los tratamientos de datos que se pretendan realizar. Y no hay más, el resto es pura literatura.

Ninguna de esas diversas manifestaciones del deber de información debiera catalogarse como políticas de privacidad. Para dar una muestra de cómo debe informarse en páginas web podemos leer las más que añejasRecomendaciones al Sector del Comercio Electrónico redactadas por la AEPD en el año 2000, como consecuencia de una inspección sectorial. En concreto, en su Recomendación Primera (página 10), referente a la información en la recogida de datos, dice lo siguiente:

En todas y cada una de las páginas web desde las que se recaben datosde carácter personal se incluirá claramente visible la información a la que hace referencia el artículo 5 de la LOPD, que el usuario deberá poder obtener con facilidad y de forma directa y permanente.

Podrá optarse por incorporar en todas esas páginas un texto o un botón adecuadamente etiquetado que, al ser seleccionado mediante un “click”, permita obtener la citada información. No obstante, se considera más adecuada una opción según la cual la lectura de dicha información se presente como ineludible (y no optativa) dentro del flujo de accionesque deba ejecutar el usuario para expresar la aceptación definitiva de la transmisión de sus datos a la entidad que los está recabando.

El subrayado y la negrita son míos. De verdad, qué recomendaciones aquéllas, de hace ya más de una década… Es que les pasa como a los vinos. Esto era Gran Reserva. Particularmente echo de menos en el haber de la AGPD documentos de esa claridad y utilidad, y no guías insulsas que se dedican a recopilar legislación, sus propias resoluciones y cuatro cositas más. Vino de mesa.

Es más fácil contagiarse de lo malo que imitar las virtudes ajenas. Sin embargo, hay razones para no seguir la moda de las susodichas políticas. La de más peso, que no existe obligación legal alguna, y que poco o nada aportan, salvo demostrar que el asesoramiento no es del todo correcto. La segunda, que además los titulares de los datos, en concreto los vascos, no las leen, comoayer contaban en Iurismática. Y finalmente y para colmo de males, si los usuarios las leyeran, el coste de oportunidad sería demasiado alto. Esto ya lo han demostrado en el país de las “políticas de privacidad”, e incluso comienza a haber iniciativas para acortarlas porque les empiezan a parecer inútiles.

Parece mentira que mientras ellos buscan cómo simplificar, nosotros, que tenemos algo simple, estamos intentando complicarlo.

La figura del Responsable de Protección de Datos, un gran impulso para la profesión (2ª parte)

El Responsable de Protección de Datos ha de poder llevar a cabo su trabajo de forma independiente, sin que pueda recibir instrucciones en el ejercicio de sus funciones. La empresa ha de preocuparse por que se cuente con él en tiempo y forma en cualquier cuestión que lleve parejo el tratamiento de datos de carácter personal. Tiene que ser apoyado en el desarrollo de sus trabajos, y han de proporcionársele el personal, instalaciones, equipos y cualquier recurso necesario para que trabaje.

El Responsable de Protección de Datos ha de informar directamente a la dirección de la empresa. Imaginémonos la alteración que esto supone en el organigrama de cualquier empresa. Creo que el esfuerzo va a ser mayúsculo. Si la empresa en cuestión no tiene ya arraigada una cultura de protección de datos, a toda la estructura le costará bastante asumir este nuevo puesto con sus roles, y la primera tarea del Responsable pasará por justificar y explicar la necesidad de su propia existencia. Como siempre, si la dirección no está convencida de la necesidad de la existencia del Responsable de Protección de Datos, será bastante difícil que pueda trabajar y cumplir con sus cometidos convenientemente, al faltarle apoyo.

Las funciones que el borrador de Reglamento enuncia para el Responsable son la siguientes:

– informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones,

– controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorias periódicas

– controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derechos,

– asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales,

– controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa,

– actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia

Como puede verse, sus funciones son bastante más extensas que las del Responsable de Seguridad. Nada tiene que ver una figura con otra. Es más, la competencia de supervisar “la seguridad de los datos” es una más, por lo que las funciones del Responsable de Seguridad actual quedaría controladas/supervisadas por el Responsable de Protección de Datos.

David González me planteó ayer a través de twitter que echaba de menos la regulación de ciertas incompatibilidades que pueden darse, pensando en un Responsable de Protección de Datos en su modalidad de contratado externo… con el conocimiento que adquirirá sobre el negocio de las empresas a las que preste servicio, ¿no debieran haberse regulado? Quizá por lo compleja que puede ser esa regulación se ha obviado, ya que las mismas empresas se cuidarán muy bien de prestar atención al asunto. Por dar un ejemplo concreto, a una empresa de software no se le pasará por la cabeza contratar al mismo Responsable que también ejerce en una empresa competidora. Al menos yo no lo haría.

¿Están preparadas las empresas españolas para asumir esta figura? Pienso que todavía no, pero no les quedará más remedio. Es un revulsivo que puede ayudar bastante a pasar del mero cumplimiento en protección de datos, a la utilización de la cuestión como ventaja competitiva, como diferenciación con la competencia… Las empresas tendrán que pasar de estar acostumbradas a tratar la LOPD como amenaza, como algo externo que se puede obviar, a tener en cuenta la opinión de estos especialistas en todos los procesos en los que haya tratamiento de datos. Puede pensarse que es una exageración que se exija desde la UE, pero si realmente se quiere que se respete un derecho fundamental que está tan, tan impactado por las nuevas tecnologías, la mejor solución es obligar a las empresas a incluir especialistas en el campo en su funcionamiento. En este sentido prefiero una regulación quizá muy atrevida e influida por los “useños”, a una “no regulación” o una regulación muy coja, como la que tenemos ahora con la figura del Responsable de Seguridad.

Como cuestión de cierre y para reflexión, ¿de qué calibre es la responsabilidad que asumirán estos trabajadores? ¿hasta qué punto serán responsables de que su empresa cumpla o no con la legislación? Es un tema que merece análisis, y quizá es más complejo de lo que puede parecer. Pero no puedo evitar pensar en el ejemplo de la condena por un juzgado de Milán a Peter Fleischer, responsable global de privacidad de Google. En 2006, una pandilla de impresentables grabó en vídeo los abusos a un compañero de colegio autista, y lo subió a Google Video. Fleischer y dos ejecutivos más fueron condenados por no cumplir con la legislación sobre privacidad italiana.

Con todo, de ser aprobada esta versión del borrador de Reglamento, constituye un gran impulso para nuestra profesión. Sería un grave error que Europa no lo regulara, quedando en un breve plazo de tiempo por detrás de su eterno competidor, EE.UU. Es imposible que en pleno siglo XXI, donde la materia prima esencial que usan las empresas para trabajar es la información sobre las personas, el profesional de la privacidad todavía sea visto como algo raro y exótico. Esta regulación es más que necesaria.

Buena entrada en 2012 a todos.