Derecho a la portabilidad de datos (2ª Parte)

En el anterior post afirmé que el derecho a la portabilidad de los datos, tal y como está redactado en la propuesta, crea más problemas que soluciona. Es muy fácil que de aquí a que se apruebe como definitivo, sufra modificaciones. Veamos a continuación lo que dice:

1. Cuando se traten datos personales por vía electrónica en un formato estructurado comúnmente utilizado, el interesado tendrá derecho a obtener del responsable del tratamiento una copia de los datos objeto de tratamiento en un formato electrónico estructurado y comúnmente utilizado que le permita seguir utilizándolos.

2. Cuando el interesado haya facilitado los datos personales y el tratamiento se base en el consentimiento o en un contrato, tendrá derecho a transmitir dichos datos personales y cualquier otra información que haya facilitado y que se conserve en un sistema de tratamiento automatizado a otro sistema en un formato electrónico comúnmente utilizado, sin impedimentos por parte del responsable del tratamiento de quien se retiren los datos personales.

3. La Comisión podrá especificar el formato electrónico contemplado en el apartado 1 y las normas técnicas, modalidades y procedimientos para la transmisión de datos personales de conformidad con lo dispuesto en el apartado 2. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 87, apartado 2.

La primera cuestión que habrá que dilucidar es qué cabe entender por “formato estructurado comúnmente utilizado”. En ninguna parte de la propuesta de Reglamento se habla de ello, y sin embargo, es lo principal en el artículo. Se ha dejado la la Comisión la tarea de especificarlo, indicando formatos,  normas técnicas, modalidades y procedimientos para la transmisión de los datos.

Si la empresa no trabaja con un formato que sea común, no estaría obligada a cumplir con la obligación de facilitar la portabilidad, o al menos eso entiendo. Esta es la primera razón por la que la redacción del artículo es fallida. Si se condiciona este pretendido nuevo derecho a que los tratamientos se realicen con en formatos de uso común, se pierde la neutralidad tecnológica que hubiera permitido extender esta obligación a cualquier tratamiento. A mi juicio, buscar la interoperabilidad es bueno, pero una norma sobre datos personales no es el lugar más adecuado, y menos mezclándola con el ejercicio de un derecho.

Hice referencia al discurso de Almunia porque en él vemos parte del origen de este nuevo derecho: la libre  competencia. El regulador se ha dado cuenta de que los datos son la mercancía con la que se van a empezar a librar verdaderas batallas entre empresas, y espera que facilitando la portabilidad, las empresas de nueva creación puedan acceder a la información que los mismos usuarios les lleven de un modo más rápido y fácil.

En las empresas de Internet la tecnología ya no es una ventaja competitiva, sino cómo tratan la información y qué hacen con ella. Por esto me resulta curioso que este nuevo derecho sea de aplicación a cualquier empresa, independientemente de su tamaño. Pero claro, al ser un derecho no se puede acotar su aplicación a los grandes de Internet, a quienes sí que pueden alcanzar posiciones cercanas al monopolio.

Si le aplicas la medida a Facebook, por ejemplo, para colabore con los usuarios que quieran llevarse todos sus datos a una nueva red social más pequeña pero más atractiva, el esfuerzo y coste que le ha supuesto recopilar y tratar datos del usuario, terminará jugando a favor de esa nueva red social. Fastidio para Facebook, pero cumplimiento de derecho. Ahora viene la segunda parte: por pequeña que sea una empresa, también habrá de cumplir con el derecho a la portabilidad. ¿Va a resultar entonces atractiva la entrada en un tipo de negocio en el que tu esfuerzo por adquirir usuarios puede terminar en nada gracias a este derecho? Porque el usuario se lleva todos los datos.

Los grandes tienen que desarrollar mecanismos para poder llevar a cabo la portabilidad. Los nuevos, sea cual sea su tamaño, ya habrán de nacer con él, con el servicio al usuario que facilitará, en un futuro, su futura desaparición.

El artículo da al individuo el derecho a llevarse sus datos personales y cualquier otra información que haya facilitado (sic). Pienso por un momento en las fotografías, por ejemplo. O en los “check-in” de un servicio de localización,  en su perfil como consumidor de juegos de plataforma… Todo esto hay que facilitarlo para que se lo lleve a su casa, o a la competencia. ¿Por qué la propuesta no deja fuera los tratamientos que la empresa ha realizado con su “know-how”? Eso es lo que la diferencia de otras, su ventaja competitiva. Cómo trata la información para sacar ventaja económica. Una vez más, la propuesta trata asuntos que no tienen nada que ver con la protección de datos, y entra a regular asuntos de competencia.

El último problema al que quiero hacer referencia es la seguridad. El artículo está redactado pensando en las grandes empresas, o mejor dicho, a servicios que traten gran cantidad de datos (Google, Facebook y similares). La entrega de TODA la información, datos personales y otros, se tendrá que haceridentificando al individuo correctamente. ¿Cuántos servicios, la mayoría de origen norteamericano, están preparados para hacer esto?¿es la identificación del usuario su fuerte? Ni por asomo. Lo que pretende la UE que sea un derecho, más bien lo está convirtiendo en una grave amenaza para la seguridad de la información de los usuarios. Ya puestos a inventarnos nuevos derechos, podríamos haber mencionado un “derecho a la seguridad”.

Dar acceso sin demora a todos los datos personales tratados en un sistema provoca riesgos que sobrepasan con mucho lo razonable. Soy muy pesado… pero la rueda ya está inventada. En el año 2000, el Comité Asesor sobre Seguridad y Acceso Online de la FTC (EE.UU.), advirtió sobre el alto riesgo del acceso en línea a la información de los usuarios: dar acceso a la persona equivocada puede convertir una política de privacidad en una política anti-privacidad. ¿Qué hubiera costado haberse leído ese informe? ¡Que tiene 12 años ya!

En resumen, creo que la inclusión del derecho a la portabilidad, tal y como se propone, es un despropósito más de la UE, y tendrá que rehacerse, cuando no eliminarse.

Derecho a la portabilidad de datos (1ª Parte)

El 26 de noviembre, en una conferencia sobre privacidad y mercados de datos celebrada en Bruselas, Joaquín Almunia, Comisario de Competencia, sugirió que las empresas que no respeten el derecho a la portabilidad de los datos, pueden verse sujetas a intervenciones basadas en la legislación antimonopolísticas europeas.

Tras advertir del riesgo que supone la recogida y análisis de datos personales a gran escala, remarcó el alto valor comercial que han adquirido los datos personales, que ahora se han convertido en la mercancía más preciada para las empresas. Como éstas pueden infringir la normativa sobre privacidad para tomar ventajas frente a sus competidores, o para restringir la entrada en el mercado de otros, ahí es donde han de entrar en acción los organismos europeos que vigilan la competencia. No basta con quedarse en la protección de datos y en la protección del consumidor.

Basta con ver los miles de millones de euros que generan gigantes como Google o Facebook, cuyos modelos de negocio giran en torno a este nuevo petróleo, para darse cuenta de que los datos personales van a ser el caballo de batalla de las cuestiones de competencia en los mercados internacionales dentro de muy poco tiempo.

No es posible abordar este análisis sin tener en cuenta los antecedentes históricos de la portabilidad de los datos. En noviembre de 2007, Chris Saadinvitó a un grupo de personas a compartir impresiones sobre este concepto, naciendo entonces el “Data Portability Project“. Se trataba de trabajar para intentar devolver a los usuarios el control sobre sus propios datos, y que pudieran disfrutar de una movilidad real de estos datos entre diferentes aplicaciones o empresas, siempre respetando la privacidad de los usuarios. No sólo participan los usuarios, sino que también los desarrolladores pueden adherirse, puesto que se trata de buscar soluciones tecnológicas para poder llevar a cabo esa portabilidad. Sin el concurso de la industria, sería imposible.

Es obligado citar la experiencia de Robert Scoble. Intentó descargar sus más de 5000 contactos de Facebook utilizando un “script”, pero esta acción violaba las condiciones de uso que había aceptado para utilizar la red social. Así queFacebook procedió a bloquear su cuenta. Al ser un blogger bastante conocido en el mundo de la tecnología, el caso tuvo amplia cobertura mediática y gran repercusión, por lo que supuso un gran impulso para el proyecto.

El 2008 se convirtió en el año de la portabilidad, y el proyecto logró las adhesiones de los grandes de la industria, como Microsoft,  Google y el mismo Facebook. Y ahora, más de 3 años después, la portabilidad de los datos nos aparece ¡y como derecho! en la propuesta de Reglamento de protección de datos. ¿Es entonces tan novedoso, y tan “europeo” como se pretende? Más bien no.

El derecho a la portabilidad aparece en el artículo 18 de la propuesta de Reglamento; ¿en qué consiste tal y como está concebido?… ¿soluciona el problema de competencia al que hace referencia Almunia?

En los pocos artículos que he leído hasta ahora los puristas del derecho están más que satisfechos porque ven en este derecho de “nuevo” cuño una ampliación o refuerzo del derecho de acceso. Pero este análisis peca de superficial. El artículo, tal cual está redactado, plantea más problemas en la práctica de los que pretende solucionar, como vamos a tener oportunidad de ver. Eso sí, en la 2ª parte.

La figura del Responsable de Protección de Datos, un gran impulso para la profesión (2ª parte)

El Responsable de Protección de Datos ha de poder llevar a cabo su trabajo de forma independiente, sin que pueda recibir instrucciones en el ejercicio de sus funciones. La empresa ha de preocuparse por que se cuente con él en tiempo y forma en cualquier cuestión que lleve parejo el tratamiento de datos de carácter personal. Tiene que ser apoyado en el desarrollo de sus trabajos, y han de proporcionársele el personal, instalaciones, equipos y cualquier recurso necesario para que trabaje.

El Responsable de Protección de Datos ha de informar directamente a la dirección de la empresa. Imaginémonos la alteración que esto supone en el organigrama de cualquier empresa. Creo que el esfuerzo va a ser mayúsculo. Si la empresa en cuestión no tiene ya arraigada una cultura de protección de datos, a toda la estructura le costará bastante asumir este nuevo puesto con sus roles, y la primera tarea del Responsable pasará por justificar y explicar la necesidad de su propia existencia. Como siempre, si la dirección no está convencida de la necesidad de la existencia del Responsable de Protección de Datos, será bastante difícil que pueda trabajar y cumplir con sus cometidos convenientemente, al faltarle apoyo.

Las funciones que el borrador de Reglamento enuncia para el Responsable son la siguientes:

– informar y asesorar a la empresa acerca de las obligaciones que le impone el Reglamento, y documentar esta actividad y las respuestas que se han dado a sus peticiones,

– controlar la implementación y aplicación de las políticas de la empresa en relación con la protección de datos personales, incluyendo la asignación de responsabilidades, la capacitación del personal involucrado en los tratamientos, y la realización de auditorias periódicas

– controlar la implementación y aplicación del Reglamento, en particular los requisitos relativos a la protección de datos por diseño, protección de datos por defecto, la seguridad de los datos y las solicitudes de ejercicio de derechos,

– asegurarse de mantener la documentación que exige el Reglamento; y controlar la documentación, notificación y comunicación de fugas de datos personales,

– controlar la aplicación por la empresa de lo establecido en los análisis de impacto sobre protección de datos, y la solicitud de autorización o consulta previa,

– actuar como contacto con la autoridad supervisora, y controlar las respuestas que se le ofrezcan, así como colaborar con ésta dentro de su esfera de competencias, ya sea a su solicitud, o por iniciativa propia

Como puede verse, sus funciones son bastante más extensas que las del Responsable de Seguridad. Nada tiene que ver una figura con otra. Es más, la competencia de supervisar “la seguridad de los datos” es una más, por lo que las funciones del Responsable de Seguridad actual quedaría controladas/supervisadas por el Responsable de Protección de Datos.

David González me planteó ayer a través de twitter que echaba de menos la regulación de ciertas incompatibilidades que pueden darse, pensando en un Responsable de Protección de Datos en su modalidad de contratado externo… con el conocimiento que adquirirá sobre el negocio de las empresas a las que preste servicio, ¿no debieran haberse regulado? Quizá por lo compleja que puede ser esa regulación se ha obviado, ya que las mismas empresas se cuidarán muy bien de prestar atención al asunto. Por dar un ejemplo concreto, a una empresa de software no se le pasará por la cabeza contratar al mismo Responsable que también ejerce en una empresa competidora. Al menos yo no lo haría.

¿Están preparadas las empresas españolas para asumir esta figura? Pienso que todavía no, pero no les quedará más remedio. Es un revulsivo que puede ayudar bastante a pasar del mero cumplimiento en protección de datos, a la utilización de la cuestión como ventaja competitiva, como diferenciación con la competencia… Las empresas tendrán que pasar de estar acostumbradas a tratar la LOPD como amenaza, como algo externo que se puede obviar, a tener en cuenta la opinión de estos especialistas en todos los procesos en los que haya tratamiento de datos. Puede pensarse que es una exageración que se exija desde la UE, pero si realmente se quiere que se respete un derecho fundamental que está tan, tan impactado por las nuevas tecnologías, la mejor solución es obligar a las empresas a incluir especialistas en el campo en su funcionamiento. En este sentido prefiero una regulación quizá muy atrevida e influida por los “useños”, a una “no regulación” o una regulación muy coja, como la que tenemos ahora con la figura del Responsable de Seguridad.

Como cuestión de cierre y para reflexión, ¿de qué calibre es la responsabilidad que asumirán estos trabajadores? ¿hasta qué punto serán responsables de que su empresa cumpla o no con la legislación? Es un tema que merece análisis, y quizá es más complejo de lo que puede parecer. Pero no puedo evitar pensar en el ejemplo de la condena por un juzgado de Milán a Peter Fleischer, responsable global de privacidad de Google. En 2006, una pandilla de impresentables grabó en vídeo los abusos a un compañero de colegio autista, y lo subió a Google Video. Fleischer y dos ejecutivos más fueron condenados por no cumplir con la legislación sobre privacidad italiana.

Con todo, de ser aprobada esta versión del borrador de Reglamento, constituye un gran impulso para nuestra profesión. Sería un grave error que Europa no lo regulara, quedando en un breve plazo de tiempo por detrás de su eterno competidor, EE.UU. Es imposible que en pleno siglo XXI, donde la materia prima esencial que usan las empresas para trabajar es la información sobre las personas, el profesional de la privacidad todavía sea visto como algo raro y exótico. Esta regulación es más que necesaria.

Buena entrada en 2012 a todos.