Nota previa: Tal como estaba previsto, pocos días después de la celebración de esta jornada se publicó en el DOUE el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Por ello, las referencias al que en ese momento era futuro texto, aparecen enlazadas al texto una vez publicado.
El nuevo Reglamento Europeo de protección de datos, ya aprobado por el Parlamento Europeo y pendiente tan solo de su aprobación definitiva por el Consejo, es un texto complejo y minucioso en su regulación, que requerirá de abundante estudio por los profesionales y de clarificación por las autoridades y tribunales.
Y aunque no se espera que sea aplicable hasta mediados de 2018, el gran alcance de su ámbito de aplicación, abrirá nuevas líneas de actividad profesional para la abogacía y otras especialidades.
Estas son algunas de las principales conclusiones que pueden extraerse de la Jornada sobre el nuevo Reglamento que, organizada por la asociación de abogados expertos en tecnología ENATIC, tuvo lugar en Madrid el pasado viernes.
Un texto minucioso y difícil de interpretar
Como señaló en la presentación del acto la decana del Colegio de Madrid, Sonia Gumpert, esta norma implanta una regulación única en materia de protección de datos en todo el ámbito de la Unión, de forma que todos los países van a tener que aplicar los mismos criterios en esta materia.
Su finalidad es regular no solo la protección de los datos personales de las personas físicas, sino también la circulación de esos datos. Y ello no solo en el ámbito de la Unión Europea, pues también se aplica al tratamiento de los datos de los ciudadanos europeos fuera del ámbito de la Unión.
Ese alcance tan amplio explica, según el catedrático de Derecho Administrativo y ex director de la AEPD José Luis Piñar Mañas, el tiempo que ha tardado en aprobarse y que sea un texto muy extenso y detallado, lleno de letra pequeña.
A la vez, se trata de una norma que recurre a abundantes conceptos jurídicos indeterminados, que lo hacen difícil de interpretar en muchas ocasiones, como señalaron José López Calvo (ex subdirector general de Inspección de Datos), Javier Puyol (Socio de Ecix) y Borja Adsuara (Profesor y abogado).
Aplicabilidad directa y principios inspiradores
Como Reglamento comunitario, será directamente aplicable sin necesidad de transposición al Derecho interno, si bien ello planteará algunos posibles problemas de compatibilidad con la actual LOPD.
Se basa en algunos principios que ya existían y en otros que se incorporan ex novo a su regulación, entre los que destacan:
La privacidad desde el diseño (art. 25.1), que significa que en el diseño de aplicaciones que traten datos personales, se tiene que garantizar la privacidad de los mismos desde el principio. Esto implica, por ejemplo, que en materia de redes sociales, los perfiles de privacidad de los usuarios estarán por defecto cerrados a otros usuarios, debiendo ser el usuario quien los abra a otros.
En cuanto al consentimiento para el tratamiento de los datos, este deberá “libre, específico, informada e inequívoco” y el responsable del tratamiento de los datos deberá poder probar que el titular “consintió el tratamiento de sus datos”.
Por tanto, en virtud del principio de responsabilidad, el responsable del tratamiento aplicará las medidas adecuadas para poder demostrar que ese consentimiento se prestó en la forma adecuada.
Sin embargo, como apuntaron posteriormente José López Calvo y Paula Ortiz (Directora jurídica y de Relaciones Institucionales de IAB Spain), parece claro que en muchos casos esta prestación de consentimiento se va a asemejar mucho a un contrato de adhesión, sin margen de negociación para los particulares.
Convivencia con la LOPD
Tanto el profesor Piñar como más adelante Pablo García-Mexia (Letrado de las Cortes y Off Counsel de Ashurst), apuntaron a que la entrada en vigor del Reglamento y su posterior aplicabilidad, puede plantear problemas de convivencia con la legislación actualmente vigente, la LOPD.
Esta Ley parece que podrá seguir siendo aplicable en lo que esté fuera del Derecho de la UE, pues, además, el Reglamento hace numerosas remisiones a la legislación nacional de los Estados miembros.
Pero se suscitan dudas en materias como el registro de ficheros ¿Habrá que seguir realizándolo en nuestro país por efecto de la LOPD o cabe entender una derogación tácita de sus disposiciones en este sentido?
Por otra parte también cabe preguntarse en qué papel quedará al AEPD y qué valor tendrán sus circulares en el nuevo contexto.
Nuevos derechos de los ciudadanos
Según el profesor Piñar, con esta nueva norma se acabaron los conocidos en España como derecho ARCO (Acceso, Rectificación, Cancelación y Oposición). El nuevo Reglamento se refiere ahora a los derechos de Transparencia (art. 12), Información (arts. 13 a 14), Acceso (art. 15), Rectificación (Art. 16), Supresión o derecho al olvido (art. 17), Limitación del tratamiento (art. 18), Portabilidad de datos (art. 20) y Oposición (art. 21).
¿Un Reglamento nacido viejo?
Tanto Javier Puyol como Paula Ortiz apuntaron un posible dato preocupante de cara al futuro: el Reglamento no contempla específicamente cuestiones como el Big Data, el Cloud Computing, la Internet de las cosas o BiTech.
Por tanto, puede pensarse que se ha perdido una ocasión para adaptar completamente la norma al entorno digital para permitirla envejecer bien.
¿Un Reglamento solo para multinacionales?
Desde el punto de vista de su concepción, tanto Javier Puyol como Borja Adsuara criticaron el hecho de que el pequeño empresario, que es el mayoritario dentro y fuera de nuestro país, es el gran olvidado de esta norma, para cuyo cumplimiento estará obligado a solicitar continuo asesoramiento, tema sobre el que volveremos más adelante.
Por ejemplo, en cuanto al diseño con privacidad por defecto, Puyol se preguntó si el empresario medio va a conocer suficientemente que medidas tiene que implantar.
Del mismo modo, si cada responsable de tratamiento va a tener que decidir las medidas a adoptar, cabe plantearse si esto va a dar lugar a un cambio de una responsabilidad objetiva a otra subjetiva en materia de protección de datos.
En cuanto a su aplicación, se refirió a que el Reglamento está lleno de conceptos jurídicos indeterminados que van a complicar su interpretación en el corto plazo.
También puso en duda que pueda ser considerado un reglamento homogéneo para todos los países, pues en España la legislación sobre esta materia ya ha sido muy exigente pero cabe preguntarse si en el resto de países se aplicará con el mismo rigor.
Abundó en esta idea Pablo García-Mexia, que comentó que existen el Reglamento una serie de materias en las que los Estados van a contar con un cierto margen de maniobra (como el tratamiento de datos por los poderes públicos, las situaciones específicas de tratamiento o el Derecho laboral, de las que el Reglamento parece huir).
La conveniencia de la autorregulación
Ofelia Tejerina (Abogada de la Asociación de Internautas) apuntó que el nuevo Reglamento afecta a todos los entornos de actividad, no solo a los on line, pero que, a la vez, es una norma de mínimos, con numerosos aspectos todavía no concretados.
Por ello, para permitir una aplicación efectiva de su contenido, Borja Adsuara abogó en su intervención por favorecer la autorregulación y los códigos de conducta en la aplicación del Reglamento.
En primer lugar, en el ámbito de la empresa, planteando la posibilidad de acudir al arbitraje en esta materia, evitando en lo posible el recurso directo a la denuncia ante la Agencia. Incluyó en esta propuesta la posibilidad de ofrecer a una indemnización al usuario que evite la denuncia y la posterior sanción.
En un ámbito sectorial, propuso favorecer la autorregulación, de forma que al menos los principales sectores de actividad establezcan sus propios requerimientos específicos y homogéneos.
Por último, planteó esa misma autorregulación a nivel de las autoridades de control.
Oportunidad profesional para la abogacía
Si hasta ahora la protección de datos estaba ofreciendo interesantes oportunidades de desarrollo profesional para la abogacía pues, como señaló Jesús Fernández Aceveo (Code Abogados), hoy muchos interesados saben que cualquier aplicación informática, página web o app o actividad que maneje datos, requiere una política de protección de datos, el Reglamento abre nuevas vías de actividad y crecimiento profesional.
Según señaló Marcos Judel (Vicepresidente de APEP y socio de Audens), según un estudio europeo dado a conocer recientemente, la entrada en vigor del Reglamento va a requerir unos 57.000 DPA (Data Protection Officer) en el ámbito europeo.
Este puesto, según explicó Miguel Recio (socio de Global Data Protection Consulting), es relativamente nuevo en España, pero no en el ámbito anglosajón, dónde ya cuenta con algunos años de existencia.
Se trata de un puesto de carácter transversal que va a requerir de la combinación de conocimiento jurídico y tecnológico y, como señaló Carlos Sáiz (Director de Data Privacy Institute y Socio de Ecix), la capacidad de trabajar en escenarios globales.
Por ello, según destacó Carmen Pérez Andújar (Socio de Evergreen Legal y Vicesecretaria de Medios Materiales y Tecnológicos del CGAE), va a ofrecer abundantes posibilidades de trabajo para la abogacía, en tanto que profesión experta en el ámbito jurídico. Pero, a la vez, deberá cooperar intensamente con otras profesiones, particularmente las tecnológicas, que se relacionan directamente con esta materia.
Esta oportunidad profesional va a requerir de los abogados un importante esfuerzo de formación y puesta al día de las numerosas matizaciones, interpretaciones y criterios de aplicación que va a recibir el Reglamento. Como apuntó Carlos Sáiz, en el sector hay muchos profesionales de la privacidad, pero pocos DPO, por ello, queda mucho por aprender.
En cuanto a si este puesto va a requerir una certificación oficial para su ejercicio, la mayoría de expertos se mostraron contrarios a la misma, optando por una autorregulación profesional y porque sea el mercado quien sitúe a cada profesional en el lugar que le corresponda.
Probablemente cada sector requiera un diferente tipo de profesional, por lo que será este quien deba adaptarse a las necesidades de cada cliente o sector pues, como señaló Susana González (Directora de Hiberus Legal Tech), en materia de privacidad cada cliente necesita un traje a medida.
Según destacó José Luis Piñar, lo importante es que el profesional tenga credibilidad y sea útil para sus clientes, lo cual requerirá, insistió también, un muy importante esfuerzo en la formación y hará muy necesaria la coordinación entre universidad, Abogacía y asociaciones empresariales y profesionales.
Sin olvidar, además, la importancia del mercado Iberoamericano, cuya legislación en esta materia se encuentra muy influida por la legislación española, lo que abre otras importantes vías de actividad en ese continente-
Por ello, señaló Rodolfo Tesone (presidente de ENATIC), vienen momentos transcendentales para los abogados expertos en lo digital, por las nuevas oportunidades profesionales que se abren, pero también por los abundantes retos que se plantean.