13 noviembre 2013
La propuesta de Reglamento Europeo en Protección de Datos y sus implicaciones en el trabajo de los abogados
Miguel Ángel Davara Rodríguez, catedrático de Derecho Informático de la Universidad Pontificia Comillas de Madrid, socio de Davara&Davara, Asesores Jurídicos
Los abogados, de una parte por su particular forma de trabajar, en ocasiones atípica y casi siempre caótica por la premura de los plazos, las necesidades de los clientes y las angustias que llegan a transmitir con las que acabamos acostumbrándonos a vivir, y de otra parte por las características propias de determinados asuntos que exigen una especial abstracción y dedicación que comporta actitudes individualizadas o personalizadas, nos vemos obligados a tratar los datos y la información de una manera que podemos llamar peculiar; con el formalismo necesario cuando hace falta y con la informalidad propia de la necesidad de acariciar el problema, y el papel que le sustenta, buscando la musa que abra el camino a la lógica interpretación.
Pero esos datos y esa información cada vez más se encuentran en soportes informatizados que conllevan tratamientos automatizados, aunque solamente sea para su adecuación a los formalismos exigidos por el informe, dictamen, procedimiento o cualquier otro elemento que sea necesario tratar.
Podríamos decir que hoy en día deviene imposible llevar la gestión de un despacho de abogados, por pequeño que sea, incluso si es unipersonal, sin acudir a un tratamiento automático de la información utilizando la potencialidad de la informática e, incluso, de la informática más las comunicaciones y, cómo no, la red Internet junto a las denominadas redes sociales.
EL ABOGADO Y LA PROTECCIÓN DE DATOS
En el caso del abogado, el tratamiento, sea automatizado o no, de datos de carácter personal, se nos presenta desde tres ópticas diferentes, planteando de esa forma múltiples cuestiones, más o menos controvertidas, sobre la denominada “protección de datos” y el cumplimiento de su normativa centrada en la Ley Orgánica de Protección de Datos y su reglamento de desarrollo (el RD 1720/2007).
Hablamos de tres ópticas diferentes por plantear tres ámbitos distintos y de tratamiento independiente que inciden directamente en el trabajo diario; de una parte, el tratamiento de datos de la propia gestión del despacho respecto a trabajadores y colaboradores con la gestión de nóminas, Seguridad Social, etc.; de otra parte, con una visión que a su vez es doble, el tratamiento de datos de nuestros clientes, bien sea en la emisión de informes, dictámenes, redacción de documentos de cualquier tipo y forma en la realización de consultorías, presentación de escritos en el órgano administrativo o judicial que corresponda, o bien sea en el seguimiento de expedientes, minutación, etc.; y, por último, el asesoramiento al propio cliente sobre su tratamiento de datos o, dicho de otra forma, sobre el riesgo que corre con el tratamiento de datos de carácter personal en su propia actividad y, todo ello, desde la óptica del propio asesoramiento, como del de emisión de informes o, el mucho más novedoso, abierto y menos conocido, centrado en la auditoría jurídica de sus sistemas de información, redacción o corrección de documentos propios del tratamiento de los datos, leyendas de consentimiento, información, cesión o acceso a datos por cuenta de terceros y un largo etcétera.
Esto es, el abogado se encuentra con tres ámbitos de actividad que inciden sobre la protección de datos; dos de aspectos internos del despacho o de realización y control hacia el interior y un tercero externo o de proyección directa hacia el servicio a nuestros clientes que también puede comportar diferentes ópticas.
LA PROPUESTA DE REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS
La protección de datos en Europa necesita una mayor uniformidad en sus aspectos básicos de conceptos y contenidos de forma que en todos los Estados miembros de la Unión se interprete en forma similar este derecho fundamental.
A ello hay que añadir la utilización de la red Internet en dos aspectos básicos por su incidencia en la protección de datos:
– de una parte las denominadas redes sociales que alcanzan a millones de usuarios en el mundo, siendo de múltiples y distantes países e incluso realidades, tecnológica y jurídicamente hablando, y, de otra parte,
– el cloud computing que basa su desarrollo, imparable e irreversible, en programas y servicios y, consecuentemente, se tratan los datos de carácter personal de personas identificadas o identificables por su nombre y apellidos o no identificadas o identificables sino relacionadas y localizadas, de acuerdo con perfiles en red sin necesidad de conocer su identificación personal.
Es por todo ello que, el 25 de enero de 2012, la Comisión Europa publicó una propuesta de Reglamento del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos.
La aplicabilidad directa de un Reglamento de conformidad con el artículo 288 del Tratado de Funcionamiento de la Unión Europea (TFUE), reducirá la fragmentación jurídica y ofrecerá una mayor seguridad jurídica merced a la introducción de un conjunto armonizado de normas básicas.
Bajo ésta óptica, la Comisión Europea plantea como objetivo reforzar el derecho de las personas a la protección de datos de carácter personal, saliendo al paso del cambio tecnológico y dando a las personas más instrumentos para el control sobre su información y, para ello, señala como necesario:
– Modificar el concepto de datos de carácter personal adecuándolo a las repercusiones que sobre el mismo tienen las nuevas tecnologías.
– Aumentar la transparencia para los interesados, señalando que las disposiciones aplicables relativas a la información que debe comunicarse al interesado son insuficientes.
– Reforzar el control sobre sus propios datos destacando el denominado principio de minimización de los datos y garantizando con mayor seguridad el ejercicio de los denominados derechos arco
– Sensibilización mediante la creación de una cultura general en protección de datos
– Garantizar un consentimiento informado y libre, estudiando e impulsando los medios de clarificar y reforzar las normas en materia de consentimiento.
– Proteger los datos sensibles, redefiniendo el concepto y ampliando el listado que actualmente lo configuran (vídeos que muestran indirectamente convicciones y opiniones, así como datos genéticos),
– y, por último, reforzar la eficacia de las vías de recursos y las sanciones.
CARACTERÍSTICAS A DESTACAR DE LA PROPUESTA DE REGLAMENTO
Múltiples son las cuestiones que contiene la propuesta de Reglamento que obligarán al abogado a modificar su forma de actuar en el ámbito de la protección de datos.
De entre ellas señalaremos algunos conceptos que presentan novedades como el propio de dato de carácter personal que parte de una nueva definición del interesado como persona física identificada o que pueda ser identificada, directa o indirectamente, en particular mediante un número de identificación, datos de localización, identificador en línea o uno o varios elementos específicos de identidad física, fisiológica, genética, psíquica, económica, cultural o social. Es así que el concepto de dato de carácter personal asociado a la identificación de una persona física en todas las normas del espacio europeo, se ve amenazado ante la necesidad de proteger a la persona más allá de conceptos identificativos y de acuerdo con la situación que un usuario, identificado, identificable o, sencillamente, sin identificar por sus rasgos personales, protagoniza en Internet o en una red social.
Siguiendo la presentación que hace la propia propuesta de Reglamento, destacamos que para determinar si se puede considerar que una actividad de tratamiento “controla la conducta” de los interesados, debe evaluarse si las personas físicas son objeto de un seguimiento en Internet con técnicas de tratamiento de datos que consistan en la aplicación de “un perfil” a un individuo con el fin, en particular, de adoptar decisiones sobre él o de analizar o predecir sus preferencias personales, comportamientos y actitudes.
Respecto al consentimiento se señala que se debe otorgar de forma explícita… el silencio o la inacción no deben constituir consentimiento. Por explícito, entiende la RAE, “Que expresa clara y determinadamente una cosa”. Esto no quiere decir que se esté suprimiendo el consentimiento tácito ya que en forma tácita también se puede expresar clara y determinantemente algo. No obstante, el adjetivo explícito otorga un límite mayor de seguridad al consentimiento que es introducido en la protección de datos. De otra parte, se señala que el consentimiento no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal cuando exista un desequilibrio claro entre el interesado y el responsable del tratamiento (p.e., cuando los datos personales de los trabajadores son tratados por el empresario en el contexto laboral).
Se introduce la discutida figura del Derecho al olvido, derecho que es particularmente pertinente si los interesados hubieran dado su consentimiento siendo niños y más tarde quisieran suprimir tales datos personales especialmente en Internet, y que definimos como aquél derecho que tiene el titular de un dato a que sea borrado o bloqueado, cuando se produzcan determinadas circunstancias, y, en particular, que no sea accesible a través de la red Internet.
Se resalta que toda persona física debe tener derecho a no ser objeto de medidas que se basen en la elaboración de perfiles por medio de tratamiento automatizado.
Gran importancia van a tener también las denominadas Protección desde el diseño (PdD) y Protección por defecto (PxD). destacando que hay que adoptar medidas de carácter técnico y organizativo tanto en el momento del diseño del tratamiento como del tratamiento propiamente dicho, con el fin de que se cumpla lo dispuesto en el propio reglamento.
Como novedad, a nuestro entender de compleja implantación debido a las dificultades que puede conllevar en el trabajo diario, se exige que el responsable o el encargado del tratamiento deben documentar cada operación de tratamiento. Consideramos muy importante esta cuestión de la documentación que creemos actúa en beneficio del interesado y como garantía del cumplimiento de la normativa sobre protección de datos.
Nuevo concepto también es el de la violación de los datos que entiende la propuesta de Reglamento europeo como “toda violación de la seguridad que ocasione la destrucción accidental o ilícita, la pérdida, alteración, comunicación no autorizada o el acceso a datos personales transmitidos, conservados o tratados de otra forma”, añadiendo que tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de los datos, debe notificarla a la autoridad de control, a ser posible en 24 horas.
Terminaremos esta aproximación, destacando la nueva figura del Delegado de protección de datos (interno o externo pero siempre independiente), como persona que ayude al responsable o encargado del tratamiento a supervisar la observancia interna del propio Reglamento. Y esto lo presenta el Reglamento como obligatorio cuando el tratamiento se efectúa en el Sector Público y en el sector privado cuando se cumplen unos requisitos que, fundamentalmente, se refieren al tamaño de la entidad.
Por último se señala que las sanciones deben ser efectivas, proporcionadas y disuasorias, indicando la propuesta de Reglamento que se puede llegar a sancionar con un millón de euros o, si se trata de una empresa, hasta el 2% de su volumen de negocios anual a nivel mundial.
A MODO DE CONCLUSIÓN
No hemos pretendido más que hacer una pequeña aproximación a los cambios normativos que se avecinan en protección de datos y sus implicaciones en el trabajo de los abogados tanto hacia el interior, en su propio despacho, como hacia el exterior, en sus relaciones con terceros.
Como pequeña aproximación que ha sido, debe ser considerada solamente como llamada de atención a un estudio más profundo que deberá abarcar, cuando la propuesta de Reglamento se convierta en realidad normativa, otros aspectos desde una óptica práctica que nos obligará a considerar la adaptación de nuestros procedimientos en el tratamiento de la información acorde con las nuevas realidades que vienen de la mano de Internet, las redes sociales, el cloud computing, la red de objetos y, en definitiva, el imparable e irreversible desarrollo tecnológico.