A PROPOSITO DE LAS CONSECUENCIAS JURIDICAS Y ECONOMICAS DERIVADAS DE LA NUEVA NORMATIVA DE PRIVACIDAD EUROPEA

JAVIER PUYOL MONTERO
Magistrado excedente
Consultor TIC`s

a). Introducción: algunas consideraciones jurídicas derivadas del Reglamento (UE) 2016/679.
Es evidente que el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (GDPR), que entró es de aplicación efectiva desde el día 25 de mayo de 2018, y por el que se ha procedido a la derogación de la Directiva 95/46/CE del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, ha supuesto el inicio de una nueva etapa en la regulación y el alcance de la protección de los datos personales, no solamente en el ámbito comunitario sino también, en lo que respecta a España, tras la promulgación de la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales, y de garantía de los derechos digitales.
Sin embargo, como primera cuestión a considerar, debe tenerse muy presente, que la promulgación de la nueva normativa es principalmente continuista con la anterior, ya que una y otra se encuentran fundamentadas en los mismos criterios y principios, siendo las novedades que se incorporan más de tipo estructural, en cuanto se producen unos nuevos planteamientos basados en el riego, y en la proactividad, que a lo largo de este análisis tendremos oportunidad de revisar.
Dicho carácter continuista lo es fundamentalmente en los principios que informan una y otra normativa, y parte, como no puede ser de otra manera del respeto a los derechos y libertades de los ciudadanos que se encuentren dentro del ámbito de la Unión Europea, cualesquiera que sea su nacionalidad, o su lugar de residencia, ya que unos de los principales propósitos de esta nueva regulación se proyecta sobre el principio de igualdad que de deben existir entre todos los ciudadanos, garantizando adecuadamente el respeto a la misma especialmente a lo que atañe a derechos fundamentales, entre los que cabe reconocer los que se citan seguidamente: (i) el derecho al respeto de la vida privada y familiar; (ii) el derecho a la inviolabilidad del domicilio y de las comunicaciones; (iii) la protección de los datos de carácter personal; (iv) el derecho a la libertad de pensamiento; (v) los derechos a la libertad de conciencia y de religión; (vi) los derechos a la libertad de expresión y de información; (vii) el derecho a la libertad de empresa y al ejercicio de la actividad económica; (viii) los derechos a la tutela judicial efectiva en todas sus vertientes y el derecho a un juicio justo; y, (ix) los derechos a la diversidad cultural, religiosa y lingüística .
Es evidente, que el desarrollo de la tecnología ha marcado profundamente la necesidad de revisar y actualizar en toda su extensión dicho régimen jurídico. La situación tecnológica existente en 1995, fecha de la aprobación de la Directiva 95/46, nada o muy poco tiene que ver con el desarrollo de la técnica existente en el momento presente, y en el que en un futuro inmediato nos vamos a encontrar. A esta situación debe añadirse, tal como se hará reiterada referencia en este análisis, a la proliferación de ingentes medios de generación de datos, y especialmente a los de carácter personal, debiendo disponer de una legislación moderna que sepa dar el tratamiento jurídico adecuado a esta nueva situación ante la que nos encontramos.
Probablemente el punto de inflexión en este proceso se encuentra entre los años 2010 y 2011 con el advenimiento del Cloud Computing, y de las consecuencias que de ello se han derivado para la proliferación en su conjunto de la movilidad, y como ejemplo de ello, de los múltiples dispositivos de carácter móvil con las más variadas funciones de que disponemos de una manera sencilla y accesible.
A ello, debe serle adicionados, sin lugar a duda, cuestiones como el desarrollo operado en los últimos años de internet, o de las redes sociales, que tan poderosamente han contribuido y lo siguen haciendo, para la globalización en el uso de la tecnología, y que tanta incidencia están produciendo en los conceptos que afectan a los datos personales, y a la propia protección de la privacidad en sí.
En línea con lo anteriormente expuesto, una reflexión importante hace referencia a la situación a tener en consideración con relación a la actividad que se desarrolla en un minuto en Internet, y que hace referencia, por ejemplo, a cientos de miles de datos transferidos en el mundo; el número de mails enviados, las ventas producidas por medio de cualquier operación de e-commerce; las búsquedas llevadas a cabo en cualquier operador de internet (v.gr.: Google, Yahoo, etc.), los tweets enviados, los perfiles analizados en Facebook, y las horas de música, imágenes, y videos subidos y descargados de la red.
Todos estos ejemplos, entre otros muchos, denotan la proliferación de los medios que se van produciendo, y que a la postre son generadores de múltiples e infinitos datos de carácter personal, cuya regulación se hace del todo precisa, en aras de la defensa de los derechos y libertades fundamentales de los ciudadanos, entre las que, obviamente, se encuentra la protección de los datos de carácter personal.
Con la mente puesta en la defensa en dichos derechos fundamentales, y al mismo tiempo, con la finalidad de propiciar el desarrollo económico, se alza esta nueva etapa normativa de la privacidad, y entre ellas, principalmente, las consecuencias de carácter jurídico que se derivan de esta nueva normativa.
No debe pasarse por alto, que la protección de datos de carácter personal no solo abarca la estricta protección de los datos personales, como porción de la intimidad y la personalidad de su titular, sino también la entrega que este efectúa al responsable del tratamiento, sino que, además, también debemos prestar una especial atención al derecho a la libre circulación de los datos personales, como un derecho cuya protección merece una especial singularidad .
Este proceso de protección, que en el momento presente se encuentra sólidamente configurado, responde a pautas históricas, donde dichas circunstancias presentaban serios problemas en su aplicación. Así, la citada Directiva 95/46, no dejaba de responder a la tipología propia de la categoría de la norma que representaba, lo que venía a exigir, como una circunstancia muy característica de la misma, y que se sigue estableciendo como tal en la actualidad, la necesidad de proceder a su trasposición en el derecho interno de cada uno de los países que integraban la Unión Europea. Ello, observado ya desde una perspectiva puramente histórica, determinó que dichos derechos fundamentales – el de protección de datos de carácter personal, y el de la libre circulación de los datos -, se vieran supeditados a las influencias de la normativa nacional que, en cada caso, se consideraba que se aplicaba a las normas contenidas en la indicada norma Comunitaria.
Esta situación devino en importantes diferencias regulatorias entre los Estados que componían la Unión Europea, y tal vez, lo que es más importante, que esas diferencias normativas constituyeran una más que evidente traba para la libre circulación de los datos personales entre los diferentes países, con las consecuencias que de ello se derivan para la realización de todo tipo de actividades de naturaleza económica, y, al mismo tiempo, que la tutela y la seguridad jurídica proyectada sobre la protección de datos de carácter personal supusiera la creación de evidentes diferencias de seguridad jurídica entre los ciudadanos europeos.
A título de ejemplo de esta situación, se pueden citar los regímenes sancionadores del Reino Unido o de Grecia, mucho más tolerantes y permisivos, que el existente en España, y que determinaba que un mismo hecho estuviera menos penalizado en un Estado frente a otro, aunque los hechos fueran ciertamente similares. Asimismo, en España, debe ser citado el modelo de obtención del consentimiento, conceptuado como “consentimiento tácito”, y que se basaba en el propio silencio del ciudadano o del titular de los datos, donde básicamente si no mostraba su oposición al tratamiento de sus datos personales, implicaba su aquiescencia para que el responsable del tratamiento pudiera proceder, precisamente, al tratamiento de estos. Esta figura tenía su origen en una deficiente traducción de la Directiva 95/46/CE, provocando una particularidad regulatoria excepcional y de carácter anómalo.
Este conjunto de circunstancias que afectaron al normal desenvolvimiento de aquella normativa europea se trató de solventar por parte, primero, de la Comisión Europea, y finalmente por el propio Parlamento de la Unión, mediante una normativa coherente que pudiera ser aplicable simultáneamente a todos los países y ciudadanos de la Unión, con independencia de su lugar de residencia o establecimiento.
Por ello, la tipología de la norma escogida fue la de un Reglamento y no la Directiva, toda vez que aquel es de aplicación directa, sin necesidad, de desarrollo o trasposición, mientras que la Directiva, siempre exige la trasposición al derecho interno o local de los Estados, que se ven afectados por su contenido, y que por sus propias características, en la mayoría de los supuestos contemplados en el ámbito de la norma, no necesita de normas adicionales de aplicación, o en su caso de desarrollo, si bien si parece preciso concretar aquellos extremos en los que la norma permite una cierta discrecionalidad sobre la base del derecho nacional o interno.
Esta misión unificadora del panorama jurídico en el ámbito de la protección de datos de carácter personal, finalmente, sólo ha podido ser cumplida por el Reglamento (UE) 2016/679, más que en una parte (aproximadamente entre un 60/70%), ya que en muchos casos, dadas las implicaciones que tiene la normativa sobre protección sobre buena parte del ordenamiento jurídico, se ha tenido que dejar un importante margen de maniobra a la legislación local de los Estados, siendo muy numerosas las remisiones que se han tenido que establecer con relación a dicha normativa nacional.
Fruto de ello, ha sido la necesidad de promulgar en España, la Ley Orgánica 3/2018, de 5 de diciembre, que adapta el contenido del Reglamento (UE) 2016/679, a la normativa interna de España, fijando, por ejemplo, la edad puede prestar libremente el consentimiento para el tratamiento de sus datos personales, en los 14 años, dentro del margen establecido en el citado Reglamento (UE), que posibilitaba dicha determinación entre los 13 y los 16 años, aprovechándose dicha oportunidad, para concretar el régimen jurídico aplicable en aquellos supuestos, en los que el menor de edad, con independencia de que fuera mayor de 14 años, y que pudiera prestar un consentimiento válido en lo que concierne a sus datos personales, necesitaba adicionalmente un complemento de su capacidad de obrar, para que los negocios jurídicos en los que interviniera contaran con la eficacia jurídica complementaria, completamente necesario de acuerdo con la normativa interna.
Un aspecto jurídico muy relevante en el contexto del nuevo Reglamento (UE) 2016/679, es el que se refiere al empoderamiento o devolución del poder de disposición sobre sus propios datos personales al ciudadano. En este sentido, debe indicarse que han sido varios los objetivos pretendidos por el legislador comunitario, y que son los siguientes:
a). El primero de ello, refuerza la idea de devolver al ciudadano, o titular de los datos, su capacidad para disponer libremente de sus datos personales, como muestra de su personalidad e intimidad. El titular de los datos, por tanto, debe gobernar libremente la disposición sobre sus datos.
b). Al hilo de ello, y como segundo planteamiento al respecto, se ha querido que sea, precisamente, el propio ciudadano quien tenga la capacidad de decidir en cada momento, quien o quienes han de tratar sus datos personales, y para ello, dicha decisión debe rodearse de unas garantías y libertades, que propicien la decisión del ciudadano.
En este sentido, debe hacerse una especialmente mención al principio de transparencia, en el sentido de que el ciudadano que ha de prestar su consentimiento para que alguien trate sus datos personales, debe estar en posesión de un conocimiento suficiente de las menciones requeridas por la normativa vigente con relación a la transparencia de la información y comunicación .
La transparencia en su proyección frente al ciudadano representa la generación de confianza en el mismo, y se materializa en la expresión del consentimiento que el mismo lleva a cabo en favor del responsable del tratamiento. Ello constituye el origen del llamado “consentimiento informado” sobre la base de la información transparente y adecuada proporcionada por el responsable del tratamiento al titular de los datos personales.
Consecuentemente con ello, el responsable del tratamiento debe, no sólo cumplir con las exigencias del artículo 13 del Reglamento 679/2016, sino que además debe respetar aquellas de naturaleza ética, por las que debe informar al titular de los datos de todas aquellas cuestiones que afecten o que puedan afectar al mismo y que se deriven de su consentimiento o del tratamiento pretendido, a los efectos de que pueda decidir con el mayor juicio o criterio posible, acerca de si presta su consentimiento para el tratamiento de sus datos personales o no.
En este punto, es especialmente relevante el hecho de que se utilice en aras de esta necesaria información un lenguaje sencillo y accesible para el titular de los datos, de modo que pueda comprender completamente el alcance de las informaciones que se le están proporcionando. Ahora bien, la utilización de un lenguaje sencillo y accesible para el ciudadano no determina necesariamente que el mismo se encuentre privado del rigor necesario, o que el mismo tenga que ser chabacano. Las formas son en este caso importantes, y no están reñidas con la expresión de las circunstancias con la precisión debida. Tampoco se debe olvidar que el contenido de esta información que se proporciona va a regir, en definitiva, las relaciones entre el responsable del tratamiento y el titular de los datos personales, y en el supuesto de que surja algún tipo de conflicto jurídico o controversia, la información proporciona va a ser determinante para la resolución de dicha disputa.
Al hilo de ello, no debe pasarse por alto algunas cuestiones de naturaleza ética, que cobran importancia a la luz del nuevo Reglamento Comunitario. El uso de palabras ambiguas, de finalidades no concretadas de manera correcta, la ocultación deliberada de finalidades o entremezcladas con otras, las cesiones no declaradas, entre otras muchas cuestiones, no sólo contradicen la Ley, sino que definen el actuar no ético del responsable del tratamiento, que contradicen los principios de cumplimiento normativo que deben ser observados necesariamente por dicho operador jurídico.
Todo ello conduce a un cumplimiento legal y ético de la normativa vigente en materia de privacidad, pero al mismo tiempo, realza el pretendido empoderamiento y la capacidad de decisión del titular de los datos, que se manifiesta en la capacidad que ahora abiertamente se le reconoce en el sentido de que por dicho titular se tiene el derecho a controlar el uso, el destino y el alcance que están teniendo los tratamientos de datos, cuando en los mismos se empleen sus datos personales.
Esta nueva proyección de facultades que se lleva a cabo en favor de los ciudadanos, trata de corregir la dinámica en la que se había incurrido en la anterior normativa, donde los pronunciamientos que se habían llevado a cabo, si bien formalmente protegían al titular de los datos, la práctica había determinado la existencia de manifiestas irregularidades, donde en muchos casos se comprometía la intimidad, o la propia seguridad del titular de los datos personales, sobre la base de la ausencia de unos controles efectivos de los datos utilizados en los ficheros y tratamiento, pese al carácter imperativo de la normativa, y la importancia de las sanciones administrativas que se habían incorporado. Con la necesidad de potenciar estas nuevas facultades que se otorgan a los ciudadanos, se han incrementado en sobremanera la posibilidad del establecimiento de sanciones, llegando en el momento presente a la cuantía de 20 millones de euros, o al 4% de la facturación económica global del año inmediatamente anterior, y dentro de ambas cuantías, aquella que sea la mayor .
Por todo ello, se puede afirmar que se ha pasado de una situación normativa de carácter imperativo, donde todos los pasos a seguir en el tratamiento de los datos de carácter personal se encontraba debidamente pautado con carácter imperativo, a otro escenario, donde el legislador se ha limitado a establecer principios y criterios , que tanto el responsable como el encargado de tratamiento deben respetar, pero a partir de ese momento, todos los pasos que se den, deben encontrarse establecidos por dichos operadores jurídicos.
En este punto, se debe poner de manifiesto la preeminencia que el legislador comunitario ha otorgado al “principio de auto organización” del responsable del tratamiento. El establecimiento de manera exclusiva de principios y criterios de funcionamiento determina, que sea el responsable el que deba construir -más allá de aquellos criterios o principios programáticos- a su libre facultad de decisión todos los elementos que compongan el tratamiento de datos personales, con los límites, precisamente, de dichos criterios, y al mismo tiempo, sobre la base del respeto a los derechos y libertades de las personas, las cuales han depositado su confianza en dicho responsable de tratamiento mediante la prestación de su consentimiento.
Se potencia, en su consecuencia, la libertad de decisión, pero se aumenta muy considerablemente la responsabilidad por las decisiones que finalmente sean adoptadas por los mismos, y por ello, se produce, pues, en términos coloquiales un trueque entre libertad y responsabilidad, a mayor libertad de decisión, se puede incurrir, tal como sucede en el presente caso, en una mayor responsabilidad, que deben asumir dichos operadores.
No obstante, ello, debe considerarse como errónea la perspectiva que asemeja la normativa sobre protección de datos personales, como una reglamentación exclusivamente de carácter represiva o sancionadora, pues la misma representa una fuente de actividad económica, -como más adelante se hará especial mención-, la cual debe potenciarse por el hecho de que las empresas asuman el papel digital al que están llamadas, y ello suponga el emprendimientos de unas nuevas actividades de índole económica, mediante el uso de nuevas técnicas y datos, y lo que es más importante, el reconocimiento de los mismos, como un factor de monetización cada vez más evidente y trascendente en el desarrollo de las actividades de naturaleza empresarial, entre los que se encuentra el uso entre otras, de la técnica big data, el blockchain, o el internet de las cosas o de los cuerpos, los cuales van a jugar un papel cada vez más principal en todo tipo de prácticas económicas, sociales, y culturales, exigiendo cada vez que dichas nuevas prácticas tengan un contenido jurídico o incluso de carácter ético adecuado.
Finalmente, dentro de este somero panorama que trata de enunciar algunas de las consecuencias jurídicas derivadas del nuevo régimen comunitario en el ámbito de la protección de datos de carácter personal, debe traerse a colación la posibilidad de la aplicación, por primera vez, de fórmulas de resolución alternativas de conflictos, potenciando una menor intervención de las autoridades de control en este ámbito, y, por el contrario, una mayor de la iniciativa privada ante tales situaciones.
Debe indicarse que estas fórmulas de resolución alternativa de conflictos buscan una resolución privada de las incidencias que puedan derivarse de la aplicación de la normativa sobre protección de datos, y ello con independencia del nivel de gravedad de la presunta infracción cometida por el responsable o el encargado de tratamiento, es decir, las infracciones que se hayan producido pueden ser leves, graves o incluso muy graves, optándose si ello es viable por el hecho de solventar dicha disputa directamente entre el reclamante y el responsable del tratamiento, y consecuentemente con ello tratar de obtener un acuerdo mutuamente satisfactorio. Ante dicho acuerdo, la autoridad de control se limitará, en su caso, a aprobar el mismo, y proceder al archivo del expediente, sin que del mismo se deriven otras consecuencias.
Dentro de las posibilidades de la aplicación de estas técnicas de resolución alternativa de conflictos, la más adecuada en el ámbito de la protección de datos parece que es la llamada “negociación”, por su sencillez, y porque el responsable del tratamiento puede llevar a cabo el desarrollo de la misma de manera directa, sin necesidad de invertir recursos de manera adicional, cosa que no sucede, si se utiliza bien la “mediación” como el arbitraje, donde siempre en dichos procesos, la resolución del conflicto jurídico pasa necesariamente por la intervención de un tercero, en este caso, el árbitro o el mediador, en función de la formula que se utilice a tal efecto, perdiendo peso específico en dicho proceso el propio responsable del tratamiento.
b). La protección de Datos y la “accountability” como principio rector de la nueva protección de datos
El principio de la “Accountability” tiene su origen moderno, en los escándalos financieros producidos en la última década del Siglo XX, en los Estados Unidos, e implica la necesidad de proceder a rendir cuentas desde el punto de vista financiero y auditor.
Este sentido, ha sido asumido en materia de protección de datos de carácter personal, con la finalidad de que los operadores jurídicos en general que operan en el ámbito de la privacidad tienen que poder acreditar y justificar las decisiones que han tomado, y el alcance de los tratamientos de los datos de carácter personal llevados a cabo.
Por otra parte, debe tenerse en consideración que este principio, en su primera versión, ya fue reconocido en los años 80 por la OCDE en los primeros planteamientos que se hicieron en materia de protección de datos de carácter personal, cuya materialización quedó plasmada en los primeros Códigos de Conducta o Guías de Protección de la Privacidad y Flujos Transfronterizos de datos personales y, ya de manera más cercana, fue en el año 2010, como consecuencia de los pronunciamientos llevados a cabo por el Grupo de Trabajo del artículo 29 de la Directiva 95/46, hoy Consejo Europeo de Protección de Datos, cuando se elaboró la Opinión número 3/2010, la cual versaba específicamente sobre el principio de la “Accountability”.
En este documento del Grupo de Trabajo del Artículo 29 ha representado, básicamente, la realización de una propuesta a los efectos de concretar e interpretar dicho concepto, y cuyo principal cometido no es otro que aquel que pretende que los responsables del tratamiento pongan en marcha los procedimientos adecuados, así como las medidas que consideren eficaces para poder garantizar el cumplimiento de los principios y obligaciones establecidos en el Reglamento (UE) 2016/679, y en su normativa de desarrollo, con la intención de poder demostrar, ante las autoridades de control en el ámbito de la privacidad el cumplimiento de la normativa vigente, y el sentido de las decisiones adoptadas en cada momento en dicho ámbito de actuación, y que todas ellas se encaminan de manera indefectible y son las más favorables para garantizar los derechos y las libertades que afectan a los titulares de los datos personales.
Debe tenerse en cuenta, que estas recomendaciones establecidas por el Grupo de Trabajo del artículo 29 fueron llevadas en un primer momento a la práctica por la Autoridad de Control Francesa el llamado “CNIL”, la cual en el mes de enero de 2015, procedió a aprobar una norma específicamente de cumplimiento en materia de protección de datos. Así, se puede afirmar que dicha norma estableció las reglas y las mejores prácticas que es procedente que sean implantadas y desarrolladas por cualquier organización que trate datos de carácter personal a los fines de poder garantizar de forma efectiva una gestión respetuosa con los principios de protección de datos de datos, entre los que se encontraban cuestiones tales como: (i) la existencia de políticas de privacidad internas y externas; (ii) el nombramiento de un responsable de protección de datos; (iii) la gestión de las incidencias y siniestros, entre otras cuestiones.
Consecuentemente con todo ello, con relación a este principio de la “Accountability” se deber tener en cuenta que, aunque no es esencialmente algo novedoso en el ámbito de la protección de datos, pues ya se encontraba incorporado a la la Directiva 95/46/CE, constituye un claro corolario de lo pretendido ahora por el legislador comunitario.
Si partimos de una regulación basada en principios y criterios rectores de la actividad de los operadores jurídicos en el ámbito de la privacidad, es evidente, que el precio de la libertad que ahora se concede para la realización de los tratamientos de datos personales tiene su contrapartida en la toma de decisiones de manera correcta, y al mismo tiempo, en la justificación y la acreditación de las decisiones que se adopten por parte de todo responsable de tratamiento, constituyendo, por tanto, una obligación ineludible y de obligado cumplimiento para el mismo .
c). La evaluación del riesgo y la adopción de las medidas de responsabilidad proactiva
Los pilares sobre los que se encuentra construido el nuevo Reglamento (UE) 2016/679, son básicamente el que se corresponde con la necesidad de aplicación del principio de responsabilidad proactiva y el enfoque del riesgo.
c.1) El análisis del riesgo
Debe partirse del hecho de que es el propio Reglamento (UE) 2016/679 el que condiciona la adopción de las medidas de responsabilidad activa por parte del responsable del tratamiento, al propio riesgo que los tratamientos pueden conllevar para los derechos y libertades de los titulares de los datos personales. Para ello, en algunos casos muy determinados se prevé expresamente la adopción de medidas que deben ser aplicadas de manera necesaria, cuando el tratamiento represente un alto riesgo para los derechos y las libertades de las personas afectadas por el mismo (v.gr. las evaluaciones de impacto, a las que más adelante se hará referencia). En otros supuestos, se prevé expresamente la necesidad de modular la existencia de ese riesgo, mediante la aplicación de una serie de medidas o decisiones, las cuales se encuentran condicionadas, precisamente, en función del nivel y del tipo de riesgo que el tratamiento da datos personales represente (v.gr. (i) las medidas de protección de datos desde el diseño, o, (ii) mediante el establecimiento de las medidas de seguridad técnicas u organizativas que se consideren adecuadas).
Este principio exige que cada responsable de tratamiento lleve a cabo un análisis de los riesgos a los cuales están afectos los tratamientos que lleven a cabo en función de la tipología de los datos que trata, la/s finalidad/es por la que se llevan a cabo dichos tratamientos de datos, y las operaciones que básicamente componen los tratamientos que se realizan y todo ello, orientado a:
a). A garantizar los derechos y las libertades de las personas se encuentren afectadas por el tratamiento de sus datos personales.
b). Y a poder acreditar y justificar las decisiones que se han adoptado con relación a los datos de carácter personal objeto de tratamiento.
El tipo de análisis que debe realizar el responsable del tratamiento, está sujeto a la ponderación de determinadas variables que necesariamente se han de tener en consideración, y que son entre otras las que se citan seguidamente: (i) los tipos de tratamiento que se pretendan realizar; (ii) la naturaleza de los datos que se empleen a tales efectos; (iii) el número de interesados o de titulares afectados; (iv) la cantidad y variedad de tratamientos que un mismo responsable pretenda realizar.
En todo caso, el análisis de riesgos que lleve a cabo cada responsable de tratamiento debe adecuarse a las propias características de su empresa y/o de su actividad económica de cara al cumplimiento de la normativa vigente en materia de privacidad.
c.2.) La aplicación del principio de responsabilidad proactiva
El fundamento de este principio se basa principalmente en la necesidad de que el responsable del tratamiento aplique aquellas medidas de carácter técnico y/o organizativa adecuadas con la finalidad primordial de poder garantizar de manera eficaz la seguridad de los tratamientos, y, al mismo tiempo poder demostrar efectivamente que el tratamiento es conforme con la nueva reglamentación existente en el ámbito de la privacidad.
Es evidente que este principio de responsabilidad proactiva ineludiblemente conlleva un compromiso personal del responsable del tratamiento, que se materializa en términos de “diligencia”, “conciencia” y voluntad del cumplimiento de la normativa vigente y de respeto a los derechos y libertades de los ciudadanos que han confiado en dicho responsable prestándole su consentimiento para el tratamiento de sus datos personales.
Este principio de responsabilidad proactiva, viene refrendado por una serie de medidas concretas y determinadas en el propio Reglamento (UE) 2016/679, y que se concreta en la adopción por parte del responsable de las siguientes medidas, siempre que procedan de acuerdo con las características de su organización:
a). La adopción del llamado “registro de tratamiento”, por lo que conforme al artículo 30 del citado Reglamento (UE) 2016/679, los responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD y que contenga cuestiones como: (i) Nombre y datos de contacto del responsable o corresponsable y del delegado de protección de datos si existiese; (ii) finalidades del tratamiento; (iii) la descripción de categorías de interesados y categorías de datos personales tratados; (iv) las transferencias internacionales de datos; (v), etc.
b). La protección de datos desde el diseño y por defecto. Este principio implica que, por parte del responsable del tratamiento, se tenga que tener necesariamente en cuenta los principios que inspiran la protección de datos de carácter personal, antes del comienzo del tratamiento, o incluso, una vez iniciado el mismo, en la elaboración y diseño de cualquier producto o servicio, que implique o lleve consigo un tratamiento de datos personales.
c). Las medidas de seguridad, en los términos en los que han sido ya expuestas a lo largo del presente análisis.
d). Las notificaciones de violaciones de seguridad o fuga de información o de datos. El Reglamento (UE) 2016/679 define las violaciones de seguridad de los datos de carácter personal, de una forma muy amplia, que incluye a toda clase de hecho o incidente que ocasione o de lugar a la posible destrucción, a la pérdida o a la alteración accidental o ilícita de los datos personales transmitidos, conservados o tratados de otra forma, o a la comunicación o al acceso no autorizados a dichos datos personales. Así, en el supuesto de que se produzca una violación de la seguridad de los datos, el responsable del tratamiento viene en la obligación de ponerla en conocimiento de la autoridad de control correspondiente. No obstante, dicha obligación no existe si el hecho acontecido, por sus propias características sea razonablemente improbable que suponga un riesgo para los derechos y libertades de los titulares de los datos personales que hayan resultado afectados. En caso contrario, debe valorarse la posible obligación que tiene el responsable de poner en conocimiento de dichos afectados, la fuga de información producida, a los efectos de que puedan adoptar aquellas medidas que sean necesaria para su auto protección.
e). La realización de una evaluación de impacto. Esta medida proactiva implica que los responsables de tratamiento deben realizar una Evaluación de Impacto sobre la protección de datos (EIPD) con carácter previo a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados. La Evaluación de Impacto, se complementa con la posibilidad de efectuar una consulta a la autoridad de control competente, a los efectos de poder evaluar adecuadamente las circunstancias y consecuencias que se pueden deparar de la puesta en marcha de cualquier tratamiento de datos personales.
f). El nombramiento de un delegado de protección de datos, que constituye el asesor del responsable o encargado del tratamiento en todo aquello relativo a la normativa sobre protección de datos. Debe tenerse presente, que la responsabilidad derivada de los tratamientos no se transfiere por parte del responsable o encargado de tratamiento al delegado de protección de datos, sino que dicha responsabilidad permanece en aquellos operadores de datos.
b). Algunas consideraciones económicas derivadas del Reglamento 2016/679.
Si la nueva reglamentación en materia de protección de datos de carácter personal tiene una perspectiva jurídica muy bien definida, encaminada precisamente a la protección de este derecho fundamental, no es desde luego menos desdeñable la proyección económica que detenta esta nueva normativa.
En primer término, es importante tener en cuenta que difícilmente se hace llevadera la protección jurídica de las personas físicas por medio de esta normativa, si no se proporciona seguridad jurídica, igualdad y transparencia a los operadores jurídicos que tienen su marco de actuación en el ámbito de la Unión Europea.
El potencial económico derivado de la protección de datos exige establecer con el carácter de mínimos, una serie de cuestiones que son determinantes para el buen funcionamiento del sistema, y que son las que se enuncian a continuación:
a). Los derechos y las obligaciones de los ciudadanos de la Unión Europea deben ser semejantes en todos los territorios de la Unión. Ello constituye uno de los pilares básicos en los que se asienta el nuevo Reglamento Comunitario que apuesta por la paridad en este ámbito de actuación.
No obstante, ello, no es suficiente la existencia de los mismos derechos y obligaciones desde una perspectiva puramente formal, sino que se aboga por que el ejercicio y el cumplimiento de estos tenga un carácter material, ya que tal como se indica en la normativa vigente, la igual en derechos y obligaciones, tiene que llevarse a cabo sobre aquellas que sean efectivamente exigibles.
b) Este plano de igualdad sobre los derechos y obligaciones debe ser proyectado también sobre los responsables y los encargados de tratamiento. Ello también abarca las responsabilidades a las que están sujetos en su actuación dichos operadores jurídicos, y todo ello tiene como finalidad principal el hecho de poder garantizar una supervisión coherente del tratamiento de datos personales y sanciones equivalentes en todos los Estados miembros, de modo que no se reproduzca la situación creada por la Directiva 95/46/CE en los términos a los anteriormente se ha hecho alusión.
c). Este panorama regulatorio, con impacto en la actividad económica se completa con la necesidad de que exista una cooperación real y efectiva entre las autoridades de control en el ámbito de la protección de datos de carácter personal, de modo y manera que dicha supervisión sea coherente con los principios establecidos, y al mismo tiempo represente un impulso para el crecimiento de aquella parte de la economía en la que los datos de carácter personal puedan suponer un motor de crecimiento.
Tanto la Comisión Europea primero, como después el Parlamento, han sido plenamente conscientes de la importancia que tiene el mundo de la pequeña y mediana empresa, y especialmente las micro pymes en el correcto funcionamiento y aplicación de la normativa sobre privacidad. Consecuentemente con ello, no debe pasarse por alto, que el tejido empresarial europeo, y muy especialmente el español, está compuesto principalmente por Pymes - hasta un 95% del mismo-, por lo que debe prestarse una especial atención a la vinculación de esta nueva normativa en relación con el funcionamiento de esta tipología empresarial.
En este sentido, es importante recordar el contenido del apartado in fine del Considerando 13º del Reglamento (UE) 2016/679, donde se afirma lo siguiente:
“El buen funcionamiento del mercado interior exige que la libre circulación de los datos personales en la Unión no sea restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales. Con objeto de tener en cuenta la situación específica de las microempresas y las pequeñas y medianas empresas, el presente Reglamento incluye una serie de excepciones en materia de llevanza de registros para organizaciones con menos de 250 empleados. Además, alienta a las instituciones y órganos de la Unión y a los Estados miembros y a sus autoridades de control para tener en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas en la aplicación del presente Reglamento. El concepto de microempresas y pequeñas y medianas empresas debe extraerse del artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión”.
Sin embargo, y a pesar de lo proclamado en el Considerando trascrito del Reglamento (UE) 2016/679, lo cierto es que constituye una queja reiterada de las pequeñas y medianas empresas en su conjunto, el hecho de que la nueva normativa, pese al contenido de sus previsiones, peca de una falta de sensibilidad con relación a la especial problemática que afecta a este tipo de empresas, y que en su aplicación, y pese a llevar a cabo algunas adaptaciones, las mismas no se corresponden ni con la idiosincrasia, ni con la estructura, y ni sobre todo con los recursos económicos de que disponen dichas empresas, lo que produce evidentes disfunciones en su aplicación.
La aplicación natural del Reglamento (UE) 2016/679 sitúa a las empresas en una dinámica de gastos/inversiones que a veces son difícilmente asumibles por las mismas, donde los niveles de cumplimiento exigibles ciertamente son elevados, y donde no se puede olvidar que las sanciones y las responsabilidades derivadas del deficiente cumplimiento de la normativa se han situado en unos hitos históricos sin parangón con normativas pasadas, y que obligan a los responsables del tratamiento a hacer frente a unas responsabilidades, que a veces exceden con mucho su nivel de actividad.
Este fenómeno está trayendo consigo, la necesidad de que por parte del responsable del tratamiento de una pyme, se opte por el cumplimiento en función no de las exigencias derivadas de la normativa vigente, sino de las propias necesidades de la empresa, acomodándose el cumplimiento de la citada normativa a la actividad económica propia de la empresa, llevando a cabo, por tanto, un cumplimiento selectivo de dicha normativa, con los riesgos y las consecuencias negativas que de ello puede derivarse para el propio responsable, pero también para el titular de los datos afectados por dicho tratamiento.
Finalmente, debe hacerse alusión a un interesante estudio llevado a cabo por ClusterTic , donde en sus conclusiones generales, pondera la monetización y específicamente el valor económico de los datos personales, estableciendo recomendaciones estratégicas para incrementar el conocimiento de dicho valor relativo a los datos personales, a los efectos de que las empresas comprendan de manera práctica cómo generar nuevos recursos a través de la implementación de modelos de negocio asociados al uso de datos personales, contemplando los siguientes modelos o elementos:
a) La necesidad del cumplimiento de la normatividad en privacidad de carácter general, y aunque dicho estudio tiene carácter nacional, no debe ponerse en duda, la necesidad de proceder también al cumplimiento de la normatividad internacional, a los efectos de favorecer las migraciones o transferencias internacionales de datos de carácter personal.
b) La necesidad de la observancia de buenas prácticas nacionales e internacionales en el ámbito de la privacidad o reconocimiento de la eticidad de las mismas.
c) Y la necesidad de preservar la cadena de valor de los datos personales en lo que atañe a todo el ciclo de vida de los datos de carácter personal, y que abarca desde la recopilación de estos, su almacenamiento, los tratamientos y análisis de dichos datos, y finalmente su distribución, y uso, y su destino final, una vez que dejan de tener la utilidad para la cual se recolectaron.
Todo ello conlleva a un mundo nuevo y a escenarios completamente diferentes a los tradicionales que hasta la fecha caracterizaban a la protección de datos de carácter personal. Hoy en día, este nuevo marco conceptual abarca cuestiones tan novedosas desde el punto de vista económico, como:
a). Los análisis de nuevas metodologías basadas tanto en las valoraciones que sobre los datos de carácter personal pueden llevar a cabo los mercados, o los individuos y que desde luego se hace necesario conocer y saber analizar;
b). Las nuevas técnicas aplicadas a los tratamientos de datos, como pueden ser el ya aludido Internet de las Cosas (IoT), y donde técnicas como el Big Data, el Cloud Computing o el Blockchain tienen mucho valor económico que aportar.
c). Y finalmente, en lo que atañe a los análisis de los resultados obtenidos sobre la base de dichas nuevas metodologías, debe abrirse la puerta a los nuevos modelos de evaluación de los datos de carácter personal, y a unos indicadores y métricas cada vez más precisos con relación a los mismos, que conducirán a una valoración monetaria más acorde y real con las propias características de los datos almacenados o tratados.
e). Otras consideraciones a tener en cuenta: la protección de datos y el Corporate Compliance
Otro aspecto para tener en cuenta en la proximidad cada vez más cercana entre el cumplimiento normativo -Compliance- y la protección de datos de carácter personal.
Cuando se habla de Compliance , se está haciendo referencia en primer término a las exigencias derivadas del cumplimiento normativo, pero al mismo tiempo, el establecimiento de un modelo de cumplimiento inspirado en los códigos penales previstos para las personas jurídicas. Un planeamiento y otro están a su vez embebidos por la influencia de la responsabilidad social corporativa y empresarial. De todo ello, hoy en día no puede sustraerse la protección de datos de carácter personal, toda vez que forma parte indisoluble de estos planteamientos. Cualquier empresa, cualquier responsable de tratamiento debe dar cumplimiento a estas nuevas exigencias en el funcionamiento de la actividad empresarial, y por ello se hace necesario la obtención de sinergias entre los planteamientos que se lleven a cabo en materia de Compliance con relación a la implantación de un sistema de protección de datos de carácter personal, y su permanente mantenimiento y actualización.
Los principios y características que definan ese modelo de Compliance, deben ser comunes a la protección de datos. El punto de arranque de este razonamiento es que hoy en día protección de datos forma parte de ese modelo de Compliance que han de tener desarrollado principalmente las personas jurídicas, debiendo extender dicha obligación a los responsables de tratamiento, y también, si cabe a los encargados de este. En este sentido se debe partir a título de ejemplo del contenido de los apartados 1º y 2º del artículo 197 y 197 quinquies del Código Penal Español , donde se castigan acciones como la revelación de secretos, en este caso, vinculados a la informática, a los ficheros no informatizados, pero en todo caso vinculado con la protección de datos. Estos delitos se penan a nivel individual de su autor como persona física, pero también a la persona jurídica responsable que no haya adoptado aquellas medidas preventivas en general, pero específicamente a las de carácter técnico y organizativo, que, instauradas de modo preventivo, hubieran evitado la fuga de información o la revelación de secretos.
El panorama que dibuja el mundo Compliance sobre la protección de datos de carácter personal, obliga a establecer cambios importantes y trascendentes en los planteamientos que se efectúan sobre esta última, a lo que ha ayudado de una manera muy poderosa, sin lugar a duda, el cambio normativo operado que ha terminado de vincular la operativa de ambos mundos. Así, en primer término, hemos pasado de una protección de datos de carácter reactivo, a una protección de datos caracterizada por ser principalmente de carácter preventivo. Compliance es preventivo, y ahora la protección de datos de carácter personal lo es también.
La labor del responsable de tratamiento debe dirigirse a establecer medidas de seguridad, que eviten incidencias y contingencias en los tratamientos que se realicen y que puedan poner en peligro o entredicho los datos personales o la información que esté siendo tratada, y ello de una manera preventiva que evite la producción de ilícitos de naturaleza penal, o la comisión de infracciones administrativas, en este caso, sancionadas, tal como se puso de manifiesto con anterioridad con importantes multas económicas. Ello, en definitiva, define el primer escenario de la vinculación entre el Compliance y la protección de datos, que implica que, a partir de este momento, hemos de pensar exclusivamente en una implantación de protección de datos de tenor principalmente preventivo.
A este planteamiento, y fruto también del Compliance, vinculado a la Accountability, podemos hablar también de una protección de datos de carácter defensiva, en el sentido, de que los planteamientos que llevemos a efecto en esta materia, han de prever la posición de cualquier juez o tribunal, la de una autoridad de control, la de un reclamante, o la de cualquier mercado bien directamente o a través de una red social, que ponga en entredicho la gestión que un responsable de tratamiento esté llevando a cabo con relación a los tratamientos de datos personales. Ello, a partir de ahora, exige a dicho responsable contar con pruebas preconstituidas, centralizadas, ordenadas y preferiblemente dotadas de un sello de tiempo, que permita una adecuada respuesta ante tales circunstancias, respuesta que debe ser suficientemente explicativa de las decisiones adoptadas, y de las diversas circunstancias en las que se recolectado la información, se hayan llevado a cabo los tratamientos, o finalmente se haya procedido a la destrucción de los datos de carácter personal, abarcando, por tanto, toda el ciclo de vida útil del dato personal, y todas las características y demás elementos que hayan rodeado los tratamientos que se hayan llevado a efectos.
Estas dos perspectivas, la preventiva y la defensiva, cambian radicalmente los planteamientos y el enfoque que se estaba llevando a cabo en el ámbito de la protección de datos de carácter personal, determinando que esta materia quede incursa dentro del ámbito del Compliance, y que los principios que determinan su configuración se extiendan a la protección de datos, al ser esta ya parte de aquella de manera indisoluble.
Con ello se obtienen no solo las sinergias correspondientes dentro del ámbito de cualquier empresa o persona jurídica, sino lo que es tal vez más importante, la potenciación de las líneas de coherencia ideológica y conceptual, que deben presidir el modelo de cumplimiento normativo en todas sus facetas y dimensiones, del cual cada día tiene un mayor protagonismo la privacidad, y muy especialmente, la normativa sobre protección de datos de carácter personal.