Carlos B Fernández. Pocas normas han levantado tanta actividad doctrinal y de análisis como el recién estrenado Reglamento General de Protección de Datos (LA LEY 6637/2016). Su trascendencia, complejidad y larga vacatio legis han dado oportunidad a los estudiosos de diseccionar con toda minuciosidad su contenido y de anticipar sus posibles efectos.
Pero son todavía muchas las dudas e incertidumbres que genera su aplicación y las que sin duda va a seguir generando una vez que se apruebe la nueva Ley Orgánica de protección de datos (LA LEY 4633/1999), actualmente en tramitación en el Congreso.
Todas esas son razones que justifican la necesidad de una obra como El nuevo marco regulatorio derivado del Reglamento Europeo de Protección de Datos, recientemente publicada por Wolters Kluwer bajo la coordinación de José López Calvo. En esta obra un amplio conjunto de especialistas analizan, desde todos los ámbitos posibles esta nueva norma y sus aspectos aplicativos.
El curriculum de López Calvo le identifica rápidamente como uno de los mejores expertos en protección de datos de nuestro país: Doctor en Derecho, miembro del Cuerpo de Administradores Civiles del Estado, ha desempeñado entre otros puestos, el de consejero Técnico de la Oficina Presidente del Gobierno; Director General de la Oficina Española de Patentes y Marcas y Subdirector General de Inspección de Datos de la AEPD. En la actualidad es Vocal de Asesoría jurídica y Delegado de Protección de Datos del CSIC. Además es autor de varios libros sobre esta especialidad y colaborador habitual del Diario La Ley Ciberderecho, además de en otras publicaciones especializadas.
Recientemente intervino como experto ante la Comisión de Justicia del Congreso ante la que se está tramitando el proyecto de Ley Orgánica de Protección de Datos (LA LEY 18083/2017). Y aunque menos conocido públicamente, ha destacado, desde su puesto en la AEPD como uno de los impulsores del denominado “derecho al olvido” de tan relevante efecto sobre el ámbito de internet, hasta el punto de haber sido incorporado explícitamente al RGPD.
En vísperas de la presentación de este nuevo libro, Diario La Ley ha tenido ocasión de conversar ampliamente con José López para tratar los temas más interesantes que plantea esta nueva norma europea.
DIARIO LA LEY: EN SU CAPÍTULO INTRODUCTORIO AL REGLAMENTO, USTED APUNTA QUE SE TRATA DE UNA NORMA QUE HA TRATADO DE ENCONTRAR UNOS CONSENSOS COMPLICADOS, LO QUE HA PROVOCADO UNA NORMA INCOMPLETA Y PARADÓJICA EN MUCHOS ASPECTOS.
JOSÉ LÓPEZ CALVO: No podía ser de otra forma porque el RGPD es una norma que tiene que ofrecer certezas pero también que tiene que ser flexible, porque estamos hablando de principios relacionados con la protección datos que tanto desde el punto de vista social como desde el punto de vista técnico son movibles: la privacidad, los avances tecnológicos, lo que está bien y lo que está mal … Por lo tanto, para evitar una obsolescencia programada jurídica de la norma es necesario que esta sea por una parte, cierta, como debe ser una norma, pero por otra parte, flexible, principalmente en cuanto a su interpretación.
DLL: PRECISAMENTE EN CUANTO A ESA NECESIDAD DE FLEXIBILIDAD USTED HA SEÑALADO QUE EL REGLAMENTO ES UNA NORMA RICA EN CONCEPTOS JURÍDICOS INDETERMINADOS.
JLC: Así es. La norma se basa sobre grandes paradojas y alguna incertidumbre. Pero el legislador dispone de ese recurso que consiste establecer unos conceptos jurídicos indeterminados, que a veces rozan la tautología, y remitir su concreción a la fase de aplicación de la norma, bien en vía jurisdiccional, bien en vía administrativa por las autoridades de control.
Pero hay que tener en cuenta que el Reglamento está destinado a estar vigente, digamos los próximos veinte o treinta años. Y en estas condiciones, lógicamente, no va a tener nada que ver la situación en la que nos encontramos ahora, en la que Internet está todavía en una fase incipiente, con lo que va a pasar en cinco, diez o quince años.
Por eso va a ser trascendente la figura del Comité Europeo de Protección de Datos, que deberá establecer los principios generales y los criterios generales aplicables sobre esta materia en ámbito europeo.
DLL: USTED APUNTA EN EL LIBRO UN ASPECTO MUY LLAMATIVO DEL REGLAMENTO COMO ES QUE PESE A SER UNA NORMA ORIENTADA A REFORZAR EL PAPEL DEL CIUDADANO COMO TITULAR DE SUS DATOS, ES A LA VEZ UNA NORMA COMPLEJA Y DIFÍCILMENTE COMPRENSIBLE POR EL CIUDADANO ¿QUÉ EFECTOS CONSIDERA QUE PUEDE TENER ESTA PARADOJA?
JLC: Creo que a este respecto cabe decir que las decisiones que se adoptan en el ámbito de la protección de datos son de una enorme complejidad, por lo que no todo puede depositarse en bases como el consentimiento del titular de los datos. Hay principios jurídicos que deben ser garantizados por los poderes públicos y por las instituciones, trascendiendo al propio ciudadano.
Es como si en materia medioambiental se pusiera al ciudadano en el brete de tener que responder a la pregunta ¿Da usted su consentimiento para consumir este agua contaminada? Algo parecido sucede en protección de datos: no cabe exigir al ciudadano que lea y entienda unas condiciones de privacidad que, en algunos casos, como los de las grandes multinacionales, pueden ser muy extensas.
En mi opinión, con esa exigencia se estaría trasladando al ciudadano una carga que probablemente no está en condiciones de soportar en muchas ocasiones. Primero porque nadie lee esos documentos informativos, pero además, si alguien se decide a leer esas decenas de páginas y no está de acuerdo ¿qué puede hacer? Se está mucho más cerca de lo que es un contrato de adhesión.
Y es por ello por lo que cada vez con más fuerza se considera que el consentimiento del interesado no va a ser la base única o principal del tratamiento, sino que hay otras que están surgiendo en paralelo tal como se recogen en el artículo 6 del Reglamento, como son el interés legítimo o el interés legal, que yo creo que van a cobrar una relevancia adicional.
DLL: EN ESE SENTIDO ¿CABRÍA APLICAR UNA MODALIDAD DE CONSENTIMIENTO POR CAPAS, AL IGUAL QUE SE PLANTEA EN OTROS ASPECTOS DEL REGLAMENTO EN RELACIÓN, POR EJEMPLO, CON EL DERECHO DE INFORMACIÓN?
JLC: De hecho esa es una solución que recomienda la propia Agencia en casos como el de las cookies, y que también está en el proyecto de ley, con algunas condiciones; si bien es una posibilidad que ha levantado alguna reticencia porque la información y la solicitud de consentimiento tienen la contrapartida de que se molesta al ciudadano.
Pero, como se sabe, el Reglamento establece la necesidad de que el consentimiento sea inequívoco, no vale un consentimiento tácito sino que tiene que ser una actitud de la que derive inequívocamente que concurre, lo que puede facilitarse ajustando los elementos de la plataforma de Internet que se utiliza. Para ello hay varias formas, incluso un consentimiento por actividad, por actuación y uno de ellos, en efecto, como ocurre en el caso de cookies, es la información por capas.
DLL: ¿CREE QUE EL CIUDADANO ES CONSCIENTE DE QUE TIENE UN PODER MAYOR QUE ANTES SOBRE SUS DATOS, LO QUE, A SU VEZ, LE VA A OBLIGAR A UN TRABAJO MAYOR, SI QUIERES, DE GESTIÓN DE SUS DATOS PERO VA A TENER MÁS CAPACIDAD?
JLC: Yo creo que el ciudadano es cada vez más consciente de la trascendencia que tienen sus datos. Pero también es verdad que los grandes retos en materia de privacidad, en mi opinión, se encuentran en las grandes tecnológicas de Estados Unidos, que desbordan el ámbito europeo y de donde surgen problemas como el de Cambridge Analytica y tantos otros que subyacen.
Es cierto que las tecnológicas están haciendo un esfuerzo, pero de nuevo nos encontramos con las dificultades técnicas, de tiempo, de conocimiento y de dedicación de los ciudadanos, que no pueden realizar un estudio con la suficiente profundidad para bucear las alternativas que le plantean las tecnológicas, cuando, además, esas alternativas pueden no coincidir con lo que las tecnología haga en realidad.
Y yo creo que en este sentido el Reglamento es osado, pero al mismo tiempo muy valiente, al reconocerse una competencias ultraterritorial. Se trata de un aspecto en el que hay una tensión soterrada entre Estados Unidos y Europa porque, al mismo tiempo Estados Unidos acaba de aprobar una ley, la Cloud Act, reconociendo a sus autoridades competencias sobre el contenido alojado en servidores ubicados fuera de Estados Unidos, al mismo tiempo Europa, se declara competente sobre los tratamientos que se realizan fuera de Europa siempre que se refiera a oferta de bienes y servicios a personas, no que se residan, sino que, como indica la reciente corrección de errores, se encuentren en Europa. Y a mí me parece, como decía, que es arriesgado, pero me parece encomiable y valiente.
DERECHO AL OLVIDO
DLL: ENTRE LOS NUEVOS DERECHOS RECONOCIDOS AL CIUDADANO EN EL REGLAMENTO DESTACA EL CONOCIDO COMO “DERECHO AL OLVIDO”. Y SOBRE ESTE, CREO QUE MUCHOS DE NUESTROS LECTORES NO SABRÁN QUE DURANTE SU ETAPA EN LA AEPD, USTED TUVO MUCHO QUE VER CON SU RECONOCIMIENTO E IMPLANTACIÓN.
JLC: Así es, pero debo decir que ello se llevó a cabo conjuntamente con el director de la Agencia en aquel momento, Artemi Rallo; con el resto de cargos de la Agencia, entre los cuales estaban principalmente Agustín Puente, Jesús Rubí y Rafael García Gozalo y, también, por supuesto con la colaboración inestimable de la Audiencia Nacional, cuya Sala de lo Contencioso-Administrativo estaba presidida por Carlos Lesmes, actual presidente del Tribunal Supremo, que fue quien presentó la cuestión prejudicial ante el Tribunal de Justicia de la Unión Europea que posteriormente dio lugar a la conocida sentencia Costeja, de 13 de mayo de 2014.
Y creo que esto demuestra cómo en muchas ocasiones las innovaciones se producen no de arriba a abajo sino de abajo a arriba. Los problemas se detectan en la aplicación de la norma, en la trinchera, por así decirlo, que es cuando hay que decidir si algo se puede hacer o no se puede hacer, dando lugar a que de alguna manera la casuística se acabe convirtiendo en norma o en categoría jurídica.
En mi experiencia de casi nueve años como subdirector de Inspección de la Agencia, advertí cómo, en muchas ocasiones, el legislador, que no es omnisciente, no había previsto muchas posibles situaciones, y menos en el ámbito tecnológico. Por ello era necesario recrear, construir sobre la marcha una teoría.
En el caso concreto del derecho al olvido, además, estábamos obligados a buscar una solución, porque el Defensor del Pueblo nos instaba a que diéramos satisfacción a solicitudes de ciudadanos cuyos nombres aparecían en el Boletín Oficial del Estado y querían que los buscadores no presentaran informaciones sobre multas que les habían sido impuestas años atrás, algo que supuesto la Directiva de 1995 no preveía.
Por otra parte, debo decir además que el derecho al olvido no está desarrollado de una forma exhaustiva en el Reglamento, pues únicamente aparece referenciado entre paréntesis y entre comillas, pero sin ninguna referencia explícita, ni siquiera aparece la palabra "buscadores".
DLL: ¿LE PARECE ADECUADA LA REGULACIÓN QUE SE HA DADO A ESTE NUEVO DERECHO EN EL REGLAMENTO?
JLC: El derecho al olvido fue aquilatado por la sentencia Costeja, por las resoluciones jurisdiccionales posteriores y por las resoluciones de las autoridades de control.
En el Reglamento se encuentra prácticamente ausente, pues de lo que se habla es del derecho de cancelación ("derecho al olvido").
Hay alguna enmienda que en el proyecto de LOPD que pretende incluir precisamente el derecho al olvido, pero este en realidad no deja de ser sino una aplicación del derecho de cancelación y oposición a la captación por buscadores de información existente en Internet.
DLL: ¿CREE QUE EL DERECHO AL OLVIDO ES UN DERECHO QUE SE ENTIENDE BIEN EN LA CALLE?
JLC: Yo creo que se entiende más que otros, porque se trata de situaciones en los que cabe apreciar que existe un problema real, porque ya todos tenemos nuestro “Yo” virtual que circula por Internet y que puede que incluya información que no deseemos que se conozca.
Lo que creo que no se entiende muy bien y muchas veces se confunde es esa afirmación de que "no se puede reescribir la historia". El derecho al olvido entra en colisión o en confluencia con otros derechos, como la libertad de información y la libertad de expresión. Por lo tanto no es lo mismo que ejerza el derecho al olvidó una persona anónima respecto a una información que no tiene trascendencia a que se refiera a una persona publica, incluso aunque tenga que ver con una información que pueda considerarse obsoleta o inexacta.
Y a este respecto es importante clarificar que el derecho al olvido cambiará en todo caso la historia de las personas anónimas, que no tiene por qué conocer todo el mundo, como que al vecino de abajo le pusieron una multa de tráfico hace 10 años y que ésta es la matrícula de su coche.
Afortunadamente las resoluciones y las sentencias de los tribunales están clarificando bastante qué es lo que se puede y qué es lo que no se puede hace y hasta dónde alcanza el derecho al olvido.
DLL: EL REGLAMENTO DEJA UN MARGEN AMPLIO A LOS ESTADOS PARA QUE REGULEN O COMPLETEN DETERMINADOS ASPECTOS DEL REGLAMENTO ¿CONSIDERA QUE ELLO PUEDE CREAR O REABRIR BRECHAS DE REGULACIÓN, DIFERENCIAS REGULATORIAS QUE JUSTAMENTE EL REGLAMENTO HA INTENTADO EVITAR? ¿QUÉ PAPEL CREE QUE ESTÁ LLAMADO A EJERCER EL COMITÉ EUROPEO DE PROTECCIÓN DE DATOS?
JLC: Creo que en el Reglamento subyace el mismo un relativo conflicto de voluntades y de intereses, que probablemente también subyacen en la propia Unión Europea, y es la búsqueda de la cohesión, de uniformidad, la búsqueda de la creación de entornos supranacionales uniformes pero al mismo tiempo dotados de fuerzas centrífugas que pivotan sobre el mantenimiento de la identidad y las peculiaridades nacionales, y ese doble alma subyace en el Reglamento.
Hay un término que utiliza Pablo García Mexia, uno de los coautores del libro, que me parece bastante gráfico de qué es lo que hace el Reglamento. Este término es el “gruyerización” y hace referencia a que el Reglamento hace más de 50 remisiones o excepciones a leyes nacionales; con lo cual cabe decir como ha señalado en alguna ocasión la Subsecretaria de Justicia, que se trata de un Reglamento con alma de directiva porque ha de ser desarrollado por leyes, se da un plazo de dos años para aprobar la ley (que suele ser el plazo de transposición de directivas), y por otra parte crea un sistema de coherencia, pero lo crea mediante la “gruyerización” y remisión a leyes nacionales para múltiples excepciones, con lo cual, en efecto, el riesgo es que se convierta en un sudoku complicado de gestionar.
DLL: ¿CUÁLES CREE QUE PUEDEN SER LOS MAYORES PROBLEMAS A LOS QUE SE ENFRENTE EL MECANISMO DE COOPERACIÓN Y COHERENCIA ENTRE LAS AUTORIDADES DE CONTROL DE LOS DIFERENTES PAÍSES A LOS QUE VA A TENER QUE ENFRENTARSE LA APLICACIÓN DEL REGLAMENTO?
JLC: En mi opinión el primero puede ser el idioma, porque con la salida del Reino Unido de la Unión, el inglés va a dejar de ser uno de los idiomas oficiales.
En segundo lugar yo destacaría el hecho de que la Unión es un entorno muy burocrático en el cual incluso las delimitaciones competenciales y las delimitaciones formales pueden consumir gran parte de la energía disponible. Me refiero a cuestiones como dónde se encuentra el establecimiento principal y quién es la autoridad competente, aspectos que hacen que la tramitación cobre una mayor relevancia que el fondo de las decisiones que se vayan a tomar e incluso que la coherencia del propio sistema. Sin embargo en nuestro sistema es muy importante la previsibilidad de las decisiones, que los operadores sepan lo que está bien y lo que está mal, sobre todo en un sistema tan fragmentario en red y con temas tan complicados, en los que muchas veces para decidir es necesario bucear en los expedientes. No son temas de decidir entre blanco y negro sino que hay que bucear en los expedientes, hay que hacer investigaciones que a veces hay que completar y, claro, en un sistema reticular como éste probablemente los aspectos preparatorios del expediente, que muchas veces son la esencia y de lo que deriva la decisión, no quedan claros.
LA LOPD (LA LEY 4633/1999)
DLL: ¿QUÉ PROBLEMAS CREE QUE PUEDE PROVOCAR QUE NO DISPONGAMOS DE UNA LEY NACIONAL ADAPTADA AL RGPD?
JLC: Es verdad que en todo momento se contaba con que la ley estuviera el día 25 y, de hecho, la Directora de la Agencia declaró en su comparecencia ante la Comisión de Justicia del Congreso que no había plan B.
Yo creo que, hasta que la nueva ley salda adelante estamos en una situación en la cual el Reglamento pasa a ser directamente aplicable y en la que habrá que ver qué parte de la LOPD (LA LEY 4633/1999) es eliminada por el Reglamento. A mi juicio será necesario el ejercicio de ver qué parte de la actual LOPD (LA LEY 4633/1999) subyace, que gran parte podrá subyacer, qué otra podrá permanecer, y qué parte de la actual LOPD (LA LEY 4633/1999) es derogada.
DLL: UNA DE LAS PARTES PROBABLEMENTE MÁS AFECTADAS POR LA FALTA DE UNA LEY SEA EL MECANISMO DE SANCIONES ¿QUÉ EFECTOS CREE QUE PUEDE TENER QUE EL REGLAMENTO COMIENCE A SER APLICABLE SIN UNA NORMA ESPAÑOLA QUE PERMITA ADECUAR LAS SANCIONES AL PRINCIPIO DE TIPICIDAD Y SEGURIDAD JURÍDICA?
JLC: Gran parte de los tipos que hay en la actual norma española son subsumibles en algunos de los tipos del Reglamento, pero es verdad que el Reglamento incluye tipos que no están previstos en la ley. Por ejemplo, en cuanto a la comunicación de brechas de seguridad, que habrá que estar en condiciones de informar a partir del día 26, y que es algo que en principio no está explícitamente previsto en la Ley Orgánica de 1999. O en relación con la posible cuantía de las sanciones, donde el Reglamento desborda con mucho los 600.000 euros que la actual ley prevé como límite, en este caso hay que entender que entrarán en vigor los topes de sanción previstos en el Reglamento.
Por lo tanto, en mi opinión durante este tiempo va a haber que jugar con las previsiones de la Ley Orgánica, haciendo un ejercicio de creación e interpretación, teniendo en cuenta lo que prevé el Reglamento.
DLL: ¿CUÁL PREVÉ QUE VA A SER EL PAPEL DE LA JURISDICCIÓN EN CUANTO A LA MODULACIÓN Y CUANTIFICACIÓN DE LAS SANCIONES?
JLC: Desde luego el papel de los órganos jurisdiccionales va a ser importante, pero no solo en materia de sanciones. Hay otro elemento importante que prevé el Reglamento que yo creo que está pendiente de desarrollar y es la previsión de indemnizaciones por daños y perjuicios, que abre una puerta interesante para explorar a través de la vía civil.
Y no olvidemos que también existe una vía paralela que es la posibilidad de acudir directamente a los tribunales para soslayar el procedimiento de coherencia y de cooperación entre las diferentes autoridades de control, aunque es verdad que cuando un tribunal reciba una petición que desborde sus fronteras, lo normal es que plantee una cuestión prejudicial al Tribunal de Justicia. En definitiva que, en efecto, se va a poner en marcha un puzle que va a ser necesario encajar por los tribunales.
DLL: EN RELACIÓN CON ESTE TEMA DE LAS INDEMNIZACIONES POR DAÑOS Y PERJUICIOS DERIVADOS DE LA NORMATIVA DE PROTECCIÓN DE DATOS, USTED, EN SU COMPARECENCIA ANTE EL CONGRESO HIZO UNA INTERESANTE REFERENCIA SOBRE EL PAPEL DEL DPO COMO ÓRGANO MEDIADOR ENTRE EL CIUDADANO Y LA EMPRESA, PREVIO A LA VÍA JUDICIAL O ADMINISTRATIVA.
JLC: En mi opinión se trata de un cambio de visión y de procedimiento que supone un importante cambio de paradigma, incluso desde el punto de vista presupuestario. Piense que en el caso de las sanciones de la Agencia, su importe revierte en el Tesoro Público, sin que el ciudadano reciba ninguna compensación, mientras que en el caso de la indemnización esta va directamente al interesado.
Esta nueva fórmula supone un cambio en virtud del cual lo que se produciría es una relativa negociación entre el DPO o el responsable o el infractor y el afectado, para acordar una compensación que evite que el afectado acuda a la Agencia.
Esta opción ofrece ventajas, entre ellas que puede descargar de trabajo a la Agencia, y también inconvenientes porque se privatiza la relación y se incentiva una negociación que en la Agencia no veíamos clara en su momento, por aquello de que el ciudadano planteara a la empresa “o me pagas o te denuncio”. Pero por otra parte también es verdad que con esa opción el ciudadano, que es el afectado, recibiría la compensación que reclama antes de acudir a la vía judicial.
DLL: ¿CREE QUE ESO PUEDE DAR LUGAR, COMO HA PLANTEADO YA ALGÚN AUTOR, A QUE SE PASE A RECONOCER UN VALOR ECONÓMICO O PATRIMONIAL A LOS DATOS PERSONALES
JLC: Efectivamente, yo creo que es un paso en ese sentido. Es una cuestión sobre la que se está reflexionando mucho, ante la evidencia de que en muchas ocasiones se está haciendo un trueque de privacidad por servicios en Internet.
Muchos de estos servicios no serían gratuitos si no se pudiera acceder a esos datos, y con ello de alguna manera se refuerza el carácter de que la titularidad del dato es del afectado y de que en caso de que haya una infracción, el afectado es interesado. Cosa que hasta ahora no sucede en el ámbito sancionador, donde el denunciante no es interesado porque, como en muchas ocasiones ha señalado el Tribunal Supremo, en su esfera de derechos no entra ese y por tanto en estos casos el denunciante carece de legitimación activa, salvo que demuestre que sí que tiene un interés directo en la sanción, razón por la que esos procedimientos se tramitan de oficio.
DLL: ¿QUÉ NOS PUEDE DECIR DE SU EXPERIENCIA EN UNO DE LOS POCOS ORGANISMOS PÚBLICOS QUE YA HA DESIGNADO A SU DPO Y CÓMO CREE QUE ESA EXPERIENCIA PUEDE APROVECHARSE POR OTROS ÓRGANOS?
JLC: Yo creo que siempre hay que buscar razonabilidad. En el CSIC hemos buscado una adecuación al Reglamento en la cual han estado implicados múltiples departamentos, pues hay que tener en cuenta que el CSIC es una organización con alrededor de 120 institutos por toda España, incluso alguno fuera de España, que trata muchos aspectos y que lógicamente no puedes parar la máquina, por lo que ha habido que buscar fórmulas.
Yo creo mucho en las sinergias, por eso en el CSIC hemos creado una intranet como fórmula de comunicación, de documentación y de referencia, como repositorio de buenas prácticas y también como registro de actividades de tratamiento, donde incluimos desde el registro de actividades de tratamiento hasta los mecanismos de comunicación de brechas de seguridad, e incluyendo los mecanismos de ejercicio de derechos y cómo funcionar en caso de que se ejerza un derecho. También hemos incluido cláusulas de consentimiento y de información.
En mi opinión esta fórmula es también válida en el ámbito local, desde las Diputaciones Locales, evitando descender a nivel de municipio que quizás es demasiado pequeño, de forma que el DPO se encuentre en la Diputación y desde ahí hacer una labor de resolución de dudas, en materias como firma electrónica, cámaras de videovigilancia, etc.; el planteamiento en todo momento creo que tiene que ser ése intentar ayudar a que las cosas sigan funcionando adaptándose a los requisitos que prevé el Reglamento.
Para saber más...
Wolters Kluwer pone a su disposición el más completo conjunto de herramientas, cursos de formación y materiales de trabajo para facilitarle el cumplimiento del RGPD. Consulte toda la información en este enlace.