Carlos B Fernández. Susana García Romero. El mundo de la protección de datos está viviendo unos tiempos de gran actividad. Aunque todavía queda algo más de un año para que comience a ser aplicable el Reglamento Europeo de protección de datos de 2016, este ya se encuentra en vigor y sus efectos han comenzado a afectar a las empresas y profesionales españoles, en temas como el del consentimiento de los interesados para el tratamiento de sus datos.
Y aunque se trata de una norma directamente aplicable por los Estados, va a requerir la adaptación de la legislación interna española a sus disposiciones, en aquellos aspectos en que deja margen a las autoridades nacionales para ello.
Además, al tratarse de una norma larga y compleja, está provocando numerosas dudas sobre diferentes aspectos que van desde el análisis de riesgos y la evaluación de impacto, al registro de las actividades de tratamiento, pasando por la certificación para el ejercicio del cargo de delegado de protección de datos.
Por otra parte, el sector se está viendo sometido a incertidumbres de origen externo, como la próxima salida del Reino Unido de la Unión Europea o las recientes decisiones del nuevo ejecutivo norteamericano en relación con la comercialización de los datos de los usuarios de los servicios de internet por parte de las empresas proveedoras y el efecto que ello pueda tener en el acuerdo Privacy Shield entre los Estados Unidos y la Unión Europea.
Para analizar todos estos temas DIARIO LA LEY CIBERDERECHO ha tenido ocasión de hablar largamente con Rafael García Gozalo, jefe del área internacional de la AEPD.
Pese a que el proceso de elaboración de una nueva LOPD (LA LEY 4633/1999) está sometido a rigurosa reserva por parte de todos los que intervienen en el mismo, sus declaraciones aportan amplia e interesante luz sobre todas estas cuestiones.
Diario La Ley Ciberderecho: ¿Cómo se encuentra el proceso de adaptación de la normativa española al Reglamento Europeo de Protección de Datos?
Rafael García Gozalo: El criterio que se ha seguido es el de elaborar una nueva Ley Orgánica de Protección de Datos que sea la norma transversal que facilite el cumplimiento del Reglamento.
Será un texto enteramente nuevo, sin perjuicio de que se puedan mantener aspectos que ya se encuentran en la ley vigente y que no hay problema en mantener tras el Reglamento.
Este es una norma que se aplica directamente, no requiere una norma interna de transposición, pero contiene una serie de habilitaciones a los Estados miembros para que adopten determinadas medidas. Por ejemplo, el Reglamento exige que los estados adopten una serie de decisiones sobre la configuración de las autoridades de protección de datos .
Y en el Reglamento también se reconocen situaciones en las que, sin obligar a los Estados a hacer algo, sí se les permite un margen de maniobra para establecer determinadas especificaciones a nivel nacional.
Para alcanzar este objetivo se ha considerado que lo más adecuado es revisar complemente la actual ley y elaborar una nueva norma. Y ello sin perjuicio de que pueda haber modificaciones puntuales en normas sectoriales cuyo contenido no encaja en una norma de esta naturaleza. Por ejemplo en el ámbito sanitario, que es un ámbito muy regulado y que maneja datos sensibles, por lo que el Reglamento ya prevé que los estados puedan establecer normas concretas en esta materia.
Para la elaboración de esta nueva norma, el Ministro de Justicia encargó a la Comisión General de Codificación la preparación de un borrador. Se ha constituido una ponencia en la sección tercera de la Comisión en la que están participando vocales de la sección y también miembros de la AEPD. El texto que elaboren se someterá al pleno de la comisión y su resultado se elevará al ministerio para iniciar el procedimiento de tramitación legislativa como Ley Orgánica.
El calendario de elaboración de esta norma debe ajustarse al que impone el propio Reglamento, que como se sabe empezará a ser aplicable a partir del 25 de mayo de 2018. Esa fecha es innegociable y por tanto la nueva Ley tendrá que estar aprobada antes, porque su misión es permitir que se pueda aplicar correctamente el Reglamento.
P: ¿Cree que este plazo va a ser suficiente para que las empresas puedan adaptarse a la nueva Ley antes del comienzo de la aplicabilidad del Reglamento? Porque existe mucha inquietud sobre este aspecto.
RGG: Creo que a este respecto hay que tener en cuenta que el Reglamento es una norma directamente aplicable y que el grueso de las obligaciones que deben cumplir las empresas ya se encuentran en el mismo. Además, estas disposiciones son lo suficientemente claras y concretas como para que las empresas se puedan guiar por ellas para iniciar esa adaptación.
Por otra parte, la Agencia ha publicado materiales como la Guía general sobre el Reglamento, la de información en el Reglamento o la de contratos del responsable del tratamiento. Y también ha difundido criterios y elaborado herramientas para ir facilitando esa adaptación.
Por ejemplo, casi desde un principio se explicó que una modalidad de prestación del consentimiento por parte de los interesados que es legítima en España, el consentimiento tácito o por inacción, no es válida con el Reglamento, pero no solo a partir de mayo de 2018, sino también para tratamientos que se hubieran iniciado sobre esa base jurídica antes de esa fecha. Y eso no es algo que la futura ley vaya a poder modificar.
Por tanto, aunque es cierto que habrá aspectos que solo se podrán conocer cuando la Ley sea pública y que será a partir de ese momento cuando las empresas deban iniciar su proceso de adaptación, el grueso de las obligaciones ya están en el Reglamento y lo que la Ley hará en la mayor parte de los casos será establecer las modalidades de ejecución o cumplimiento.
De hecho, muchas empresas ya están trabajando en este proceso de adaptación y para ellas la Ley solo supondrá un ajuste adicional.
P: ¿Cómo va a ser la relación entre el Reglamento y la nueva Ley Orgánica? ¿No se trata de una relación inédita entre una norma europea y una norma española de rango superior y que además desarrolla un derecho contenido en la Constitución?
RGG: Desde luego va a ser una relación peculiar porque va a ser la primera vez que un derecho fundamental va a regularse por un Reglamento europeo que agota su regulación, no hay precedentes de cómo ha funcionado una relación así en el pasado.
Parece que no casa bien con la “maiestas” de una Ley Orgánica que sea subsidiaria de otra norma. De hecho, al ser de aplicación inmediata, la norma estatal no debe reproducir la norma comunitaria, para evitar problemas de interpretación sobre el origen de las obligaciones y derechos que establece. Pero este Reglamento prevé de forma excepcional que la normativa interna de los estados miembros pueda reproducir parte de su contenido cuando sea necesario para que se entiendan las especificaciones que se puedan introducir a nivel estatal.
En todo caso el criterio general es que la norma interna regula donde el Reglamento no regula, justo desde ahí. Y por ello el trabajo que tenemos por delante es encajar una norma en la otra, encajar la Ley Orgánica en los espacios que el Reglamento permite.
P: ¿Y en caso de conflicto entre una y otra norma, cuál debería de ser el mecanismo de resolución?
RGG: El derecho europeo ya prevé mecanismos para la resolución de los conflictos entre los derechos internos y él mismo, y el ámbito de la protección de datos no es ninguna excepción en este sentido.
En este caso, además, la Comisión es consciente de que se trata de un reglamento denso y complejo que puede plantear dudas y dificultades para su adopción por los estados. Por ello ya se han creado grupos de expertos con representantes de los Estados Miembros para identificar esos temas complicados y ofrecer indicaciones y recomendaciones para su tratamiento.
P: ¿Cree que los criterios y directrices emanados de los distintos organismos nacionales de control pueden suponer un riesgo de desarmonización del Derecho de la Unión, por las diferencias de criterios que pueden establecer?
RGG: Por lo que se refiere al núcleo duro del Reglamento, se da una alta armonización entre las autoridades de la Unión, y es lógico que sea así, porque otra cosa no tendría sentido.
Por eso, el trabajo de elaboración de guías y materiales por parte de las autoridades nacionales se está haciendo desde el principio de una manera coordinada con lo que las propias autoridades están decidiendo conjuntamente a nivel europeo.
Por ejemplo, el plenario del Grupo de Trabajo del Artículo 29 acaba de aprobar la versión definitiva de tres documentos (sobre delegados de protección de datos, sobre identificación de la autoridad principal en el marco de los procedimientos de ventanilla única y sobre portabilidad de datos), cuyas versiones provisionales se habían aprobado provisionalmente en diciembre, y que después se habían sometido a consulta pública. Y los trabajos que las autoridades nacionales están poniendo en marcha toman como referencia estos documentos comunes.
Además, a la hora de tomar determinadas posiciones o realizar determinadas interpretaciones, aunque no haya nuevos documentos del G29, ya existen posicionamientos anteriores que pueden ser aplicables. Téngase en cuenta que el Reglamento lleva negociándose 4 años y en ese período e incluso desde antes, el GT29 ha ido emitido sus opiniones.
Por ello puede decirse que ya existe un cuerpo de doctrina sobre las interpretaciones del Reglamento en el que todos los Estados se apoyan a la hora de preparar sus herramientas. Y aunque sobre determinadas materias los Estados puedan disponer de margen de maniobra para especificar las condiciones del Reglamento -porque las mismas pueden variar de un país a otro-, sus criterios van a ajustarse a los ya adoptados.
Además, hay que destacar que la capacidad de los Estados en el plano normativo está sometida a la monitorización y seguimiento por parte de la Comisión, porque lo que no se puede poner en cuestión los objetivos que el Reglamento persigue. Es decir, se da una cierta flexibilidad, pero dentro de unos márgenes sometidos al control de la Comisión.
P: En este escenario de necesaria armonización ¿Cómo cree que puede afectar la salida del Reino Unido de la Unión Europea?
RGG: Esa es una pregunta para la que todavía no tenemos respuesta. De momento el Reino Unido seguirá siendo estado miembro de la Unión los próximos dos años. Y durante ese tiempo se espera que siga cumpliendo con sus obligaciones, lo que incluye el cumplimiento del Reglamento una vez que éste comience a ser aplicable.
En cuanto a cómo quede su situación después de la salida, es algo que dependerá del resultado de las negociaciones. Sin embargo las autoridades británicas han señalado públicamente su intención de aplicar en lo fundamental el régimen europeo de protección de datos, incluyendo el Reglamento. Lo cual tiene todo el sentido desde un punto de vista práctico, pues si no lo hicieran se situarían en una situación complicada a la hora de poder recibir datos de empresas o despachos de otros países europeos. Por tanto, es en su propio interés que sus estándares de protección de datos sean plenamente asimilables a los de la Unión.
La articulación concreta de esa relación dependerá de diferentes variables. Se ha hablado de una declaración de Reino Unido como país con nivel adecuado de protección, tras su salida de la UE, o de algún tipo de régimen de asociación como la de otros países, que pudiera incluir la protección de datos. De momento hay abiertas muchas opciones y es difícil prever cuál será la que finalmente se adopte.
P: ¿Una posibilidad sería incluir al Reino Unido en el ámbito del Privacy Shield?
RGG: En el Privacy Shield como tal, no. El Privacy Shield es una decisión de la Comisión que considera que las empresas estadounidenses que se adhieren o se certifican en su ámbito, cumplen los principios establecidos en el mismo y que por ello el tratamiento y la protección que van a dispensar a los datos que reciban va a ser sustancialmente equivalente al que se otorga en el ámbito de la Unión Europea.
¿Podría aplicarse este sistema al Reino Unido tras su salida de la Unión? Probablemente sí, aunque seguramente no sería el mismo Privacy Shield, porque son situaciones distintas. Téngase en cuenta que este, en definitiva, no es sino una declaración de nivel adecuado de protección de nivel sectorial, pero no de todo un Estado, que entiendo que sería el objetivo del Reino Unido. Pero este es un tema que está totalmente abierto en estos momentos.
P: Hablando de Privacy Shield ¿Cómo cree que puede afectar a las relaciones con la Unión la reciente decisión de las autoridades norteamericanas de permitir a los proveedores de servicios de internet comercializar los datos de navegación de sus usuarios?
RGG: En principio esta decisión de las autoridades norteamericanas lo que va a hacer es evitar que entre en vigor una disposición que todavía no lo había hecho. Por ello no se está añadiendo una dimensión nueva en la situación actual.
En todo caso, se trata de una decisión que corresponde evaluar a la Comisión Europea. El Reglamento establece muy claramente que la Comisión debe estar atenta a los cambios y modificaciones en los países declarados con un nivel adecuado de protección, para poder reaccionar ante posibles novedades. Y en principio hay una percepción de que el Privacy Shield no se refiere a la actividad de las empresas a las que parece que va a afectar esta decisión del ejecutivo norteamericano.
P: ¿Cree que estas medidas de la administración Trump pueden afectar a la revisión del Privacy Shield, prevista para septiembre? ¿Podría suceder que se considerase que estas medidas impiden cumplir con todos los principios establecidos en el mismo y que, por ello, hubiese que elaborar uno nuevo?
RGG: Creo que hay que poner las cosas en su contexto. La revisión de este marco se basará en la evaluación de la situación real, sobre si está funcionando el sistema y si se están aplicando y cómo los mecanismos previstos, no en hipótesis sobre qué puede suceder si se adoptase una norma que fuese en esa misma línea.
En mi opinión, tal y como están ahora las cosas no hay motivos para pensar que es probable que se vuelva súbitamente a la situación anterior. Si se detectasen deficiencias, el primer paso sería discutirlas con la parte americana y estudiar cómo se corrigen. Pero una decisión como la que se adoptó en su momento, de anular completamente un esquema de relaciones, tiene unas consecuencias muy serias, por lo que no se adoptaría si no fuese por unos motivos fundados.
En cualquier caso, siempre hay que recordar que es la Comisión Europea la que adopta la decisión de adecuación y la que puede modificarla o anularla.
P.: Cambiando de tercio y volviendo a las cuestiones que afectan directamente a los profesionales de nuestro país ¿Qué previsiones se contemplan en cuanto a la certificación de los Delegados de Protección de Datos?
RGG: La AEPD siempre ha apostado porque debe haber una certificación de los profesionales de la protección de datos, ya que será un elemento que puede otorgar transparencia, seguridad y orden al sector.
Pero, a la vez, y con independencia de lo que en el futuro pueda establecer la nueva LOPD (LA LEY 4633/1999), la Agencia siempre ha optado por no ser la entidad certificadora, sino que sean entidades certificadoras terceras, acreditadas por la entidad nacional de certificación, las que otorguen los certificados tanto para los Delegados de protección de datos, como para los esquemas de certificación que prevé el Reglamento y que habrá que aplicar también en nuestro país.
En el caso de los Delegados de Protección de Datos, la Agencia comenzó a trabajar con la Entidad Nacional de Acreditación, ENAC, a finales de 2016. Se ha constituido también un comité técnico en el que participan asociaciones de profesionales y empresariales con especial interés en el tema y se está trabajando en la elaboración del esquema de certificación, que es la forma en la que se va a poder demostrar la cualificación y los conocimientos que se esperan de un delegado de protección de datos. A partir de ahí se elaborará el esquema de acreditación, que se deberá apoyar en el primero.
La voluntad de la Agencia es que esté listo antes del verano, con tiempo suficiente antes de la entrada en vigor del Reglamento.
Para la Agencia este es un instrumento que se pone a disposición de las empresas y de los responsables y encargados que quieran designar a un delegado de protección de datos, pero no será en ningún caso un requisito de acceso a la profesión. Las empresas y los responsables podrán decidir que para acreditar esa cualificación les baste, por ejemplo, un título académico o un determinado tiempo de experiencia en el sector.
De hecho es probable que eso pueda suceder en una primera etapa. Si una empresa cuenta con una persona que lleva tiempo trabajando en el área de protección de datos , es probable que se pueda fiar de ella para ese puesto, sin necesidad de pedirle una certificación. Sin embargo a medio y largo plazo es evidente que la existencia de esa certificación puede ayudar a las empresas a contar con un medio fiable de que los candidatos puedan demostrar sus conocimientos y cualificación para el puesto, que son los dos aspectos que exige el Reglamento.
P.: ¿Qué nos puede decir en cuanto a los tratamientos de datos para los que se prevea una evaluación de impacto? ¿Qué medidas está adoptando la Agencia al respecto y, en especial, hay prevista alguna actualización de la guía de evaluación de 2014?
RGG: La Agencia está trabajando en otras herramientas que tienen que ver con el análisis de riesgos y la evaluación de impacto. La que ya está anunciada y verá la luz en primer lugar es una dirigida a empresas que realizan tratamientos convencionales de bajo o muy bajo riesgo, que son muchas.
Esa herramienta será muy sencilla e intuitiva y permitirá a las empresas confirmar, a través de la respuesta a una serie de preguntas sencillas que no requieren conocimientos específicos, que se encuentran en situación de bajo riesgo. A partir de ahí se van a ofrecer modelos y recomendaciones para afrontar las medidas de cumplimiento, por ejemplo atender al registro de actividades de tratamiento.
También estamos trabajando en una herramienta más formalizada de análisis de riesgos para organizaciones que necesitan no tanto confirmar que están realizando ese tratamiento de riesgo, sino cual es el nivel del mismo.
Y en el ámbito de la Administración Pública nos estamos concentrando en añadir a las herramientas de análisis de riesgo que ya existen una dimensión de protección de datos, dado que hasta ahora esos análisis se concentran en la seguridad de la información y no tratan todos los elementos que el Reglamento exige.
Además, se va a actualizar la guía de evaluación de impacto de 2014 que salió cuando aún no había sido publicado el Reglamento, que entonces se estaba negociando. La evaluación de impacto es un proceso complejo porque las situaciones varían según el tipo de empresa y su dimensión. Pero la actualización de la guía añadirá contenidos previstos en el RGPD que no pudieron incluirse cuando se publicó y tratará de dar ofrecer un conjunto básico de respuestas que sean aplicables por todas las organizaciones.
En cuanto a una lista de tratamientos que van a requerir de una evaluación de impacto, el Reglamento establece que elaborarla es competencia de cada autoridad nacional, pero que debe ser validada por el futuro comité europeo de protección de datos.
En este sentido el Reglamento ha adoptado el criterio de que existan veintiocho listas nacionales en lugar de una única lista europea.
Probablemente esas listas incluirán tratamientos que serán comunes a todas y además una serie de requisitos que correspondan a especificidades nacionales para tratamientos que se realicen en ese ámbito nacional. Por ejemplo, porque hay datos que en unos países, como sucede en el sur de Europa con asuntos financieros, resultan más sensibles, mientras que en otros esa especial sensibilidad se tiene respecto a la propiedad o la nacionalidad de las personas.
Quiero destacar también que justamente esta semana el Grupo aprobó unas directrices sobre la noción de alto riesgo asociada a las evaluaciones de impacto en la protección de datos, que seguirán el mismo camino que las anteriores directrices: someterse a consulta pública como paso previo a su aprobación definitiva.
En esta directriz se incluyen, además de consideraciones sobre evaluaciones de impacto y sus contenidos, referencias a la noción de alto riesgo, cuya presencia determinaría la obligación de llevar a cabo la evaluación. No se da una metodología sino que se alude a los procesos de realización de la evaluación y a una serie de criterios en los que las organizaciones podrán basarse para establecer si se encuentran ante una situación de tratamiento de alto riesgo o no. Algunos de estos criterios están directamente extraídos del Reglamento, que se refiere al tratamiento de datos sensibles y en otros se encuentran un poco al margen del mismo, como lo relativo al tratamiento de datos de personas vulnerables, que no aparecen en el Reglamento.
La idea es que cuantos más criterios coincidan en un mismo tratamiento, más probabilidades hay de que se trate de un tratamiento de alto riesgo. Pero puede haber casos en los que concurran tres criterios y pese a ello no se aprecie una situación de alto riesgo o, a la inversa, que un solo criterio sea determinante para apreciarla.
En un futuro sería posible que el GT29 aprobara una lista tentativa de tratamientos de alto riesgo. Pero de momento esto no se ha discutido. Se prefiere esperar las reacciones al último documento aprobado y, en todo caso, la única previsión en el Reglamento es que sean las autoridades nacionales las que aprueben sus respectivas listas.
P.: Por último, con la desaparición de los ficheros de protección de datos ¿se va a preparar un modelo sobre cómo establecer un registro de operaciones de tratamiento de datos?
RGG: En principio entendemos que el Reglamento es preciso en cuanto al contenido de esos registros, por lo que no hay a priori una previsión en este sentido.
Es cierto que se está produciendo una transición del concepto de fichero, que era la canónica, a la noción de tratamiento, que según el Reglamento puede incluir una gran variedad de actividades. Por eso nosotros hemos sugerido que, sobre todo las empresas que ya han notificado ficheros, pueden partir de esos conjuntos estructurados de datos, a los que no hay por qué llamar ficheros porque son unos conjuntos de datos identificables, y que a partir de ahí se puedan vincular las actividades de tratamiento a las finalidades. En otro caso habría que hacer un registro de actividades separadas de tratamiento (almacenamiento, comunicaciones…) lo cual no parece tener mucho sentido.
Pero repito que no hay una previsión de que la Agencia elabore una guía de registro de tratamientos, aunque probablemente en la herramienta dirigida a las empresas que realizan actividades de bajo riesgo a la que me he referido antes, se va a incluir un pequeño modelo que creemos que les será muy útil.