La Protección de Datos no es un juego
Las Tecnologías de la Información y de la Comunicación (TIC) se han instalado en nuestro ámbito profesional, personal, familiar y social, de una forma fulminante y, a la vez, apasionante. Nuestra actividad laboral al igual que nuestra vida social está vinculada a los dispositivos móviles, smarphones, tablets, ordenadores, y, por supuesto, al uso de internet a través de distintos medios. Los whatsapps, los juegos, los chats, ocupan nuestro tiempo y nos asaltan en cualquier instante. Trabajamos y jugamos constantemente con las TIC, lo que ha traído más velocidad, más intensidad, una conexión inmediata con muchas personas, y nos hemos acostumbrado a querer también respuestas inmediatas, preferentemente con fotografías o videos adosados. Gran parte de lo que antes almacenábamos en papel en nuestros despachos y, a nivel personal, en nuestra casa, o se quedaba simplemente en nuestra cabeza, ahora está almacenado en soporte digital y viajando por la red.: compartimos con muchas personas nuestra imagen, nuestras vivencias casi desde el momento en el que suceden. Las redes sociales se han convertido en una especie de diarios entre verdaderos y falsos, en los que la imagen de una persona está expuesta a la voluntad – y la bondad o maldad- del grupo como nunca antes. Esto sin duda trae muchas riquezas pues nos permite conocer opiniones y hechos que de otro modo nos habrían resultado inaccesibles, pero también conlleva numerosos riesgos.
La rapidez con la que las TIC han cambiado nuestra forma de trabajar y comunicarnos no se ve complementada con información y formación sobre los riesgos asociados a esas tecnologías. Enseñamos a nuestros hijos e hijas a poner en funcionamiento los ordenadores, a servirse de internet, a usar los móviles, pero no les damos pautas suficientes para que estén protegidos cuando lo hacen, ni para que sean respetuosos con sus propias conductas. Tampoco chequeamos con la suficiente frecuencia nuestros equipos para depurarlos de elementos intrusivos. A veces los y las menores asocian la facilidad con la que se puede hacer algo (por ejemplo difundir una mentira a través de las redes sociales, o instalar un programa espía) con la ausencia de importancia o de consecuencias. No los preparamos suficientemente para que no causen daño con el uso de las TIC ni para que se protejan de las formas de acoso a través de internet, ni para que no caigan en las trampas de los depredadores sexuales, ni si quiera para las consecuencias de perder el poder sobre nuestras fotografías, videos, o mensajes escritos.
Además como profesionales se encuentran en nuestro poder datos personales de clientes respecto de los cuales tenemos un deber de custodia, pero no hemos recibido más que, en el mejor de los casos, una formación técnica-jurídica de iniciación sobre cómo cumplir con esa obligación. Esa insuficiente formación no nos libra de del deber de garantizar en nuestra actividad el derecho fundamental a la protección de datos que se deriva directamente de nuestra Constitución. Así nuestra Constitución en el artículo 10 reconoce el derecho a la dignidad de la persona, lo que unido a lo establecido en el artículo 18.4 -que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos- configura el derecho a la protección de datos personales. Por su parte la Constitución Europea también reconoce ese derecho. En concreto, dentro de la Parte I, Título VI (De la vida democrática de la Unión) se encuentra el artículo I-51 dedicado a la Protección de Datos de carácter personal, y en la Parte II (Carta de los Derechos Fundamentales de la Unión), en el Título II, se encuentra el artículo II-68 que añade que “estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por ley” así como que “toda persona tiene derecho a acceder a los datos recogidos que le conciernan y obtener su rectificación”. Por si pudiera quedar alguna duda sobre nuestras obligaciones como profesionales, en ambos preceptos se establece que una autoridad independiente se encargará de la garantía del derecho fundamental a la protección de datos. En nuestro caso la Agencia Española de Protección de Datos, que es la encargada de sancionar los incumplimientos por no adoptarse medidas de seguridad, o ser insuficientes las adoptadas (aunque vengan recogidas en un documento de seguridad). Por tanto, no basta con tener un documento de seguridad en el que se determinen unas medidas de seguridad, ni siquiera basta con cumplir dichas medidas, sino que se precisa evaluar técnicamente cada poco tiempo que son las medidas apropiadas y, en su caso, mejorarlas para que sean en todo momento suficientes. En este sentido son significativas las sentencias de la Audiencia Nacional ( (SSAN, sec. 1ª, de 13 junio 2002, rec. 1517/2001; 7 febrero 2003 rec. 1182/2001 25-1-2006 rec. 227/2004 28 junio 2006 rec. 290/2004 etc) que insisten en que “No basta con la aprobación de cualquier medidas, pues deben ser las necesarias…. Se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros.”
Para quienes nos dedicamos a la abogacía o procuradoría es especialmente problemático sufrir una pérdida de datos por error de equipo, fallo humano, o ataque externo, porque puede suponer un grave daño para nuestros clientes y para nuestros despachos (pérdida de capacidad de respuesta para elaborar escritos jurídicos, deterioro de la imagen ante los y las clientes, sanciones…). Y lo mismo sucede para los colegios profesionales que pueden ser sancionados por fallos en la custodia de los ficheros con datos personales de los colegiad@s.
Por eso, aunque internet sea un mundo fascinante, la protección de nuestros propios datos (y de nuestra familia) así como la de los datos de nuestros clientes, es una cuestión de especial importancia. Además, respecto de los datos de nuestro clientes tenemos una responsabilidad a la que debemos responder con medidas preventivas (pautas de uso seguro, de almacenamiento de datos, revisiones técnicas periódicas, alta en la Agencia de Protección de datos, documento de seguridad actualizado…) y de contingencia, si sufrimos la sustracción o alteración parcial o total de los datos.
La protección de datos no es un juego.