Hacia la madurez de la privacidad
A día de hoy, términos tales como privacidad, protección de datos o Agencias de Protección de Datos, son a diferencia de hace 10 años, de sobra conocidos y asimilados por la mayoría de la sociedad. Cualquier español sabe que existe una ley del año 1999 que se encarga de proteger todo lo concerniente al tratamiento de los datos personales como un derecho fundamental de tercera generación.
Sin embargo, parece que el poder de la Agencia de Protección de Datos está comenzando a trascender sus propios límites y a no tener fronteras: ha sancionado a un particular por haber suplantado la identidad de otro particular en una red social, está sancionando a particulares por instalar cámaras de video en sus propiedades privadas, o asigna multas con cuantías económicas desproporcionadas a pequeñas PYMES de no más de 2 trabajadores.
Y además, en España para distinguirnos del resto de Europa, disponemos de la normativa en la materia con las sanciones más duras de toda la Unión Europea, ya que al depender de una Directiva Comunitaria en la que cada Estado Miembro la ha transpuesto de la forma que más ha considerado conveniente (o pragmática), nos encontramos con una diversidad de regulaciones a nivel europeo, (por no hablar de la regulación americana), en donde la privacidad goza de un papel completamente secundario frente a otras garantías del Estado como pudiera ser la seguridad. Con ello se pretenden evitar situaciones esperpénticas como la aceptación y consolidación reciente de los ficheros de morosos por parte del Tribunal de Justicia de la Unión Europea frente a la negativa constante de su legitimidad por parte de la Agencia Española de Protección de Datos para el tratamiento de datos en éste tipo de ficheros; o la anterior (y ya caduca) polémica relativa a la apostasía que englobaba a aquellos bautizados por el rito católico que querían darse de baja en el acta bautismal correspondiente.
Pues bien, ahora que parece que la privacidad está llegando al fin de su propia adolescencia, ahora que cualquier ciudadano es capaz de saber que a día de hoy el derecho a la protección de datos es un derecho autónomo e independiente del derecho a la intimidad, proyectado hacia el exterior (en plena consolidación y complementación con la intimidad que goza de un ineludible carácter introspectivo), es indudable que ha llegado el momento de hacer que el citado derecho llegue a su madurez, al menos en el ámbito de la Unión Europea.
Se empezó a hablar hace tiempo de una nueva Directiva en materia de privacidad que sustituyera a la anterior; dicho y hecho, la Comisión Europea para demostrar la seriedad con la que se está planteando el asunto, no quiere remitirse a una mera directiva, sino que acude a la norma jurídica de ámbito europeo que goza de mayor seriedad y rigurosidad en su aplicación, siendo de obligado cumplimiento en cada uno de sus niveles en todos los Estados miembros: podemos hablar de que la Comisión Europea está trabajando en una Propuesta de Reglamento en materia de Protección de Datos.
Y es que si en Europa queremos hablar de libre tránsito de personas, de trabajadores y de mercancías, si Europa quiere consolidar el comercio entre países intracomunitarios, no tiene más remedio que establecer una regulación frente al flujo de datos entre países miembros que sea seria, madura y cualificada, y no jocosa como resultan los tratamientos internacionales de datos a día de hoy.
Lo primero que quiere consolidar Europa es la figura del Data Protection Officer (DPO), o como se viene señalando en las primeras traducciones, el “Oficial de Protección de Datos”, es decir, una persona suficientemente cualificada que se encargue de verificar si el tratamiento de los datos que se realizan en las entidades son o no conformes a la legalidad vigente. Dicha persona tendrá que poseer una certificación que consolide y demuestre que sus conocimientos en la materia son suficientes para disponer de una cierta autoridad y responsabilidad dentro de la entidad correspondiente, que sirva en todo momento para proteger la privacidad de los contactos, trabajadores, proveedores y especialmente los usuarios o consumidores vinculados a tal entidad.
Todos las entidades públicas estarán obligadas a nombrar a un DPO, al igual que las entidades privadas con más de 250 trabajadores o aquellas que manejen datos que contengan una especial sensibilidad según su finalidad (hospitales, telecos, empresas de marketing,..).
Indudablemente, las sanciones pasan a ser más justas y equitativas: no supone la misma desgracia una sanción de 20000 euros a una Pyme que otra con la magnitud de Telefónica , por ello ahora se atenderá a la facturación de la entidad pudiendo ser la sanción de 100 euros a un millón o si se trata de una multinacional sancionándole en base al 1%, 3% o 5% de su facturación mundial según se trate de fracciones leves, graves o muy graves.
Asimismo, las empresas extranjeras que realicen tratamientos en la UE, no podrán evadir la regulación comunitaria: tal es el caso de Facebook, que por residir en EEUU, no está obligada a cumplir con la garantías europeas en materia de privacidad, pero que a partir de la aprobación de esta normativa, tendrá que designar a un responsable territorial que cumpla con los requisitos establecidos y que atienda el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Igualmente se establece un régimen más estricto con las empresas de marketing a través de servicios de telecomunicaciones, intentado erradicar esas molestas llamadas que todo respetable ciudadano hogareño recibe a horas intempestivas, salvo que sea el propio interesado o usuario el que acepte recibirlas y exprese su consentimiento para ello.
No hay que olvidar los casos más llamativos y escandalosos en la materia ocurridos durante el año pasado: el robo de datos de millones de usuarios de la plataforma Sony Playstation Network, o el caso patrio relatvio a la plataforma web del INTECO (Instituto Nacional de las Tecnologías de la Comunicación) que afectó a unos 20.000 usuarios; mientras el modelo español se ha configurado como un referente a seguir a la hora de gestionar una crisis relativa a la fuga de datos personales, tanto por la comunicación de la incidencia de forma rápida y transparente tanto a los titulares de los datos como a la propia Agencia de Protección de Datos, el modelo de Sony ha sido mucho más criticado por ocultar la información del robo durante varios días, incluso en el caso en donde habían perdido datos de cuentas bancarias de sus clientes. Con la propuesta de Reglamento se pretende que las entidades notifiquen a la Agencia correspondiente y los afectados, tanto las fugas de datos pertinentes como las actuaciones que deben de realizar los implicados.
En último lugar, sería insensato no hacer una clara referencia al tema de las copias de seguridad en la nube (el famoso “Cloud”), tras hechos recientes tan preocupantes como el caso Megaupload, en donde las autoridades americanas han intervenido y confiscado millones de ficheros que en su gran mayoría vulneraban las leyes relativas a la Propiedad Intelectual, pero entre los cuales también se encontraban copias privadas de personas físicas (fotos, vídeos y documentos) e incluso copias de seguridad de entidades españolas que lo hacían de esta forma para cumplir con la Ley de Protección de Datos. Pues bien, la Agencia Española ha manifestado claramente su posición de que a la hora de hacer copias de seguridad en la nube, la entidades que sean responsables de los ficheros deberán ser diligentes a la hora de contratar un encargado de tratamiento que se encargue de realizar las copias en la nube; es decir, que si la entidad hacía sus copias de seguridad en un servicio similar al de Megaupload y éste es cerrado y neutralizado por cualquier circunstancia ajena, el responsable del fichero al perder sus copias de seguridad puede ser sancionado por no cumplir con la diligencia debida que exige la ley (más de un empresario apaleado evocará al sabio refranero español al leer estas líneas). Así que más vale contratar a una empresa europea a la hora de alojar los datos en una plataforma digital externa que debería de cumplir con las medidas de seguridad correspondientes, que una ajena al espacio económico europeo que estará exenta de cumplir con dichas garantías y que no va a responder con ninguna garantía en caso de destrucción, pérdida o alteración de los datos.
Queda patente que con la imposición de todas estas medidas, se busca desde la Unión Europea dotar a las empresas y agentes públicos de una concienciación mucho mayor de la que se venía dando hasta ahora, y sobre todo, muchísimo más adulta, garantizando para ello que se van a dotar cada una de ellas de profesionales altamente cualificados que garanticen y respeten de forma indiscutible la intimidad y la privacidad de todas las personas físicas involucradas en el quehacer de su actividad diaria.